Информация о сельсовете
Муниципальный контроль за соблюдением законодательства в области торговой деятельности
ПОСТАНОВЛЕНИЕ от 20 мая 2014 года № 28
КУРГАНСКАЯ ОБЛАСТЬ
ВАРГАШИНСКИЙ РАЙОН
ШАСТОВСКИЙ СЕЛЬСОВЕТ
АДМИНИСТРАЦИЯ ШАСТОВСКОГО СЕЛЬСОВЕТА
ПОСТАНОВЛЕНИЕ
от 20 мая 2014 года № 28
с.Шастово
Об утверждении документов определяющих политику в отношении обработки персональных данных в Администрации Шастовского сельсовета
В целях исполнения требований Федерального закона от 27 июля 2006 года 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», Администрация Шастовского сельсовета
ПОСТАНОВЛЯЕТ:
1. Утвердить:
1) а к т уничтожения документов Администрации Шастовского сельсовета содержащих персональные данные субъекта согласно приложению 1 к настоящему постановлению;
2) акт уничтожения полей баз данных Администрации Шастовского сельсовета, содержащих персональные данные субъекта согласно приложению 2 к настоящему постановлению;
3) уведомление об удалении персональных данных
согласно приложению 3 к настоящему постановлению;
4) акт установления уровня защищенности персональных данных "1с предприятие" согласно приложению 4 к настоящему постановлению;
5) акт установления уровня защищенности персональных данных "система исполнения регламентов" согласно приложению 5 к настоящему постановлению;
6) акт установления уровня защищенности персональных данных "типовое решение межведомственного взаимодействия" согласно приложению 6 к настоящему постановлению;
7) акт установления уровня защищенности персональных данных "муниципальное самоуправление-смарт" согласно приложению 7 к настоящему постановлению;
8) журнал регистрации письменных запросов граждан на доступ к своим персональным данным согласно приложению 8 к настоящему постановлению;
9) журнал обращений граждан для получения доступа к своим персональным данным согласно приложению 9 к настоящему постановлению;
10) обязательство о неразглашении персональных данных субъектов Администрации Шастовского сельсовета согласно приложению 10 к настоящему постановлению;
11) типовую форму заявления о прекращении обработки персональных данных согласно приложению 11 к настоящему постановлению;
12) перечень информационных систем персональных данных Администрации Шастовского сельсовета согласно приложению 12 к настоящему постановлению.
13) план внутренних проверок состояния защиты персональных данных
Администрации Шастовского сельсовета на 2014 год согласно приложению 13 к настоящему постановлению;
14) план мероприятий по защите персональных данных в Администрации Шастовского сельсовета согласно приложению 14 к настоящему постановлению;
15) политика обработки персональных данных субъектов Администрации Шастовского сельсовета согласно приложению 15 к настоящему постановлению;
16) положение об ответственном за организацию обработки персональных данных Администрации Шастовского сельсовета согласно приложению 16 к настоящему постановлению;
17) положение по работе с инцидентами информационной безопасности согласно приложению 17 к настоящему постановлению;
18) дополнительное соглашение согласно приложению 18 к настоящему постановлению;
19) типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные согласно приложению 19 к настоящему постановлению;
20) заявление о согласии субъекта на обработку его персональных данных согласно приложению 20 к настоящему постановлению;
21) уведомление об обработке персональных данных Администрации Шастовского сельсовета согласно приложению 21 к настоящему постановлению;
22) заключение об оценке вреда субъектам персональных данных Администрации Шастовского сельсовета согласно приложению 22 к настоящему постановлению;
23) инструкция об осуществлении контроля выполнения требований по защите персональных данных в Администрации Шастовского сельсовета согласно приложению 23 к настоящему постановлению;
24) инструкция по допуску лиц в помещения Администрации Шастовского сельсовета, в которых ведется обработка персональных данных согласно приложению 24 к настоящему постановлению.
2. Контроль за исполнением настоящего постановления возложить оставляю за собой.
Глава Шастовского сельсовета Л.В.Речкина
Приложение 1
Администрации Шастовского сельсовета
от 20 мая 2014 года № 28
« Об утверждении документов определяющих политику в отношении обработки персональных
данных в Администрации Шастовского сельсовета»
А К Т № _____
уничтожения документов Администрации Шастовского сельсовета, содержащих персональные данные субъекта
Состав комиссии:
Председатель комиссии: _________________________
Члены комиссии: _________________________
_________________________
_________________________
Комиссия произвела отбор к уничтожению следующих документов, содержащих персональные данные субъекта ПДн:
№
п/п Наименование
документа Регистрационный номер документа Дата
регистрации Номер
экз. Количество листов документа /приложения
1 2 3 4 5 6
Причина уничтожения:
□ достижение целей обработки; □ решение субъекта ПДн; □ недостоверные ПДн.
Всего подлежит уничтожению ______ (______________________)
(цифрами) (прописью)
наименований документов.
Документы уничтожены путем измельчения на бумагорезательной машине.
Председатель комиссии: ____________ ________________________
Члены комиссии: ____________ ________________________
____________ ________________________
____________ ________________________
А К Т № _____
уничтожения полей баз данных Администрации Шастовского сельсовета, содержащих персональные данные субъекта
Состав комиссии:
Председатель комиссии: _________________________
Члены комиссии: _________________________
_________________________
_________________________
Комиссия произвела отбор к уничтожению следующих полей баз данных, содержащих персональные данные субъекта ПДн:
№
п/п Наименование базы данных Идентификационный номер поля данных Наименование полей данных
1 2 3 4
Причина уничтожения:
□ достижение целей обработки; □ решение субъекта ПДн; □ недостоверные ПДн.
Всего подлежит уничтожению ______ (______________________)
(цифрами) (прописью)
наименований полей базы данных.
Поля баз данных уничтожены путем затирания информации на носителях информации (в том числе и резервных копиях).
Председатель комиссии: ____________ ________________________
Члены комиссии: ____________ ________________________
____________ ________________________
____________ ________________________
Приложение 2
к постановлению
Администрации Шастовского сельсовета
от 20 мая 2014 года № 28
« Об утверждении документов определяющих политику в отношении обработки персональных
данных в Администрации Шастовского сельсовета »
УВЕДОМЛЕНИЕ
об удалении персональных данных
Уважаемый __________________________________________________.
Ф.И.О. субъекта персональных данных
Обработка Ваших персональных данных прекращена.
Ваши персональные данные, которые обрабатывались в Администрации Шастовского сельсовета, были уничтожены.
Приложение: копия акта об уничтожении на ____ листах.
Председатель комиссии ____________ _________________________
Приложение 3
к постановлению
Администрации Шастовского сельсовета
от 20 мая 2014 года № 28
« Об утверждении документов определяющих политику в отношении обработки персональных
данных в Администрации Шастовского сельсовета »
Приложение 4
к постановлению
Администрации Шастовского сельсовета
от 20 мая 2014 года № 28
« Об утверждении документов определяющих политику в отношении обработки персональных
данных в Администрации Шастовского сельсовета »
АКТ
установления уровня защищенности персональных данных "1 С предприятие"
Состав комиссии:
Председатель комиссии: Глава Шастовского сельсовета Л.В. Речкина
Члены комиссии: Главный специалист И.Г. Кунгурцева
Комиссия, рассмотрев следующие исходные данные:
1. Информационная система является информационной системой: ИСПДн-С, обрабатывающей специальные категории персональных данных
2. Информационная система является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками Администрации Шастовского сельсовета Варгашинского района Курганской области;
3. Информационная система обрабатывает персональные данные менее чем 100 000 субъектов персональных данных;
4. Для информационной системы актуальны угрозы третьего типа.
решила установить информационной системе 1 С предприятие необходимость обеспечения третьего уровня защищенности персональных данных.
Настоящий акт составлен в единственном экземпляре.
Глава Шастовского сельсовета Л.В. Речкина
Члены комиссии:
И.Г. Кунгурцева
Приложение 5
к постановлению
Администрации Шастовского сельсовета
от 20 мая 2014 года № 28
« Об утверждении документов определяющих политику в отношении обработки персональных
данных в Администрации Шастовского сельсовета _____________________ »
АКТ
установления уровня защищенности персональных данных "Система исполнения регламентов"
Состав комиссии:
Председатель комиссии: Глава Шастовского сельсовета Л.В.Речкина
Члены комиссии: Главный специалист Администрации Шастовского
сельсовета И.Г.Кунгурцева
Комиссия, рассмотрев следующие исходные данные:
1. Информационная система является информационной системой: ИСПДн-И, обрабатывающей персональные данные, которые не могут быть отнесены к специальным категориям, к биометрическим, к общедоступным или обезличенным персональным данным
2. Информационная система является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками Администрации Шастовского сельсовета;
3. Информационная система обрабатывает персональные данные менее чем 100 000 субъектов персональных данных;
4. Для информационной системы актуальны угрозы третьего типа.
решила установить информационной системе Система исполнения регламентов необходимость обеспечения четвертого уровня защищенности персональных данных.
Настоящий акт составлен в единственном экземпляре.
Приложение 6
к постановлению
Администрации Шастовского сельсовета
от 20 мая 2014 года № 28
« Об утверждении документов определяющих политику в отношении обработки персональных
данных в Администрации Шастовского сельсовета _____________________ ________________ »
АКТ
установления уровня защищенности персональных данных "Типовое решение межведомственного взаимодействия"
Состав комиссии:
Председатель комиссии: Глава Шастовского сельсовета Л.В.Речкина
Члены комиссии: Главный специалист администрации Шастовского
сельсовета И.Г.Кунгурцева
Комиссия, рассмотрев следующие исходные данные:
1. Информационная система является информационной системой: ИСПДн-И, обрабатывающей персональные данные, которые не могут быть отнесены к специальным категориям, к биометрическим, к общедоступным или обезличенным персональным данным
2. Информационная система является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками Администрации Шастовского сельсовета;
3. Информационная система обрабатывает персональные данные менее чем 100 000 субъектов персональных данных;
4. Для информационной системы актуальны угрозы третьего типа.
