ПОСТАНОВЛЕНИЕ от 17 июля 2014 года № 32

  • Печать

КУРГАНСКАЯ ОБЛАСТЬ

ВАРГАШИНСКИЙ РАЙОН

УРАЛЬСКИЙ  СЕЛЬСОВЕТ

АДМИНИСТРАЦИЯ  УРАЛЬСКОГО СЕЛЬСОВЕТА

 

 

ПОСТАНОВЛЕНИЕ

 

 

от  17 июля 2014  года № 32

с. Яблочное

 

Об утверждении документов определяющих политику в отношении обработки персональных данных в Администрации  Уральского  сельсовета

 

В целях исполнения требований Федерального закона от 27 июля 2006 года 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», Администрация  Уральского  сельсовета ПОСТАНОВЛЯЕТ:

1. Утвердить:

1)                акт уничтожения документов Администрации Уральского сельсовета, содержащих персональные данные субъекта согласно приложению 1 к настоящему постановлению;

2)            акт уничтожения полей баз данных Администрации Уральского сельсовета, содержащих персональные данные субъекта согласно приложению 2 к настоящему постановлению;

3)                уведомление об удалении персональных данных
 согласно приложению 3 к настоящему постановлению;

4)           акт установления уровня защищенности персональных данных "1с предприятие" согласно приложению 4 к настоящему постановлению;

5)           акт установления уровня защищенности персональных данных "система исполнения регламентов" согласно приложению 5 к настоящему постановлению;

6)           акт установления уровня защищенности персональных данных "типовое решение межведомственного взаимодействия" согласно приложению 6 к настоящему постановлению;

7)           акт установления уровня защищенности персональных данных "муниципальное самоуправление-смарт" согласно приложению 7 к настоящему постановлению;

8)               журнал регистрации письменных запросов граждан на доступ к своим персональным данным согласно приложению 8 к настоящему постановлению;

9)               журнал обращений граждан для получения доступа к своим персональным данным согласно приложению 9 к настоящему постановлению;

10)           обязательство о неразглашении персональных данных субъектов Администрации  Уральского сельсовета согласно приложению 10 к настоящему постановлению;

11)           типовую форму заявления о прекращении обработки персональных данных согласно приложению 11 к настоящему постановлению;

12)           перечень информационных систем персональных данных администрации Варгашинского поссовета согласно приложению 12 к настоящему постановлению.

13)            план внутренних проверок состояния защиты персональных данных
Администрации Уральского сельсовета на 2014 год согласно приложению 13 к настоящему постановлению;

14)           план мероприятий по защите персональных данных в Администрации Уральского сельсовета согласно приложению 14 к настоящему постановлению;

15)           политика обработки персональных данных субъектов Администрации Уральского  сельсовета согласно приложению 15 к настоящему постановлению;

16)           положение об ответственном за организацию обработки персональных данных Администрации Уральского  сельсовета согласно приложению 16 к настоящему постановлению;

17)           положение по работе с инцидентами информационной безопасности согласно приложению 17 к настоящему постановлению;

18)           дополнительное соглашение согласно приложению 18 к настоящему постановлению;

19)           типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные согласно приложению 19 к настоящему постановлению;

20)           заявление о согласии субъекта на обработку его персональных данных согласно приложению 20 к настоящему постановлению;

21)           уведомление об обработке персональных данных Администрации Уральского  сельсовета согласно приложению 21 к настоящему постановлению;

22)           заключение об оценке вреда субъектам персональных данных Администрации  Уральского  сельсовета согласно приложению 22 к настоящему постановлению;

23)           инструкция об осуществлении контроля выполнения требований по защите персональных данных в Администрации  Уральского  сельсовета согласно приложению 23 к настоящему постановлению;

24)           инструкция по допуску лиц в помещения Администрации Уральского  сельсовета, в которых ведется обработка персональных данных согласно приложению 24 к настоящему постановлению.

2. Контроль за исполнением настоящего постановления возложить на главного специалиста Администрации  Уральского  сельсовета  Гилеву В.А.

 

      Глава  Уральского  сельсовета

Л.Ю.Широких

 

 

Приложение 1

к постановлению

Администрации  Уральского  сельсовета  

от 17 июля 2014 года № 32

« Об утверждении документов определяющих политику в отношении обработки персональных данных в Администрации

 Уральского  сельсовета  »

 

 

 

 

 

 

А К Т № _____
уничтожения документов Администрации  Уральского  сельсовета, содержащих персональные данные субъекта

 
 

Состав комиссии:

 

Председатель комиссии:

_________________________

Члены комиссии:

_________________________

 

_________________________

 

_________________________

Комиссия произвела отбор к уничтожению следующих документов, содержащих персональные данные субъекта ПДн:


п/п

Наименование
документа

Регистрационный номер документа

Дата
регистрации

Номер
экз.