решила установить информационной системе Типовое решение межведомственного взаимодействия необходимость обеспечения четвертого уровня защищенности персональных данных.
Настоящий акт составлен в единственном экземпляре.
Приложение 7
к постановлению
Администрации Шастовского сельсовета
от 20 мая 2014 года № 28
« Об утверждении документов определяющих политику в отношении обработки персональных
данных в Администрации Шастовского сельсовета» _____________________ ____________________
АКТ
установления уровня защищенности персональных данных "smart-МСУ"
Состав комиссии:
Председатель комиссии: Глава Шастовского сельсовета Л.В. Речкина
Члены комиссии: Главный специалист И.Г. Кунгурцева
Комиссия, рассмотрев следующие исходные данные:
1. Информационная система является информационной системой: ИСПДн-И, обрабатывающей персональные данные, которые не могут быть отнесены к специальным категориям, к биометрическим, к общедоступным или обезличенным персональным данным
2. Информационная система является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками Администрации Шастовского сельсовета Варгашинского района Курганской области;
3. Информационная система обрабатывает персональные данные менее чем 100 000 субъектов персональных данных;
4. Для информационной системы актуальны угрозы третьего типа.
решила установить информационной системе smart-МСУ необходимость обеспечения четвертого уровня защищенности персональных данных.
Настоящий акт составлен в единственном экземпляре.
Глава Шастовского сельсовета Л.В. Речкина
Члены комиссии:
И.Г. Кунгурцева
Приложение 8
к постановлению
Администрации Шастовского сельсовета
от 20 мая 2014 года № 28
« Об утверждении документов определяющих политику в отношении обработки персональных
данных в Администрации Шастовского сельсовета »
Администрация Шастовского сельсовета Варгашинского района Курганской области
ЖУРНАЛ
регистрации письменных запросов граждан
на доступ к своим персональным данным
Журнал начат "____" ____________________ 20__ года Журнал завершен "____" ___________________ 20__ года
Главный специалист Администрации Шастовского сельсовета
______________________И.Г.Кунгурцева ______________________ /______________________/
На _____ листах
№
п/п Вх. №
письма Дата получения запроса Ф.И.О. гражданина Отношения субъекта ПДн
с оператором ПДн Отметка о предоставлении доступа к ПДн
(отказе в доступе) Исх. номер и дата письма с ответом
на запрос Ф.И.О., должность, подпись сотрудника, выдавшего ответ
1 2 3 4 5 6 7 8
Приложение 9
к постановлению
Администрации Шастовского сельсовета
от 20 мая 2014 года № 28
« Об утверждении документов определяющих политику в отношении обработки персональных
данных в Администрации Шастовского сельсовета _____________________ »
Администрация Шастовского сельсовета
ЖУРНАЛ
обращений граждан для получения доступа
к своим персональным данным
Журнал начат "____" ___________________ 20__ года Журнал завершен "____" __________________ 20__ года
Главный специалист Администрации Шастовского сельсовета
______________________И.Г.Кунгурцева ______________________ /______________________/
На _____ листах
№
п/п Дата
обращения Ф.И.О. гражданина Отношения субъекта ПДн с оператором ПДн Подпись гражданина Отметка о предоставлении доступа к ПДн
(отказе в доступе) Ф.И.О. должность сотрудника, предоставившего доступ к ПДн
1 2 3 4 5 6 7
Приложение 10
к постановлению
Администрации Шастовского сельсовета
от 20 мая 2014 года № 28
« Об утверждении документов определяющих политику в отношении обработки персональных
данных в Администрации Шастовского сельсовета _____________________ »
ОБЯЗАТЕЛЬСТВО
о неразглашении персональных данных субъектов Администрации Шастовского сельсовета
Я, __________________________________, проживающий(-ая) по
Ф.И.О.
адресу _____________________________________________________________,
паспорт серии ________, номер ___________, выдан ______________________
___________________________________________________________________
«___»_______________ _________ года, работая в должности _____________
___________________________________________________________________
в Администрации Шастовского сельсовета (далее – Администрация Шастовского сельсовета), в период настоящих трудовых отношений и в течение 5 лет после их окончания, в соответствии с Федеральным законом «О персональных данных» от 27 июля 2006 года № 152-ФЗ, обязуюсь:
- не раскрывать третьим лицам и не распространять персональные данные субъектов Администрации Шастовского сельсовета, полученные при исполнении мной трудовых обязанностей;
- при работе с персональными данными соблюдать требования, описанные в «Положении о порядке обработки персональных данных субъектов Администрации Шастовского сельсовета;
- выполнять относящиеся ко мне требования локальных нормативных актов, касающихся обработки персональных данных;
- в случае попытки посторонних лиц получить от меня сведения о персональных данных субъектов Администрации Шастовского сельсовета немедленно уведомить об этом руководителя своего структурного подразделения;
- в случае расторжения со мною трудового договора или контракта, прекратить обработку персональных данных, ставших известными мне в связи с исполнением должностных обязанностей, и передать все носители персональных данных субъектов Администрации Шастовского сельсовета (документы, накопители данных в электронном виде, кино и фотонегативы и позитивы, и пр.), Ответственному за обработку персональных данных Администрации Шастовского сельсовета.
Я понимаю, что разглашение персональных данных субъектов Администрации Шастовского сельсовета, может нанести ущерб субъектам персональных данных.
Я предупрежден(а) о том, что в случае разглашения или утраты мною сведений, относящихся к персональным данным субъектов Администрации Шастовского сельсовета, я несу ответственность в соответствии с Трудовым Кодексом РФ ст. 90. и могу быть привлечён к материальной, гражданско-правовой, административной и уголовной ответственности в соответствие с действующим законодательством РФ.
Настоящим подтверждаю, что до моего сведения доведено «Положение о порядке обработки персональных данных субъектов Администрации Шастовского сельсовета.
"____" ___________ 2014 года ______________________
Приложение 11
к постановлению
Администрации Шастовского сельсовета
от 20 мая 2014 года № 28
« Об утверждении документов определяющих политику в отношении обработки персональных
данных в Администрации Шастовского сельсовета _____________________ »
Главе Шастовского сельсовета
Администрации Шастовского селсьовета
Л.В.Речкиной
Ф.И.О. субъекта персональных данных
Номер основного документа, удостоверяющего его личность
Наименование органа, выдавшего документ
Дата выдачи указанного документа
ЗАЯВЛЕНИЕ
Прошу Вас прекратить обработку моих персональных данных в связи с
(указать причину)
"___"____________ 2014 года _______ ____________________
(подпись) (расшифровка подписи)
Приложение 12
к постановлению
Администрации Шастовского сельсовета
от 20 мая 2014 года № 28
« Об утверждении документов определяющих политику в отношении обработки персональных
данных в Администрации Шастовского сельсовета »
ПЕРЕЧЕНЬ
информационных систем персональных данных
Администрации Шастовского сельсовета Варгашинского района Курганской области
№ Наименование ИСПДн Категория ИСПДн Уровень защищенности персональных данных
1 2 3 4
1 1 С предприятие ИСПДн-С третий
2 smart-МСУ ИСПДн-И четвертый
Приложение 13
к постановлению
Администрации Шастовского сельсовета
от 20 мая 2014 года № 28
« Об утверждении документов определяющих политику в отношении обработки персональных данных в Администрации
_____________________ »
Администрация Шастовского сельсовета Варгашинского района Курганской области
УТВЕРЖДАЮ
Глава Шастовского сельсовета
Администрации Шастовского сельсовета
___________________Л.В.Речкина
"____" ____________ 2014 года
ПЛАН
внутренних проверок состояния защиты персональных данных
Администрации Варгашинского поссовета на 2014 год
№ п/п Наименование структурного подразделения Месяц
Январь Февраль Март Апрель Май Июнь Июль Август Сентябрь Октябрь Ноябрь Декабрь
1 2 3 4 5 6 7 8 9 10 11 12 13 14
1 Отдел организационной и правовой работы
2 Отдел жилищно-коммунального хозяйства, земельных и имущественных отношений
Главный специалист Администрации Шастовского сельсовета И.Г.Кунгурцева
Приложение 14
к постановлению
Администрации Шастовского сельсовета
от 20 мая 2014 года № 28
« Об утверждении документов определяющих политику в отношении обработки персональных
данных в Администрации Шастовского сельсовета »
Администрация Шастовского сельсовета Варгашинского района Курганской области
УТВЕРЖДАЮ
Глава Шастовского сельсовета
Администрации Шастовского сельсовета
___________________Л.В.Речкина
"____" ____________ 2014 года
ПЛАН
мероприятий по защите персональных данных
в Администрации Шастовского сельсовета
№ п/п Наименование мероприятия Срок выполнения Ответственный за выполнение Примечание
1 2 3 4 5
1 Классификация информационных систем персональных данных (ИСПДн) 2 квартал 2014 года Комиссия
(Председатель: Глава Шастовского сельсовета Л.В.Речкина) Проводится при создании ИСПДн, при выявлении в информационных системах наличия персональных данных, при изменении состава, структуры самой ИСПДн или технических особенностей ее построения
2 Выявление угроз безопасности и разработка моделей угроз и нарушителя 2 квартал 2014 года Главный специалист Администрации Шастовского сельсовета И.Г.Кунгурцева Разрабатывается после классификации ИСПДн
3 Направление в уполномоченный орган (Роскомнадзор) уведомления о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации 2 квартал 2014 года Главный специалист Администрации Шастовского сельсовета И.Г.Кунгурцева Уведомление направляется при вводе в эксплуатацию новых ИСПДн, либо при внесении изменений в существующие
4 Проверка сведений, содержащихся в уведомлении ежеквартально Главный специалист Администрации Шастовского сельсовета И.Г.Кунгурцева По необходимости, в Роскомнадзор отправляется измененная версия уведомления
5 Документальное регламентирование работы с персональными данными 2 квартал 2014 года Главный специалист Администрации Шастовского сельсовета И.Г.Кунгурцева Необходимо разработать документы, распределяющие и закрепляющие ответственность за обработку персональных данных
6 Обучение сотрудников, непосредственно осуществляющих обработку персональных данных, правилам работы с персональными данными Ежегодно Глава Шастовского сельсовета Л.В.Речкина Необходимо проводить отдельный инструктаж по обработке персональных данных с принимающимися на работу сотрудниками
1 2 3 4 5
7 Заключение договора на проведение работ в области защиты персональных данных с организацией – лицензиатом ФСТЭК России 3 квартал 2014 года Глава Шастовского сельсовета Л.В.Речкина
8 Оценка соответствия ИСПДн Администрации Варгашинского поссовета 3 квартал 2014 года Проводится организацией – лицензиатом ФСТЭК России
9 Разработка приказа о вводе ИСПДн в эксплуатацию По завершении мероприятий по оценке соответствия Глава Шастовского сельсовета
Л.В.Речкина
10 Заключение договора с компанией - лицензиатом ФСТЭК России и ФСБ России на аутсорсинг технической защиты персональных данных По завершении мероприятий по оценке соответствия Глава Шастовского сельсовета
Л.В.Речкина При необходимости
11 Пересмотр договоров с субъектами и контрагентами в части обработки персональных данных, получение письменного согласия субъекта на обработку персональных данных 3 квартал 2014 года, в последующем – постоянно, при заключении новых договоров Глава Шастовского сельсовета
Л.В.Речкина В договоры должны быть включены согласия субъекта на обработку и передачу его персональных данных
12 Уничтожение персональных данных При достижении целей обработки персональных данных Комиссия по уничтожению документов
13 Сопровождение заявок на предоставление доступа к информационным ресурсам ИСПДн Постоянно Главный специалист Администрации Шастовского сельсовета И.Г.Кунгурцева
1 2 3 4 5
14 Повышение квалификации сотрудников в области защиты персональных данных Глава Шастовского сельсовета
Л.В.Речкина Сотрудники ответственные за организацию обработки персональных данных и обеспечение безопасности ИСПДн – не менее одного раза в два года. Повышение осведомленности сотрудников, обрабатывающих персональные данные – постоянно (обучение может проводить ответственный за организацию обработки персональных данных)
15 Контроль эффективности средств защиты персональных данных Раз в год Организация-лицензиат ФСТЭК России
Приложение 15
к постановлению
Администрации Шастовского сельсовета
от 20 мая 2014 года № 28
« Об утверждении документов определяющих политику в отношении обработки персональных
данных в Администрации Шастовского сельсовета »
ПОЛИТИКА
обработки персональных данных субъектов Администрации Шастовского сельсовета
1. Администрация Шастовского сельсовета (далее – Администрация Шастовского сельсовета) осуществляет обработку персональных данных на законной и справедливой основе.
2. Объём, содержание и сроки обработки персональных данных определяются целями обработки персональных данных.
3. Администрация Шастовского сельсовета оставляет за собой право проверить полноту и точность предоставленных персональных данных. В случае выявления ошибочных или неполных персональных данных, Администрация Шастовского сельсовета имеет право прекратить все отношения с субъектом персональных данных.
4. Администрация Шастовского сельсовета не передаёт персональные данные субъектов персональных данных третьим лицам, без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
5. Администрация Шастовского сельсовета соблюдает конфиденциальность персональных данных, принимает правовые, организационные и технические меры по защите персональных данных, а так же требует принятия указанных мер от своих контрагентов.
6. Приказом Главы Шастовского сельсовета назначен ответственный за организацию обработки персональных данных Администрации Шастовского сельсовета:
Главный специалист Администрации Шастовского сельсовета И.Г.Кунгурцева Телефон 835233 23735
7. Утверждены распоряжением Главы Шастовского сельсовета Администрации Шастовского сельсовета и приняты к исполнению следующие локальные нормативные акты:
- положение о порядке обработки персональных данных;
- правила рассмотрения запросов субъектов персональных данных или их представителей;
- инструкция осуществления внутреннего контроля;
- правила работы с обезличенными данными;
- перечень информационных систем персональных данных;
- перечни обрабатываемых персональных данных;
- порядок формирования комиссии по обезличиванию и удалению обрабатываемых персональных данных;
- приказ об ответственности за обработку и защиту персональных данных;
- положение об ответственном за организацию обработки персональных данных;
- типовое обязательство сотрудника Администрации Шастовского сельсовета о неразглашении персональных данных;
- типовая форма согласия субъекта на обработку персональных данных;
- типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
- инструкция по допуску лиц в помещения, где ведется обработка персональных данных.
8. При эксплуатации информационных систем персональных данных Администрация Шастовского сельсовета принимает правовые, организационные и технические меры по обеспечению безопасности персональных данных для выполнения установленных Правительством Российской Федерации требований к защите персональных данных при их обработке в соответствии с установленными уровнями защищенности персональных данных.
9. При обработке персональных данных, осуществляемой без использования средств автоматизации, Администрация Шастовского сельсовета выполняет требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
10. Администрация Шастовского сельсовета осуществляет ознакомление своих сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и, при необходимости, организуют обучение указанных сотрудников.
11. Администрация Шастовского сельсовета уведомляет уполномоченный орган по защите прав субъектов персональных данных об обработке персональных данных в соответствии с требованиями, установленными Федеральным законом "О персональных данных".
Приложение 16
к постановлению
Администрации Шастовского сельсовета
от 20 мая 2014 года № 28
« Об утверждении документов определяющих политику в отношении обработки персональных
данных в Администрации Шастовского сельсовета _____________________ »
ПОЛОЖЕНИЕ
об ответственном за организацию обработки персональных данных Администрации Шастовского сельсовета
1. Обшие положения
1.1. Ответственный за организацию обработки персональных данных (далее – Ответственный) является сотрудником Администрации Шастовского сельсовета (далее – Администрация Шастовского сельсовета).
1.2. Ответственный назначается приказом Главы Шастовского сельсовета Администрации Шастовского сельсовета.
1.3. Ответственный подчиняется непосредственно Главе Шастовского сельсовета и проводит мероприятия по защите персональных данных в интересах Администрации Шастовского сельсовета.
1.4. Ответственный в своей деятельности руководствуется:
- Конституцией Российской Федерации;
- Федеральными законами Российской Федерации и нормативными правовыми актами органов государственной власти по вопросам защиты персональных данных;
- Государственными стандартами Российской Федерации в области защиты информации;
- руководящими и нормативными правовыми документами Федеральной Службы по техническому и экспортному контролю России;
- локальными нормативными актами Администрации Шастовского сельсовета по защите персональных данных;
- Правилами внутреннего трудового распорядка;
- настоящим Положением.
1.5. Деятельность Ответственного осуществляется согласно плану мероприятий по защите персональных данных Администрации Шастовского сельсовета на год.
2. Задачи
2
На Ответственного за организацию обработки персональных данных возложены следующие задачи:
2.1. Организация внутреннего контроля за соблюдением работниками Администрации Шастовского селсовета норм законодательства Российской Федерации по обработке персональных данных, в том числе требований, предъявляемых к защите персональных данных.
2.2. Разработка, внедрение и актуализация локальных актов по вопросам обработки персональных данных.
2.3. Доведение до сведения работников Администрации Шастовского сельсовета, непосредственно осуществляющих обработку персональных данных, положений законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных, и проведение обучения указанных работников.
2.4. Организация приема и обработки обращений и запросов субъектов персональных данных или их представителей и осуществление контроля за приемом и обработкой таких обращений и запросов.
2.5. Организация комплексной защиты объектов информатизации Администрации Шастовского сельсовета, а именно:
- информационных ресурсов, представленных в виде документированной информации на магнитных, оптических носителях, информативных физических полей, информационных массивов и баз данных, содержащих персональные данные субъектов Администрации Шастовского сельсовета;
- средств и систем информатизации (средств вычислительной техники, информационно-вычислительных комплексов, локальных вычислительных сетей и корпоративных информационных систем), программных средств (операционных систем, систем управления базами данных, другого общесистемного и прикладного программного обеспечения), автоматизированных систем управления информационными, управленческими и технологическими процессами, систем связи и передачи данных, технических средств приёма, передачи и обработки информации (звукозаписи, звукоусиления, звуковоспроизведения, переговорных устройств и других технических средств обработки графической, смысловой и буквенно-цифровой информации), используемых для реализации процессов ведения деятельности, обработки информации, содержащей персональные данные субъектов Администрации Шастовского сельсовета.
2.6. Организация защиты персональных данных субъектов Администрации Шастовского сельсовета.
2.7. Разработка и проведение организационных мероприятий, обеспечивающих безопасность объектов защиты Администрации Шастовского сельсовета, своевременное выявление и устранение возможных каналов утечки информации.
3
2.8. Организация проведения работ по технической защите информации на объектах информатизации, в информационно-вычислительных сетях, системах и средствах связи и телекоммуникаций Администрации Шастовского сельсовета.