Количество листов документа /приложения

1

2

3

4

5

6

 

 

 

 

 

 

Причина уничтожения:

достижение целей обработки;

решение субъекта ПДн;

недостоверные ПДн.

Всего подлежит уничтожению ______ (______________________)

 

(цифрами)

(прописью)

наименований документов.

Документы уничтожены путем измельчения на бумагорезательной машине.

Председатель комиссии:

____________

________________________

Члены комиссии:

____________

________________________

 

____________

________________________

 

____________

________________________

                               

 

 

 

А К Т № _____
уничтожения полей баз данных Администрации  Уральского  сельсовета, содержащих персональные данные субъекта

 
 

Состав комиссии:

 

Председатель комиссии:

_________________________

Члены комиссии:

_________________________

 

_________________________

 

_________________________

Комиссия произвела отбор к уничтожению следующих полей баз данных, содержащих персональные данные субъекта ПДн:


п/п

Наименование базы данных

Идентификационный номер поля данных

Наименование полей данных

1

2

3

4

 

 

 

 

Причина уничтожения:

достижение целей обработки;

решение субъекта ПДн;

недостоверные ПДн.

Всего подлежит уничтожению ______ (______________________)

 

(цифрами)

(прописью)

наименований полей базы данных.

Поля баз данных уничтожены путем затирания информации на носителях информации (в том числе и резервных копиях).

Председатель комиссии:

____________

________________________

Члены комиссии:

____________

________________________

 

____________

________________________

 

____________

________________________

                         

Приложение 2

к постановлению

Администрации   Уральского  сельсовета 

от 17 июля  2014 года № 32

« Об утверждении документов определяющих политику в отношении обработки персональных данных в Администрации  Уральского  сельсовета  »

 

 

 

 

 

УВЕДОМЛЕНИЕ
об удалении персональных данных

Уважаемый __________________________________________________.

 

Ф.И.О. субъекта персональных данных

 

 

Обработка Ваших персональных данных прекращена.

Ваши персональные данные, которые обрабатывались в Администрации Уральского  сельсовета, были уничтожены.

 

Приложение: копия акта об уничтожении на ____ листах.

 

Председатель комиссии  ____________   _________________________

Приложение 3

к постановлению

Администрации  Уральского  сельсовета 

от  17 июля  2014 года №32

« Об утверждении документов определяющих политику в отношении обработки персональных данных в Администрации Уральского  сельсовета  »

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Приложение 4

к постановлению

Администрации  Уральского  сельсовета 

от  17 июля  2014 года № 32

« Об утверждении документов определяющих политику в отношении обработки персональных данных в Администрации  Уральского  сельсовета»

 

 

 

 

 

 

 

АКТ
установления уровня защищенности персональных данных "1С Предприятие"
 
 

 

Состав комиссии:

 

Председатель комиссии:

 

 

 

 

Члены комиссии:

 

 

 

 

 

 

Комиссия, рассмотрев следующие исходные данные:

 

1. Информационная система является информационной системой: ИСПДн-Д, обрабатывающей общедоступные персональные данные;

 

2. Информационная система является информационной системой, обрабатывающей персональные данные сотрудников Администрации Уральского  сельсовета;

 

3. Информационная система обрабатывает персональные данные менее чем 100 000 субъектов персональных данных;

 

4. Для информационной системы актуальны угрозы третьего типа.

 

решила установить информационной системе 1С Предприятие необходимость обеспечения четвертого уровня защищенности персональных данных.

Настоящий акт составлен в единственном экземпляре.