2.9. Реализация технических мер, обеспечивающих своевременное выявление возможных технических каналов утечки информации в подразделениях Администрации Шастовского сельсовета.
2.10. Методическое руководство системой обеспечения информационной безопасности Администрации Шастовского сельсовета.
2.11. Организация контроля состояния и проведение оценки эффективности системы обеспечения информационной безопасности персональных данных, а также реализация мер по её совершенствованию.
2.12. Внедрение в информационную инфраструктуру Администрации Шастовского сельсовета современных методов и средств обеспечения информационной безопасности.
3. Функции
Для решения поставленных задач Ответственный за организацию обработки персональных данных осуществляет следующие функции:
3.1. Разработка и внедрение правовых, организационных и технических мер по комплексному обеспечению безопасности персональных данных.
3.2. Обеспечение соблюдения режима конфиденциальности при обработке персональных данных.
3.3. Планирование работы по защите персональных данных на объектах Администрации Шастовского сельсовета.
3.4. Контроль за выполнением мер по защите персональных данных, анализ материалов контроля, выявление недостатков и нарушений. Разработка и реализация мер по их устранению.
3.5. Обеспечение взаимодействия с контрагентами по вопросам организации и проведения проектно-изыскательских, научно-исследовательских, опытно-конструкторских и других работ по защите информации. Участие в разработке технических заданий на выполняемые исследования и работы.
3.6. Контроль за выполнением плановых заданий, договорных обязательств, а также сроков, полноты и качества работ по защите персональных данных, выполняемых контрагентами.
3.7. Разработка и принятие мер по обеспечению финансирования работ по защите персональных данных, в том числе выполняемых по договорам.
3.8. Проведение работ по технической защите информации на объектах информатизации Администрации Шастовского сельсовета. Оценка эффективности принятых мер по технической защите информации.
3.9. Обеспечение выбора, установки, настройки и эксплуатации средств
4
защиты информации в соответствии с организационно-распорядительной и эксплуатационной документацией.
3.10. Организация режима обеспечения безопасности помещений, в которых происходит обработка персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в такие помещения.
3.11. Организация доступа работников Администрации Шастовского сельсовета к персональным данным в соответствии с возложенными на них служебными обязанностями.
3.12. Разработка и внедрение локальных актов, определяющих перечень работников Администрации Шастовского сельсовета, имеющих доступ к персональным данным.
3.13. Контроль размещения устройств ввода (отображения) информации, исключающего ее несанкционированный просмотр.
3.14. Обеспечение соответствия проводимых работ по защите персональных данных технике безопасности, правилам и нормам охраны труда.
3.15. Проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства по защите персональных данных.
3.16. Участие в разработке и применение, в части персональных данных, политики по работе с инцидентами по информационной безопасности.
3.17. Актуализация внутренней организационно-распорядительной документации по защите персональных данных при изменении существующих и выходе новых нормативных правовых документов по вопросам обработки персональных данных.
4. Права
Ответственный за организацию обработки информации имеет право:
4.1. Осуществлять контроль за деятельностью структурных подразделений Администрации Шастовского сельсовета по выполнению ими требований по защите персональных данных.
4.2. Составлять акты, докладные записки, отчёты для рассмотрения руководством Администрации Шастовского сельсовета, при выявлении нарушений порядка обработки персональных данных.
4.3. Принимать необходимые меры при обнаружении несанкционированного доступа к персональным данным, как работниками Администрации Шастовского сельсовета, так и третьими лицами, и докладывать о принятых мерах Главе Шастовского сельсовета с предоставлением информации о субъектах, нарушивших режим доступа.
4.4. Вносить на рассмотрение Главы Шастовского сельсовета.
5
предложения, акты, заключения о приостановлении работ в случае обнаружения каналов утечки (или предпосылок к утечке) информации ограниченного доступа.
4.5. Давать структурным подразделениям Администрации Шастовского сельсовет, а также отдельным специалистам обязательные для исполнения указания по вопросам, входящим в компетенцию Ответственного.
4.6. Запрашивать и получать от всех структурных подразделений Администрации Шастовского сельсовета сведения, справочные и другие материалы, необходимые для осуществления деятельности Ответственного.
4.7. Составлять акты и другую техническую документацию о степени защищенности объектов информатизации.
4.8. Готовить и вносить предложения на проведение работ по защите персональных данных; о привлечении к проведению работ по оценке эффективности защиты персональных данных на объектах Администрации Шастовского сельсовета (на договорной основе) учреждений и организаций, имеющих лицензию на соответствующий вид деятельности; о закупке необходимых технических средств защиты и другой спецтехники, имеющих в обязательном порядке сертификат качества.
4.9. Осуществлять визирование договоров с контрагентами с целью правового обеспечения передачи им персональных данных субъектов Администрации Шастовского сельсовета в ходе выполнения работ по этим договорам.
4.10. Представлять интересы Администрации Шастовского сельсовета
при осуществлении государственного контроля и надзора за обработкой персональных данных Уполномоченным органом по защите прав субъектов персональных данных.
5. Взаимодействия (служебные связи)
5.1. Ответственный выполняет свои задачи осуществляя взаимодействие со всеми структурными подразделениями Администрации Шастовского сельсовета.
5.2. Для выполнения своих функций и реализации предоставленных прав Ответственный взаимодействует с территориальными и региональными подразделениями Федеральной службы по техническому и экспортному контролю, Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, ФСБ России, МВД России, и другими представителями исполнительной власти и организациями, предоставляющими услуги и выполняющими работы в области защиты персональных данных на законном основании.
6. Ответственность
6
6.1. Ответственный за обработку персональных данных несет ответственность за надлежащее и своевременное выполнение возложенных задач и функций по организации обработки персональных данных Администрации Шастовского сельсовета в соответствии с положениями законодательства Российской Федерации в области персональных данных.
Приложение 17
к постановлению
Администрации Шастовского сельсовета
от 20 мая 2014 года № 28
« Об утверждении документов определяющих политику в отношении обработки персональных
данных в Администрации Шастовского сельсовета _____________________ »
ПОЛОЖЕНИЕ
по работе с инцидентами информационной безопасности
Аннотация
Настоящее Положение разработано в целях организации работы с инцидентами информационной безопасности в Администрации Шастовского сельсовета (далее – Администрация Шастовского сельсовета).
Инцидент - одно событие или группы событий, которые могут привести к сбоям или нарушению функционирования информационной системы (далее - ИС) и (или) к возникновению угроз безопасности, в том числе персональных данных.
1. Общие положения
Положение о работе с инцидентами информационной безопасности (далее – Положение) разработано в соответствии с:
1) Федеральным законом № 152-ФЗ «О персональных данных»;
2) Федеральным законом № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
3) постановлением Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
4) приказом ФСТЭК России № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
5) политикой информационной безопасности Администрации Шастовского сельсовета.
Работа с инцидентами в области информационной безопасности помогает определить наиболее актуальные угрозы информационной безопасности и создает обратную связь в системе обеспечения
2
информационной безопасности, что способствует повышению общего уровня защиты информационных ресурсов и информационных систем.
Работа с инцидентами включает в себя следующие направления:
1) определение лиц, ответственных за выявление инцидентов и реагирование на них;
2) обнаружение, идентификация и регистрация инцидентов;
3) своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами;
4) анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а так же оценка их последствий;
5) принятие мер по устранению последствий инцидентов;
6) планирование и принятие мер по предотвращению повторного возникновения инцидентов.
Для анализа инцидентов, в том числе определения источников и причин возникновения инцидентов, а так же оценки их последствий; планирования и принятия мер по предотвращению повторного возникновения инцидентов, назначается постоянно действующая комиссия по работе с инцидентами в соответствии с приказом Главы Шастовского сельсовета Администрации Шастовского сельсовета.
2. Ответственные за выявление инцидентов и реагирование на них
2.1. В информационных системах.
Ответственными за выявление инцидентов в ИС являются:
1) лица, имеющие право доступа к ИС;
2) ответственный за техническое обслуживание ИС;
3) администратор ИС;
4) администратор информационной безопасности ИС.
Ответственными за реагирование на инциденты в ИС являются:
1) лица, имеющих право доступа к ИС;
2) руководитель подразделения Администрации Шастовского сельсовета, в котором выявлен инцидент;
3) ответственный за техническое обслуживание ИС;
4) администратор ИС;
5) администратор информационной безопасности ИС;
6) ответственный за организацию обработки персональных данных Администрации Шастовского сельсовета, в случае, если ИС является информационной системой персональных данных (далее - ИСПДн);
7) Председатель комиссии по работе с инцидентами.
2.2. Вне информационных систем.
Ответственными за выявление инцидентов вне ИС являются все сотрудники Администрации Шастовского сельсовета.
Ответственными за реагирование на инциденты вне ИС являются:
3
1) сотрудник Администрации Шастовского сельсовета, обнаруживший инцидент;
2) руководитель подразделения Администрации Шастовского сельсовета, в котором выявлен инцидент;
3) ответственный за организацию обработки персональных данных Администрации Шастовского сельсовета, в случае, если существует угроза безопасности персональных данных;
4) председатель комиссии по работе с инцидентами.
3. Обнаружение, идентификация и регистрация инцидентов
3.1. Работа по обнаружению инцидентов в области информационной безопасности включает в себя мероприятия, направленные на:
1) выявление инцидентов в области информационной безопасности с помощью технических средств;
2) выявление инцидентов в области информационной безопасности в ходе контрольных мероприятий;
3) выявление инцидентов с помощью сотрудников Администрации Шастовского сельсовета.
3.2. Работа по идентификации инцидентов в области информационной безопасности включает в себя мероприятия, направленные на доведение до сотрудников Администрации Шастовского сельсовета информации позволяющей идентифицировать инциденты.
3.3. Регистрацию инцидентов осуществляет Председатель комиссии по работе с инцидентами в журнале регистрации инцидентов информационной безопасности. Форма журнала утверждается приказом Главы Шастовского сельсовета Администрации Шастовского сельсовета.
Хранение журнала осуществляется в местах, исключающих доступ к журналу посторонних лиц. Журнал хранится в течение 5 лет после завершения ведения. Ответственный за хранение ведение и хранение журнала - Председатель комиссии по работе с инцидентами.
4. Информирование о возникновении инцидентов
Работник Администрации Шастовского сельсовета (пользователь), обнаруживший инцидент в ИС, должен незамедлительно, любым доступным способом, сообщить об инциденте непосредственному руководителю, Администратору ИС, Администратору информационной безопасности ИС, Ответственному за организацию обработки персональных данных (в случае если ИС является ИСПДн), Председателю комиссии по работе с инцидентами.
Администратор ИС, в случае необходимости, информирует пользователей ИС о возникновении инцидента и дает указания по дальнейшим действиям.
4
5. Анализ инцидентов, а также оценка их последствий
Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а так же оценку их последствий осуществляет комиссия по работе с инцидентами информационной безопасности.
5.1. Источниками и причинами возникновения инцидентов в области информационной безопасности являются:
1) действия организаций и отдельных лиц враждебные интересам Администрации Шастовского сельсовета;
2) отсутствие персональной ответственности сотрудников Администрации Шастовского сельсовета и их руководителей за обеспечение информационной безопасности, в том числе персональных данных;
3) недостаточная работа с персоналом по обеспечению необходимого режима соблюдения конфиденциальности, в том числе персональных данных;
4) отсутствие моральной и материальной стимуляции за соблюдение правил и требований информационной безопасности;
5) недостаточная техническая оснащённость подразделений, ответственных за обеспечение информационной безопасности;
6) совмещение функций по разработке и сопровождению или сопровождению и контролю за информационными системами;
7) наличие привилегированных бесконтрольных пользователей в информационной системе;
8) пренебрежение правилами и требованиями информационной безопасности сотрудниками Администрации Шастовского сельсовета;
9) и другие причины.
5.2. Оценка последствий инцидента производится на основании потенциально-возможного ущерба.
6. Принятие мер по устранению последствий инцидентов
Меры по устранению последствий инцидентов включает в себя мероприятия, направленные на:
1) определение границ инцидента и ущерба от реализации угроз информационной безопасности;
2) ликвидацию последствий инцидента и полное либо частичное возмещение ущерба.
7. Планирование и принятие мер по предотвращению инцидентов
7.1. Планирование и принятие мер по предотвращению повторного возникновения инцидентов осуществляет комиссия по работе с инцидентами информационной безопасности и основывается на:
1) планомерной деятельности по повышению уровня осознания информационной безопасности руководством и сотрудниками Администрации
5
Шастовского сельсовета;
2) проведении мероприятий по обучению сотрудников Администрации Шастовского сельсовета правилам и способам работы со средствами защиты информационных систем;
3) доведении до сотрудников норм законодательства, внутренних документов Администрации Шастовского сельсовета, устанавливающих ответственность за нарушение требований информационной безопасности;
4) разъяснительной работе с увольняющимися сотрудниками и сотрудниками, принимаемыми на работу;
5) своевременной модернизации системы обеспечения информационной безопасности, с учетом возникновения новых угроз информационной безопасности;
6) своевременном обновлении программного обеспечения, в том числе баз сигнатур антивирусных средств.
7.2. Работа с персоналом.
Как правило, самым слабым звеном в любой системе безопасности является человек. Поэтому работа с персоналом является основным направлением деятельности по обеспечению требований информационной безопасности.
В работе с персоналом основной упор должен делаться не на наказание сотрудника за нарушения в области информационной безопасности, а на поощрение за надлежащие выполнение требований информационной безопасности, проявление личной инициативы в укреплении системы информационной безопасности.
Персонал Администрации Шастовского сельсовета является важным источником сведений об инцидентах информационной безопасности, поэтому необходимо донести до сотрудников информацию о том, что оперативно предоставленные сведения об инциденте информационной безопасности являются основанием для смягчения либо отмены наказания за нарушение требований информационной безопасности.
Приложение 18
к постановлению
Администрации Шастовского сельсовета
от 20 мая 2014 года № 28
« Об утверждении документов определяющих политику в отношении обработки персональных
данных в Администрации Шастовского сельсовета _____________________ »
Дополнительное соглашение № ______
к договору от "___" ____________ 20___ года № _________
село Шастово "___" ____________ 20___ года
Администрация Шастовского сельсовета Варгашинского района Курганской области, в лице Главы Шастовского сельсовета Речкиной Л.В., действующего на основании __________, именуемое в дальнейшем "Заказчик", с одной стороны, и ______________________________________________________, в лице ____________________________________________________, действующего на основании _______________, именуемое в дальнейшем "Исполнитель", с другой стороны, совместно именуемые "Стороны", заключили настоящее дополнительное соглашение о нижеследующем:
Дополнить договор от "____" _____________ 20___ года № _____ разделом следующего содержания:
Конфиденциальность и безопасность персональных данных.
1. Вся предоставляемая Сторонами друг другу информация считается конфиденциальной и не подлежит разглашению третьим лицам.
2. Исполнитель обязуется осуществлять обработку персональных данных субъекта Заказчика в соответствии с принципами и правилами обработки персональных данных, предусмотренных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных".
3. Цель обработки персональных данных субъекта Заказчика:
(указать цели обработки)
4. Перечень действий (операций) по обработке персональных данных, которые будут совершаться лицом, осуществляющим обработку персональных данных, в рамках поручения: ___________________________________________
(указать перечень действий)
5. Исполнитель вправе осуществлять обработку следующих персональных данных субъекта Заказчика: _______________________________
(указать категории персональных данных)
6. Исполнитель обязуется соблюдать конфиденциальность полученных персональных данных субъекта Заказчика и обеспечить безопасность персональных данных при их обработке.
7. Исполнитель при обработке персональных данных субъекта Заказчика обязуется принимать все необходимые организационные, технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования,
копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
8. Исполнитель обязуется обеспечивать безопасность персональных данных применением таких мер как: определение угроз безопасности персональных данных при их обработке в информационных системах; учёт машинных носителей персональных данных; обнаружение фактов несанкционированного доступа к персональным данным и принятием мер; контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных; и другие меры.
9. Стороны принимают все необходимые меры для того, чтобы предотвратить разглашение получаемой информации в рамках настоящего договора. Информация может быть предоставлена третьим лицам только в порядке, установленным действующим законодательством Российской Федерации.
10. Настоящее дополнительное соглашение является неотъемлемой частью договора от "___" _____________ 20___ года № _________, составлено в двух экземплярах, имеющих одинаковую юридическую силу, по одному экземпляру для каждой из Сторон.
11. Дополнительное соглашение вступает в силу с момента подписания настоящего соглашения Сторонами.
АДРЕСА И РЕКВИЗИТЫ СТОРОН
Приложение 19
к постановлению
Администрации Шастовского сельсовета
от 20 мая 2014 года № 28
« Об утверждении документов определяющих политику в отношении обработки персональных
данных в Администрации Шастовского сельсовета »
ТИПОВАЯ ФОРМА
разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные
В соответствие с принципами обработки персональных данных, установленными Федеральным Законом от 27.06.2006 № 152-ФЗ "О персональных данных", при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, и актуальность по отношению к заявленным целям обработки персональных данных.
Кроме того, оператор должен принимать необходимые меры по уточнению неполных или неточных персональных данных.
В случае, если субъект персональных данных отказывается предоставить свои персональные данные, либо представленные персональные данные являются неточными и (или) неполными по отношению к заявленным целям обработки персональных данных, Администрация Шастовского сельсовета (далее – Администрация Шастовского сельсовета) оставляет за собой право отказать в предоставлении своих услуг субъекту персональных данных.
Если Администрация Шастовского сельсовета выявит факт умышленного представления субъектом неверных персональных данных, то Администрация Шастовского сельсовета может потребовать с субъекта возмещения соответствующих затрат.
Глава Шастовского сельсовета Л.В.Речкина
Приложение 20
к постановлению
Администрации Шастовского сельсовета
от 20 мая 2014 года № 28
« Об утверждении документов определяющих политику в отношении обработки персональных
данных в Администрации Шастовского сельсовета »
Образец согласия субъекта на обработку его ПД
Главе Шастовского сельсовета
Администрации Шастовского сельсовета
Л.В.Речкиной
ЗАЯВЛЕНИЕ
о согласии субъекта на обработку его персональных данных
Я, ____________________________________, проживающий (-ая) по адресу ______________________________________________________, паспорт серии _________________, номер ________________, выдан_________________ _______________________________________"___"______________ ______ года, в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных" даю согласие Администрации Шастовского сельсовета (далее – Администрация Шастовского сельсовета), по адресу 641244, Варгашинский район,Курганская область, село Шастово, ул.Центральная, дом 3 на обработку моих персональных данных, а именно:
□ ФИО □ Адрес □ Образование
□ Дата рождения □ Паспортные данные □ ИНН
□ Место рождения □ Семейное положение □ Профессия
□ другие:
(перечислить дополнительные категории персональных данных)
В целях
(указать цели обработки)
Перечень действий, осуществляемых с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование, уничтожение;
Администрация Шастовского сельсовета осуществляет смешанную обработку персональных данных с применением ЭВМ, без передачи по внутренней сети и сети интернет.