 

 

Председатель комиссии

 

 

Члены комиссии:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Приложение 5

к постановлению

Администрации  Уральского  сельсовета 

от  17 июля  2014 года №32

« Об утверждении документов определяющих политику в отношении обработки персональных данных в Администрации  Уральского  сельсовета»

 

 

 

 

 

 

 

 

 

 

АКТ
установления уровня защищенности персональных данных "Система исполнения регламентов"
 
 

 

Состав комиссии:

 

Председатель комиссии:

 

 

 

 

Члены комиссии:

 

 

 

 

 

 

Комиссия, рассмотрев следующие исходные данные:

 

1. Информационная система является информационной системой: ИСПДн-И, обрабатывающей персональные данные, которые не могут быть отнесены к специальным категориям, к биометрическим, к общедоступным или обезличенным персональным данным

 

2. Информационная система является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками Администрации  Уральского  сельсовета;

 

3. Информационная система обрабатывает персональные данные менее чем 100 000 субъектов персональных данных;

 

4. Для информационной системы актуальны угрозы третьего типа.

 

решила установить информационной системе Система исполнения регламентов необходимость обеспечения четвертого уровня защищенности персональных данных.

Настоящий акт составлен в единственном экземпляре.

 

 

 

 

 

Члены комиссии:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

     

 

Приложение 6

к постановлению

Администрации  Уральского  сельсовета 

от 17 июля  2014 года №32

« Об утверждении документов определяющих политику в отношении обработки персональных данных в Администрации  Уральского  сельсовета»

 

 

 

 

 

 

 

 

АКТ
установления уровня защищенности персональных данных "Типовое решение межведомственного взаимодействия"
 
 

 

Состав комиссии:

 

Председатель комиссии:

 

 

 

 

Члены комиссии:

 

 

 

 

 

 

Комиссия, рассмотрев следующие исходные данные:

 

1. Информационная система является информационной системой: ИСПДн-И, обрабатывающей персональные данные, которые не могут быть отнесены к специальным категориям, к биометрическим, к общедоступным или обезличенным персональным данным

 

2. Информационная система является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками Администрации Уральского  сельсовета;

 

3. Информационная система обрабатывает персональные данные менее чем 100 000 субъектов персональных данных;

 

4. Для информационной системы актуальны угрозы третьего типа.

 

решила установить информационной системе Типовое решение межведомственного взаимодействия необходимость обеспечения четвертого уровня защищенности персональных данных.

Настоящий акт составлен в единственном экземпляре.

 

 

Председатель комиссии

 

 

Члены комиссии:

 

 

 

 

 

 

 

 

 

 

 

 

     

 

 

 

Приложение 7

к постановлению

Администрации  Уральского  сельсовета 

от 17 июля  2014 года № 32

« Об утверждении документов определяющих политику в отношении обработки персональных данных в Администрации  Уральского  сельсовета»

 

 

 

 

 

 

АКТ
установления уровня защищенности персональных данных "Муниципальное самоуправление-смарт"
 
 

 

Состав комиссии:

 

Председатель комиссии:

 

 

 

 

Члены комиссии:

 

 

 

 

 

 

Комиссия, рассмотрев следующие исходные данные:

 

1. Информационная система является информационной системой: ИСПДн-И, обрабатывающей персональные данные, которые не могут быть отнесены к специальным категориям, к биометрическим, к общедоступным или обезличенным персональным данным

 

2. Информационная система является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками Администрации уральского  сельсовета;

 

3. Информационная система обрабатывает персональные данные менее чем 100 000 субъектов персональных данных;

 

4. Для информационной системы актуальны угрозы третьего типа.

 

решила установить информационной системе Муниципальное самоуправление-смарт необходимость обеспечения четвертого уровня защищенности персональных данных.

Настоящий акт составлен в единственном экземпляре.

 

 

Председатель комиссии

 

 

Члены комиссии:

 

 

 

 

 

 

 

 

 

 

     

 

 

Приложение 8

к постановлению

Администрации  уральского сельсовета 

от 17 июля  2014 года №32

« Об утверждении документов определяющих политику в отношении обработки персональных данных в Администрации Уральского  сельсовета»

 

 

 

 

 

 

 

Администрация  Уральского  сельсовета

 
 
 
 
ЖУРНАЛ
регистрации письменных запросов граждан
на доступ к своим персональным данным
 
 

Журнал начат "____" ____________________ 20__ года

Журнал завершен "____" ___________________ 20__ года 

Главный специалист Администрации Уральского сельсовета

 

______________________В.А.Гилева

______________________ /______________________/

На _____ листах

 


п/п

Вх. №
письма

Дата получения запроса

Ф.И.О. гражданина

Отношения субъекта ПДн 
с оператором ПДн

Отметка о предоставлении доступа к ПДн
(отказе в доступе)

Исх. номер и дата письма с ответом
на запрос

Ф.И.О., должность, подпись сотрудника, выдавшего ответ

 