Согласие вступает в силу со дня его подписания и действует в течение __________________. Действие настоящего согласия прекращается досрочно в случае принятия оператором решения о прекращении обработки персональных данных и/или уничтожения документов содержащих персональные данные.
Согласие может быть отозвано мною в любое время на основании моего письменного заявления.
"___"__________ 2014года _____________________
(подпись)
Приложение 21
к постановлению
Администрации Шастовского сельсовета
от 20 мая 2014 года № 28
« Об утверждении документов определяющих политику в отношении обработки персональных
данных в Администрации Шастовского сельсовета »
Руководителю Управления
Федеральной службы по надзору в сфере связи,
информационных технологий и массовых коммуникаций
по Курганской области
640002 г. Курган ул. М. Горького, 40
УВЕДОМЛЕНИЕ
об обработке персональных данных Администрации Шастовского сельсовета Варгашинского района Курганской области
Наименование, адрес, реквизиты
Тип оператора Муниципальный орган
Наименование оператора Администрация Шастовского сельсовета Варгашинского района Курганской области (далее - Учреждение)
Сокращенное наименование оператора Администрация Шастовского сельсовета
Адрес местонахождения 641244, Варгашинский район Курганская область, село Шастово, улица Центральная,дом 3
Почтовый адрес 641244, Варгашинский район Курганская область, село Шастово, улица Центральная,дом 3
Регион Курганская область
ИНН 4505003681
ОГРН 1024501415443
Цель обработки персональных данных
- предоставление государственных и муниципальных услуг.
Категории персональных данных
В Учреждении осуществляется обработка следующих категорий персональных данных:
- адрес;
- год рождения;
- гражданство;
- дата рождения;
- имущественное положение;
- контактные сведения;
- место рождения;
- паспортные данные;
- сведения о воинском учёте;
- семейное положение;
- состав семьи;
- социальное положение;
- степень родства;
- фамилия, имя, отчество.
Биометрические персональные данные (фотография) - не обрабатывается.
Категории субъектов персональных данных
- граждане, обратившиеся за получением услуги.
Правовое основание обработки персональных данных
Учреждение обрабатывает персональные данные, руководствуясь:
- внутренними документами в области защиты персональных данных;
- Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
- уставом;
- договорами с контрагентами;
- ст. ст. 85-90 Трудового кодекса РФ.
Перечень действий с персональными данными
Учреждение осуществляет следующие действия, совершаемые с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, персональных данных.
Учреждение осуществляет смешанную обработку персональных данных с применением ЭВМ, без передачи по внутренней сети и сети интернет.
Трансграничная передача персональных данных не осуществляется.
Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»
Выполняется комплекс организационных и технических мер:
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных закону "О персональных данных" и внутренним документам Администрации Шастовского сельсовета по вопросам обработки персональных данных;
- ознакомление работников, осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, политикой Администрации Шастовского сельсовета в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
- назначение Ответственного за организацию обработки персональных данных;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Сведения о мерах обеспечения безопасности персональных данных в соответствии с требованиями, установленными Правительством РФ
- ;
Сведения о наличии шифровальных (криптографических) средств
Для обеспечения безопасности персональных данных криптографические средства не применяются
Средства обеспечения безопасности
- Средство защиты информации от НСД;
- Антивирусное средство.
Классы информационных систем персональных данных
K1 K2 K3 K4
Сведения об ответственном за обработку персональных данных
Главный специалист Администрации Шастовского сельсовета И.Г. Кунгурцева
Тел.: 8(35233)23735
641244, Варгашинский район Курганская область, село Шастово, улица Центральная,дом 3
Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.
Дата начала обработки персональных данных
Персональные данные обрабатываются с 10.03.1994 г.
Срок или условие прекращения обработки персональных данных
Персональные данные субъектов подлежат уничтожению либо обезличиванию в случае:
- достижения целей обработки персональных данных или утраты необходимости в достижении этих целей;
- прекращения деятельности Администрации Шастовского сельсовета.
"____" _________________ 20__ года
Приложение 22
к постановлению
Администрации Шастовского сельсовета
от 20 мая 2014 года № 28
« Об утверждении документов определяющих политику в отношении обработки персональных
данных в Администрации Шастовского сельсовета» __________________
ЗАКЛЮЧЕНИЕ
об оценке вреда субъектам персональных данных Администрации Шастовского сельсовета
Оглавление
1. Аннотация 3
2. Оценка вреда субъекту персональных данных 3
3. Возможный вред субъекту персональных данных по типам угроз 4
4. Оценка затрат оператора на ликвидацию последствий нарушений
заданных характеристик безопасности 5
4.1 Уведомление субъектов 5
4.2 Штрафы 6
4.3 Контроль эффективности системы защиты 6
4.4 Ущерб репутации 6
5. Общие затраты на ликвидацию последствий нарушений заданных
характеристик безопасности персональных данных 6
6. Меры по защите персональных данных 7
7. Вывод 8
3
1. Аннотация
В соответствии со ст. 18.1 Федерального закона № 152-ФЗ "О персональных данных", оператор обязан принимать меры по обеспечению выполнения обязанностей, предусмотренных данным законом. К таким мерам, согласно п 5. ч. 1 ст. 18.1, так же относятся мероприятия, направленные на оценку вреда, который может быть причинен субъектам персональных данных Администрации Шастовского сельсовета (далее – Учреждение) в случае нарушения Федерального закона "О персональных данных", соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных". На основании ч.4 ст. 18.1 Закона оператор обязан предоставить документы, подтверждающие выполнение мероприятий по оценке вреда, по запросу органа по защите прав субъектов персональных данных, которым является Роскомнадзор.
Данный документ содержит оригинальное исследование в области защиты персональных данных, направленное на выявление степени возможного ущерба субъектам персональных данных и оператору персональных данных Учреждения в случае реализации угроз безопасности персональных данных, обрабатываемых в информационных системах персональных данных Учреждения.
Заключение содержит численные характеристики ущерба, взятые из открытых источников и основанные на судебных прецедентах, однако детальный анализ размера возможного ущерба затруднен в связи с отсутствием единой базы инцидентов информационной безопасности и нормативных документов Правительства РФ, ФСБ России, ФСТЭК России по оценке вреда субъектам персональных данных.
В документе представлен расчет максимального вреда оператору и субъектам ПДн и делается вывод о соотношении указанного вреда и принимаемых оператором мер по обеспечению безопасности персональных данных.
2. Оценка вреда субъекту персональных данных
В соответствие с ч.2 ст. 24 Федерального закона № 152-ФЗ "О персональных данных", субъект ПДн имеет право взыскать с оператора моральный вред независимо от возмещения имущественного вреда и понесенных субъектом ПДн убытков.
В соответствии с категориями обрабатываемых персональных данных, установленными Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, принята следующая классификация степени вреда:
4
Категория ПДн Качественная оценка вреда Вероятная сумма вреда
(тыс. рублей)
1 2 3
персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни значительные негативные последствия для субъекта ПДн 50,0
биометрические персональные данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных негативные последствия средней тяжести 25,0
общедоступные персональные данные без негативных последствий 0,0
иные категории персональных данных негативные последствия средней тяжести 25,0
Таким образом, общий возможный вред субъектам персональных данных может составить:
Наименование
ИСПДн Класс Общее количество субъектов Вероятность вреда Общий вред с учетом вероятности вреда
(рублей)
1 2 3 4 5
1 С предприятие 877 0,1 4 385 000,00 р.
smart-МСУ 877 0,1 2 192 500,00 р.
3. Возможный вред субъекту персональных данных по типам угроз
Все возможные угрозы персональным данным можно разбить на следующие категории:
Нарушения заданных характеристики безопасности персональных данных Вред субъекту персональных данных
1 2
Нарушение конфиденциальности:
· распространение персональных данных;
· утечка персональных данных;
· предоставление персональных данных третьему лицу в нарушение интересов субъекта персональных данных максимальный вред субъекту персональных данных
5
1 2
Нарушение целостности:
· обработка неправильных либо неполных персональных данных;
· несанкционированное уничтожение персональных данных половина от максимально возможного ущерба
Нарушение доступности:
· несанкционированное блокирование персональных данных;
· неправомерный отказ в доступе к своим персональным данным незначительный вред субъекту персональных данных
4. Оценка затрат оператора на ликвидацию последствий нарушений заданных характеристик безопасности
Для определения оптимального состава мер по обеспечению безопасности персональных данных, необходимо оценить ущерб оператору, который помимо затрат на компенсацию морального ущерба субъектам персональных данных будет складываться из:
· затрат на уведомление субъектов;
· штрафов;
· затрат на контроль эффективности системы защиты;
· компенсации ущерба репутации Учреждения.
4.1. Уведомление субъектов
В соответствие с ч.3 ст. 21 № 152-ФЗ "О персональных данных", оператор обязан уведомить субъекта персональных данных о неправомерной обработке его ПДн в трехдневный срок.
Затраты на уведомление составят:
Перечень мероприятий Средние затраты оператора на уведомление одного субъекта
(рублей)
1 2
Составить и распечатать уведомление на каждого субъекта 15,0
Отослать уведомление заказным письмом 100,0
Срочное уведомление субъекта по телефону 35,0
Общие затраты на уведомление субъектов персональных данных Учреждения могут составить:
Наименование ИСПДн Общее количество субъектов Сумма затрат на уведомление субъектов
1 2 3
1 С предприятие 877 131550
smart-МСУ 877 131550
6
1 2 3
4.2. Штрафы
В случае распространения персональных данных субъекта персональных данных, штрафы могут составить:
· Ст. 13.11 КоАП "Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)" – до 10 000 руб.