1

2

3

4

5

6

7

8

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Приложение 9

к постановлению

Администрации  Уральского  сельсовета 

от  17 июля  2014 года № 32

« Об утверждении документов определяющих политику в отношении обработки персональных данных в Администрации Уральского  сельсовета»

 

 

 

 

 

 

 

 

Администрация  Уральского  сельсовета





ЖУРНАЛ
обращений граждан для получения доступа
к своим персональным данным

 

Журнал начат "____" ___________________ 20__ года

Журнал завершен "____" __________________ 20__ года

Главный специалист Администрации Уральского  сельсовета

 

______________________В.А.Гилева

______________________ /______________________/

 

На _____ листах

 


п/п

Дата
обращения

Ф.И.О. гражданина

Отношения субъекта ПДн  с оператором ПДн

Подпись гражданина

Отметка о предоставлении доступа к ПДн
(отказе в доступе)

Ф.И.О. должность сотрудника, предоставившего доступ к ПДн

 

1

2

3

4

5

6

7

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Приложение 10

к постановлению

Администрации  Уральского  сельсовета 

от 17 июля 2014 года №32

« Об утверждении документов определяющих политику в отношении обработки персональных данных в Администрации  Уральского  сельсовета  »

 

 

 

 

 

 

ОБЯЗАТЕЛЬСТВО
о неразглашении персональных данных субъектов Администрации Уральского  сельсовета

 

Я, __________________________________, проживающий(-ая) по

 

Ф.И.О.

 

адресу _____________________________________________________________,
паспорт серии ________, номер ___________, выдан ______________________
___________________________________________________________________
«___»_______________ _________ года,  работая в должности _____________
___________________________________________________________________
в Администрации Уральского  сельсовета (далее – Администрация Уральского  сельсовета), в период настоящих трудовых отношений и в течение 5 лет после их окончания, в соответствии с Федеральным законом «О персональных данных» от 27 июля 2006 года № 152-ФЗ, обязуюсь:

 
 

 

 

- не раскрывать третьим лицам и не распространять персональные данные субъектов Администрации Уральского  сельсовета, полученные при исполнении мной трудовых обязанностей;

- при работе с персональными данными соблюдать требования, описанные в «Положении о порядке обработки персональных данных субъектов Администрации Уральского  сельсовета;

- выполнять относящиеся ко мне требования локальных нормативных актов, касающихся обработки персональных данных;

- в случае попытки посторонних лиц получить от меня сведения о персональных данных субъектов Администрации Уральского сельсовета немедленно уведомить об этом руководителя своего структурного подразделения;

- в случае расторжения со мною трудового договора или контракта, прекратить обработку персональных данных, ставших известными мне в связи с исполнением должностных обязанностей, и передать все носители персональных данных субъектов Администрации Уральского  сельсовета (документы, накопители данных в электронном виде, кино и фотонегативы и позитивы, и пр.), Ответственному за обработку персональных данных Администрации  Уральского  сельсовета.

Я понимаю, что разглашение персональных данных субъектов Администрации Уральского  сельсовета, может нанести ущерб субъектам персональных данных.

Я предупрежден(а) о том, что в случае разглашения или утраты мною сведений, относящихся к персональным данным субъектов Администрации Уральского  сельсовета, я несу ответственность в соответствии с Трудовым Кодексом РФ ст. 90. и могу быть привлечён к материальной, гражданско-правовой, административной и уголовной ответственности в соответствие с действующим законодательством РФ.

Настоящим подтверждаю, что до моего сведения доведено «Положение о порядке обработки персональных данных субъектов Администрации  Уральского  сельсовета.

 

"____" ___________ 2014 года

______________________

 

 

 

 

 

Приложение 11

к постановлению

Администрации  Уральского  сельсовета 

от  17 июля  2014 года №32

« Об утверждении документов определяющих политику в отношении обработки персональных данных в Администрации Уральского  сельсовета»

 

 

 

 

 

 

 

Главе Уральского сельсовета

                          Л.Ю.Широких

 

 

Ф.И.О. субъекта персональных данных

 

Номер основного документа, удостоверяющего его личность

 

Наименование органа, выдавшего документ

 

Дата выдачи указанного документа

ЗАЯВЛЕНИЕ

Прошу Вас прекратить обработку моих персональных данных в связи с

(указать причину)

"___"____________ 2014 года

 _______  ____________________

 

(подпись)          (расшифровка подписи)      

     

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Приложение 12

к постановлению

Администрации  Уральского  сельсовета 

от  17 июля 2014 года № 21

« Об утверждении документов определяющих политику в отношении обработки персональных данных в Администрации Уральского  сельсовета  »

 

 

 

 

 

 

 

 

ПЕРЕЧЕНЬ
информационных систем персональных данных
Администрации Уральского  сельсовета

Наименование ИСПДн

Категория ИСПДн

Уровень защищенности персональных данных

1

2

3

4

1

1С Предприятие

ИСПДн-Д

четвертый

 

 

 

         

 

 

 

Приложение 13

к постановлению

Администрации  Уральского  сельсовета 

от   17 июля  2014 года № 32

« Об утверждении документов определяющих политику в отношении обработки персональных данных в Администрации Уральского  сельсовета»

 

 

 

 

 

 

Администрация  Уральского  сельсовета

 

 
УТВЕРЖДАЮ
 Глава Уральского  сельсовета  
___________________Л.Ю.Широких

"____" ____________ 2014 года




ПЛАН

внутренних проверок состояния защиты персональных данных
Администрации Уральского  сельсовета на 2014 год

 

№ п/п

Наименование структурного подразделения

Месяц

Январь

Февраль

Март

Апрель

Май

Июнь

Июль

Август

Сентябрь

Октябрь

Ноябрь

Декабрь

1

2

3

4

5

6

7

8

9

10

11

12

13

14

1

Отдел организационной и правовой работы

 

 

 

 

 

 

 

 

 

 

 

 

2

Отдел жилищно-коммунального хозяйства, земельных и имущественных отношений

 

 

 

 

 

 

 

 

 

 

 

 

 
 

Главный специалист Администрации Уральского  сельсовета

В.А.Гилева

                             

 

 

 

 

 

 

 

 

 

 

Приложение 14

к постановлению

Администрации  Уральского  сельсовета 

от  17 июля 2014 года № 32

« Об утверждении документов определяющих политику в отношении обработки персональных данных в Администрации Уральского  сельсовета»

 

 

 

 

 

 

Администрация Уральского  сельсовета

 

 

  
УТВЕРЖДАЮ
 Глава Уральского  сельсовета  
___________________Л.Ю.Широких

"____" ____________ 2014 года




ПЛАН

мероприятий по защите персональных данных
в Администрации Уральского  сельсовета

     

 

№ п/п

Наименование мероприятия

Срок выполнения

Ответственный за выполнение

Примечание

1

2

3

4

5

1

Классификация информационных систем персональных данных (ИСПДн)

2 квартал 2014 года

Комиссия
(Главный специалист Администрации Уральского сельсовета Гилева В.А)

Проводится при создании ИСПДн, при выявлении в информационных системах наличия персональных данных, при изменении состава, структуры самой ИСПДн или технических особенностей ее построения

2

Выявление угроз безопасности и разработка моделей угроз и нарушителя

2 квартал 2014 года

Главный специалист Администрации Уральского сельсовета Гилева В.А.

Разрабатывается после классификации ИСПДн

3

Направление в уполномоченный орган (Роскомнадзор) уведомления о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации

2 квартал 2014 года

Главный специалист Администрации Уральского сельсовета  Гилева В.А.

Уведомление направляется при вводе в эксплуатацию новых ИСПДн, либо при внесении изменений в существующие

4

Проверка сведений, содержащихся в уведомлении

ежеквартально

Главный специалист Администрации Уральского сельсовета  Гилева В.А.

По необходимости, в Роскомнадзор отправляется измененная версия уведомления

5

Документальное регламентирование работы с персональными данными

2 квартал 2014 года

Главный специалист Администрации Уральского сельсовета  Гилева В.А

Необходимо разработать документы, распределяющие и закрепляющие ответственность за обработку персональных данных

6

Обучение сотрудников, непосредственно осуществляющих обработку персональных данных, правилам работы с персональными данными

Ежегодно

Главный специалист Администрации Уральского  сельсовета Гилева В.А.

Необходимо проводить отдельный инструктаж по обработке персональных данных с принимающимися на работу сотрудниками

 

1

2

3

4

5

7

Заключение договора на проведение работ в области защиты персональных данных с организацией – лицензиатом ФСТЭК России

3 квартал 2014 года

Главный специалист Администрации Уральского сельсовета Гилева В.А.