· Статья 137 УК РФ "Нарушение неприкосновенности частной жизни" – до 300 000 руб.
4.3. Контроль эффективности системы защиты
В случае компрометации системы безопасности персональных данных, оператору с привлечением организации лицензиата ФСТЭК России необходимо выполнить перечень мероприятий по контролю эффективности системы защиты, который включает в себя:
· анализ и оценку исходных данных и документации по защите информации на объекте информатизации;
· проверку состава технических средств, средств защиты информации, их состояния, взаимного размещения технических средств объекта информатизации;
· изучение технологического процесса обработки и хранения информации, анализ информационных потоков на объекте информатизации;
· проверку состояния организации работ и выполнения организационно-технических требований по защите информации на объекте информатизации;
· испытания технических и программных средств защиты информации объекта информатизации (по соответствующим методикам);
· контроль эффективности защиты информации от НСД;
· анализ результатов работы комиссии и выдачу заключения.
Затраты проведение указанных работ определяются при привлечении организации лицензиата ФСТЭК России.
4.4. Ущерб репутации
Ущерб репутации Учреждения может привести к значительным негативным последствиям.
5. Общие затраты на ликвидацию последствий нарушений заданных характеристик безопасности персональных данных
7
Общие затраты на ликвидацию последствий нарушений заданных характеристик безопасности персональных данных в Учреждении приведены в таблице ниже.
Таблица 1. Общие затраты на ликвидацию последствий нарушений заданных характеристик безопасности персональных данных
ИСПДн Затраты
1 2
1 С предприятие Вред субъектам от нарушения
Конфиденциальности ПДн 2 192 500,00 р.
целостности ПДн 1 096 250,00 р.
доступности ПДн Не оценивается
Уведомление субъектов о неправомерной обработке 131 550,00 р.
Штраф по статье 13.11 КоАП 10 000,00р.
Общий ущерб по ИСПДн 3 430 300,00 р.
smart-МСУ Вред субъектам от нарушения
Конфиденциальности ПДн 2 192 500,00 р.
целостности ПДн 1 096 250,00 р.
доступности ПДн Не оценивается
Уведомление субъектов о неправомерной обработке 131 550,00 р.
Штраф по статье 13.11 КоАП 10 000,00р.
Общий ущерб по ИСПДн 3 430 300,00 р.
Итоговый ущерб без учета затрат на проведение контроля эффективности и ущерба репутации 13 721 200,00 р.
6. Меры по защите персональных данных
В Учреждении выполняется комплекс организационных и технических мер:
-осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных закону "О персональных данных" и внутренним документам Учреждения по вопросам обработки персональных данных;
-ознакомление работников, осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, политикой Учреждения в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
-назначение Ответственного за организацию обработки персональных данных;
-установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением
8
регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
-контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
7. Вывод
Принимаемые меры позволяют обеспечить адекватный уровень защиты персональных данных субъектов в ИСПДн Учреждения и полностью соответствуют требованиям законодательства РФ в области защиты персональных данных.
Остаточные риски после реализации комплекса мер по созданию и поддержанию системы информационной безопасности Учреждения признаются приемлемыми.
4
Приложение 23
к постановлению
Администрации Шастовского сельсовета
от 20 мая 2014 года № 28
« Об утверждении документов определяющих политику в отношении обработки персональных
данных в Администрации Шастовского сельсовета »
ИНСТРУКЦИЯ
об осуществлении контроля выполнения требований по защите персональных данных в Администрации Шастовского сельсовета Варгашинского района Курганской области
Настоящая инструкция определяет порядок организации и осуществления контроля выполнения требований по защите персональных данных в структурных подразделениях Администрации Шастовского сельсовета Варгашинского района Курганской области (далее – Учреждение).
Требования инструкции обязательны для исполнения всеми должностными лицами Учреждения, осуществляющими контроль состояния защиты персональных данных.
1. Общие положения
Контроль выполнения требований по защите персональных данных в структурных подразделениях Учреждения осуществляется с целью определения наличия несоответствий между требуемым уровнем защиты персональных данных и его фактическим состоянием, а также выработать меры по их устранению и недопущению в дальнейшем.
Контроль осуществляет Ответственный за организацию обработки персональных данных Учреждения. Для участия в проведении контроля решением Ответственного за организацию обработки персональных данных могут также привлекаться другие специалисты подразделений Учреждения (по согласованию с их руководителями). В таких случаях контроль носит комплексный характер.
Контроль проводится в форме плановых и внеплановых проверок. Внеплановые проверки могут быть контрольными и по частным вопросам.
Контрольные проверки проводятся для установления полноты выполнения рекомендаций плановых проверок.
Проверки по частным вопросам охватывают отдельные направления по защите персональных данных и могут проводиться в случаях, когда стали известны факты несанкционированного доступа, утечки либо утраты персональных данных субъектов Учреждения или нарушения требований по
2
защите персональных данных.
Сроки проведения контрольных проверок доводятся руководителям проверяемых подразделений не позднее, чем за 24 часа до начала проверки.
Проверки по частным вопросам могут проводиться без уведомления руководителей проверяемых подразделений.
Периодичность и сроки проведения плановых проверок подразделений Учреждения устанавливаются графиком проверок на календарный год. План утверждает Глава Шастовского сельсовета Учреждения. Сроки проведения плановых проверок доводятся руководителям проверяемых подразделений не позднее, чем за 10 суток до начала проверки.
2. Порядок подготовки к проверке
Для участия в проведении проверки Ответственным за организацию обработки персональных данных заблаговременно назначаются соответствующие компетентные специалисты (далее – проверяющие лица). В случае проведения проверки комиссией также назначается ее председатель.
Председатель комиссии (старший по проверке) подготавливает в адрес руководителя проверяемого подразделения распоряжение о проверке за подписью Ответственного за организацию обработки персональных данных Учреждения и перечень вопросов проверки (при необходимости). Председатель комиссии (старший по проверке) распределяет обязанности по проверке конкретных участков работы между проверяющими лицами.
Проверяющие лица инструктируются непосредственным начальником об особенностях работы в конкретном подразделении Учреждения. За 3 – 4 дня до начала проверки они должны изучить материалы предыдущих проверок данного подразделения, уточнить наличие в нем защищаемых ресурсов, сил и средств защиты персональных данных, а также особенности их функционирования.
В случае проведения проверки удаленных структурных подразделений с выездом в служебную командировку лица, направляемые на проверку, должны оформить в установленном порядке необходимые командировочные документы.
3. Порядок проведения проверки
По прибытию в подразделение для проведения проверки председатель комиссии (старший по проверке) прибывает к руководителю проверяемого подразделения Учреждения, представляется ему и представляет других прибывших на проверку лиц. При этом согласовываются конкретные вопросы по объему, содержанию, срокам проверки, а также каких должностных лиц подразделения необходимо привлечь к проверке и какие объекты следует посетить. Допуск лиц, прибывших на проверку, к конкретным информационным ресурсам, охраняемым сведениям и техническим средствам
3
производится руководителем подразделения на основании распоряжения о проверке. Подобный допуск должен исключать ознакомление проверяющих лиц с конкретными персональными данными.
На период проведения контрольных мероприятий обработку персональных данных необходимо по возможности прекращать.
Руководителем подразделения принимаются необходимые меры для обеспечения работы комиссии по проверке и определяется должностное лицо подразделения, ответственное за обеспечение работы комиссии.
В ходе осуществления контроля выполнения требований по защите персональных данных в подразделении Учреждения проверке подлежат следующие показатели:
1) В части общей организации работ по защите персональных данных:
- соответствие информации, указанной в уведомлении об обработке персональных данных, реальному положению дел;
- наличие нормативных документов по защите персональных данных;
- знание нормативных документов сотрудниками, имеющими доступ к персональным данным;
- полнота и правильность выполнения требований нормативных документов сотрудниками, имеющими доступ к персональным данным;
- наличие лиц, назначенные Ответственным за организацию обработки персональных данных в подразделении, уровень их профессиональной подготовки и способность выполнить возложенные обязанности;
- наличие согласий на обработку персональных данных субъектов персональных данных. Соответствие объема персональных данных и сроков обработки целям обработки персональных данных;
- соответствие схемы контролируемой зоны, перечня мест хранения материальных носителей, перечня лиц, допущенных к обработке персональных данных фактическому состоянию.
2) В части защиты персональных данных в информационных системах персональных данных (ИСПДн):
- соответствие средств вычислительной техники ИСПДн показателям, указанным в документации на ИСПДн;- структура и состав локальных вычислительных сетей, организация разграничения доступа пользователей к сетевым информационным ресурсам, порядок защиты охраняемых сведений при передаче (обмене) персональных данных в сети передачи данных (СПД);
- соблюдение установленного порядка использования средств вычислительной техники ИСПДн;
- наличие и эффективность применения средств и методов защиты персональных данных, обрабатываемых на средствах ЭВТ;
- соблюдение требований, предъявляемых к паролям на информационные ресурсы;
- соблюдение требований и правил антивирусной защиты ПЭВМ и программ;
- контроль журналов учета носителей персональных данных. Сверка
4
основного журнала с дублирующим (если требуется ведение дублирующего учета носителей);
- тестирование реализации правил фильтрации межсетевого экрана, процесса регистрации, процесса идентификации и аутентификации запросов, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления настроек межсетевого экрана.
3) В части защиты информационных ресурсов и помещений:
- правильность отнесения обрабатываемой информации к персональным данным;
- правильность классификации информационной системы;
- закрепление гражданско-правовой ответственности в сфере информационной безопасности и соблюдения режима конфиденциальности персональных данных в правилах внутреннего трудового распорядка, положениях о подразделениях Учреждения, должностных инструкциях сотрудников и трудовых договорах;
- порядок передачи персональных данных органам государственной власти, местного самоуправления и сторонним организациям (контрагентам);
- действенность принимаемых мер по защите охраняемых сведений в ходе подготовки материалов к открытому опубликованию и при изготовлении рекламной продукции;
- состояние конфиденциального делопроизводства, соблюдение установленного порядка подготовки, учета, использования, хранения и уничтожения документов, содержащих персональные данные;
- выполнение требований по правильному оборудованию защищаемых помещений и предотвращению утечки охраняемых сведений при проведении мероприятий конфиденциального характера;
- соответствие защищаемых помещений их техническим паспортам.
Более подробно вопросы, подлежащие проверке, могут раскрываться в отдельных документах (методических рекомендациях, технологических картах, памятках и т.п.).
В ходе работы проверяющие лица должны принимать меры по устранению на месте отмечаемых нарушений и недостатков. Для этого с должностными лицами подразделения, ответственными за конкретные участки работы, где отмечались недостатки, одновременно должны проводиться разъяснения требований руководящих документов и оказываться практическая помощь в правильной постановке работы.
Недостатки, которые не могут быть устранены на месте, включаются в итоговый документ по результатам проверки.
4. Оформление результатов проверки
Результаты проверки оформляются:
5
- актом - при проведении проверки комиссией;
- служебной запиской - при проведении проверки назначенными специалистами.
Акт (служебная записка) составляется в двух экземплярах, как правило, на месте в подразделении, подписывается председателем и членами комиссии (старшим по проверке), докладывается под роспись руководителю подразделения и представляется на утверждение (на доклад) Ответственному за организацию обработки персональных данных Учреждения. Один экземпляр документа высылается в подразделение.
В случае несогласия с выводами комиссии (проверяющих лиц) руководитель подразделения может выразить в письменном виде свое особое мнение (прилагается к акту или служебной записке).
Результаты проверок подразделений периодически обобщаются Ответственным за организацию обработки персональных данных Учреждения и доводятся до руководителей подразделений. При необходимости принятия решений по результатам проверок подразделений Главе Шастовского сельсовета Учреждения готовятся соответствующие служебные записки.
Приложение 24
к постановлению
Администрации Шастовского сельсовета
от 20 мая 2014 года № 28
« Об утверждении документов определяющих политику в отношении обработки персональных
данных в Администрации Шастовского сельсовета »
ИНСТРУКЦИЯ
по допуску лиц в помещения Администрации Шастовского сельсовета Варгашинского района Курганской области, в которых ведется обработка персональных данных
1. Общие положения
1.1. Настоящая инструкция разработана в целях обеспечения безопасности персональных данных, средств вычислительной техники информационных систем персональных данных, материальных носителей персональных данных, а так же обеспечения внутриобъектового режима.
Объектами охраны Администрации Шастовского сельсовета Варгашинского района Курганской области (далее – Учреждение) являются:
- помещения, в которых происходит обработка персональных данных как с использованием средств автоматизации, так и без таковых;
- помещения, аттестованные по требованиям безопасности речевой информации (далее – защищаемые помещения (ЗП));
- помещения, в которых установлены компьютеры, сервера и коммутационное оборудование, участвующее в обработке персональных данных;
- помещения, в которых хранятся материальные носители персональных данных;
- помещения, в которых хранятся резервные копии персональных данных.
1.2. Бесконтрольный доступ посторонних лиц в указанные помещения должен быть исключен.
1.3. К следующим категориям объектов охраны Учреждения (далее – спецпомещения) предъявляются ужесточенные требования по безопасности: помещения, в которых установлены криптографические средства, предназначенные для шифрования персональных данных (в том числе носители ключевой информации).
1.4. Ответственность за соблюдение положений настоящей инструкции несут сотрудники структурных подразделений, обрабатывающих
2
персональные данные, а так же руководители структурных подразделений.
1.5. Контроль за соблюдением требований настоящей инструкции обеспечивает Ответственный пользователь криптосредств.
1.6. Некоторые положения данной инструкции могут не применяться в зависимости от специфики обработки персональных данных структурными подразделениями Учреждения по согласованию с Ответственным за организацию обработки персональных данных.
1.7. Все объекты охраны Учреждения должны быть оборудованы охранной сигнализацией, либо предусматривать круглосуточное дежурство.
1.8. Ограждающие конструкции объектов охраны должны предполагать существенные трудности для нарушителя по их преодолению. Пример: металлические решетки на окнах, металлическая дверь, СКУД и т.д.
2. Допуск в помещения, в которых ведется обработка персональных данных
2.1. Доступ посторонних лиц в помещения, в которых ведется обработка персональных данных, должен осуществляется только ввиду служебной необходимости.
2.2. При этом на момент присутствия посторонних лиц в помещении должны быть приняты меры по недопущению ознакомления посторонних лиц с персональными данными. Пример: мониторы повернуты в сторону от посетителей, документы убраны в стол, либо находятся в непрозрачной папке (накрыты чистыми листами бумаги).
2.3. Допуск сотрудников в помещения, в которых ведется обработка персональных данных, оформляется после подписания сотрудником обязательства о неразглашении и инструктажа Ответственного за организацию обработки персональных данных, либо Ответственного за обеспечение безопасности информационных систем персональных данных.
2.4. В нерабочее время помещения, в которых ведется обработка персональных данных, должны ставиться на охрану. При этом все окна и двери в смежные помещения должны быть надежно закрыты, материальные носители персональных данных должны быть убраны в запираемые шкафы (сейфы), компьютеры выключены либо заблокированы.
3. Допуск в серверные помещения
3.1. Доступ в серверные помещения разрешен только Ответственному за техническое обслуживание ИСПДн, Ответственному за обеспечение безопасности информационных систем персональных данных и Ответственному за организацию обработки персональных данных. Уборка серверных помещений происходит только при строгом контроле указанных лиц.
3.2. Серверное помещение в обязательном порядке оснащается охранной сигнализацией, системой видеонаблюдения и системой автономного питания
3
средств охраны.
3.3. Доступ в серверные помещения посторонних лиц допускается строго по согласованию с Ответственным за организацию обработки персональных данных.
3.4. Нахождение в серверных помещениях посторонних лиц без сопровождающего не допустимо.
4. Допуск лиц в спецпомещения
4.1. Спецпомещения выделяют с учетом размеров контролируемых зон, регламентированных эксплуатационной и технической документацией к криптосредствам. Помещения должны иметь прочные входные двери с замками, гарантирующими надежное закрытие помещений в нерабочее время. Окна помещений, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в спецпомещения посторонних лиц, необходимо оборудовать металлическими решетками, или ставнями, или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в спецпомещения.
4.2. Размещение, специальное оборудование, охрана и организация режима в спецпомещениях должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.
4.3. Для предотвращения просмотра извне спецпомещений их окна должны быть защищены.
4.4. Спецпомещения, как правило, должны быть оснащены охранной сигнализацией, связанной со службой охраны здания или дежурным по организации. Исправность сигнализации периодически необходимо проверять Ответственному пользователю криптосредств совместно с представителем службы охраны или дежурным по организации с отметкой в соответствующих журналах.
4.5. Для хранения ключевых документов, эксплуатационной и технической документации, инсталлирующих криптосредства носителей должно быть предусмотрено необходимое количество надежных металлических хранилищ, оборудованных внутренними замками с двумя экземплярами ключей и кодовыми замками или приспособлениями для опечатывания замочных скважин. Один экземпляр ключа от хранилища должен находиться у Ответственного пользователя криптосредств.
4.6. По окончании рабочего дня спецпомещение и установленные в нем хранилища должны быть закрыты, хранилища опечатаны.
4.7. Ключи от спецпомещений, а также ключ от хранилища, в котором находятся ключи от всех других хранилищ спецпомещения, в опечатанном виде должны быть сданы под расписку в соответствующем журнале службы охраны или дежурному по организации одновременно с передачей под охрану
4
самих спецпомещений. Печати, предназначенные для опечатывания хранилищ, должны находиться у пользователей криптосредств, ответственных за эти хранилища.
4.8. При утрате ключа от хранилища или от входной двери в спецпомещение замок необходимо заменить или переделать его секрет с изготовлением к нему новых ключей с документальным оформлением. Если замок от хранилища переделать невозможно, то такое хранилище необходимо заменить. Порядок хранения ключевых и других документов в хранилище, от которого утрачен ключ, до изменения секрета замка устанавливает Ответственный пользователь криптосредств.
4.9. В обычных условиях спецпомещения, находящиеся в них опечатанные хранилища могут быть вскрыты только пользователями криптосредств или Ответственным пользователем криптосредств.
При обнаружении признаков, указывающих на возможное несанкционированное проникновение в эти помещения или хранилища посторонних лиц, о случившемся должно быть немедленно сообщено Ответственному пользователю криптосредств. Прибывший Ответственный пользователь криптосредств должен оценить возможность компрометации хранящихся ключевых и других документов, составить акт и принять, при необходимости, меры к локализации последствий компрометации персональных данных и к замене скомпрометированных криптоключей.
4.10. Размещение и монтаж криптосредств, а также другого оборудования, функционирующего с криптосредствами, в спецпомещениях должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными криптосредствами.
4.11. На время отсутствия пользователей криптосредств указанное оборудование, при наличии технической возможности, должно быть выключено, отключено от линии связи и убрано в опечатываемые хранилища. В противном случае по согласованию с Ответственным пользователем криптосредств необходимо предусмотреть организационно-технические меры, исключающие возможность использования криптосредств посторонними лицами.