 

8

Оценка соответствия ИСПДн Администрации Уральского  сельсовета

3 квартал 2014 года

 

Проводится организацией – лицензиатом ФСТЭК России

9

Разработка приказа о вводе ИСПДн в эксплуатацию

По завершении мероприятий по оценке соответствия

Главный специалист Администрации Уральского сельсовета  Гилева В.А.

 

10

Заключение договора с компанией - лицензиатом ФСТЭК России и ФСБ России на аутсорсинг технической защиты персональных данных

По завершении мероприятий по оценке соответствия

Главный специалист Администрации  Уральского сельсовета Гилева В.А

При необходимости

11

Пересмотр договоров с субъектами и контрагентами в части обработки персональных данных, получение письменного согласия субъекта на обработку персональных данных

3 квартал 2014 года, в последующем – постоянно, при заключении новых договоров

Главный специалист Администрации Уральского сельсовета  Гилева В.А

В договоры должны быть включены согласия субъекта на обработку и передачу его персональных данных

12

Уничтожение персональных данных

При достижении целей обработки персональных данных

Комиссия по уничтожению документов

 

13

Сопровождение заявок на предоставление доступа к информационным ресурсам ИСПДн

Постоянно

Главный специалист Администрации Уральского  сельсовета  Гилева В.А

 

 

1

2

3

4

5

14

Повышение квалификации сотрудников в области защиты персональных данных

 

Главный специалист Администрации Уральского  сельсовета  Гилева В.А.

Сотрудники ответственные за организацию обработки персональных данных и обеспечение безопасности ИСПДн – не менее одного раза в два года. Повышение осведомленности сотрудников, обрабатывающих персональные данные – постоянно (обучение может проводить ответственный за организацию обработки персональных данных)

15

Контроль эффективности средств защиты персональных данных

Раз в год

Организация-лицензиат ФСТЭК России

 

 
 

 

 

 

             

 

 

 

 

 

 

 

 

 

 

Приложение 15

к постановлению

Администрации Уральского  сельсовета 

от 17 июля 2014 года №32

« Об утверждении документов определяющих политику в отношении обработки персональных данных в Администрации  Уральского  сельсовета»

 

 

 

 

 

 

ПОЛИТИКА
обработки персональных данных субъектов Администрации Уральского  сельсовета
 

1. Администрация Уральского  сельсовета (далее – Администрация Уральского  сельсовета) осуществляет обработку персональных данных на законной и справедливой основе.

2. Объём, содержание и сроки обработки персональных данных определяются целями обработки персональных данных.

3. Администрация Уральского сельсовета оставляет за собой право проверить полноту и точность предоставленных персональных данных. В случае выявления ошибочных или неполных персональных данных, Администрация Уральского  сельсовета имеет право прекратить все отношения с субъектом персональных данных.

4. Администрация Уральского  сельсовета не передаёт персональные данные субъектов персональных данных третьим лицам, без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

5. Администрация Уральского  сельсовета соблюдает конфиденциальность персональных данных, принимает правовые, организационные и технические меры по защите персональных данных, а так же требует принятия указанных мер от своих контрагентов.

6. Распоряжением Администрации Уральского  сельсовета назначен ответственный за организацию обработки персональных данных Администрации Уральского  сельсовета:

Главный специалист Администрации Уральского  сельсовета В.А.Гилева телефон 835233 23648

7. Утверждены распоряжением  Администрации Уральского  сельсовета и приняты к исполнению следующие локальные нормативные акты:

- положение о порядке обработки персональных данных;

- правила рассмотрения запросов субъектов персональных данных или их представителей;

- инструкция осуществления внутреннего контроля;

- правила работы с обезличенными данными;

- перечень информационных систем персональных данных;

- перечни обрабатываемых персональных данных;

 

- порядок формирования комиссии по обезличиванию и удалению обрабатываемых персональных данных;

- приказ об ответственности за обработку и защиту персональных данных;

- положение об ответственном за организацию обработки персональных данных;

- типовое обязательство сотрудника Администрации Уральского  сельсовета о неразглашении персональных данных;

- типовая форма согласия субъекта на обработку персональных данных;

- типовая форма разъяснения субъекту персональных данных  юридических последствий отказа предоставить свои персональные данные;

- инструкция по допуску лиц в помещения, где ведется обработка персональных данных.

8. При эксплуатации информационных систем персональных данных Администрация Уральского  сельсовета принимает правовые, организационные и технические меры по обеспечению безопасности персональных данных для выполнения установленных Правительством Российской Федерации требований к защите персональных данных при их обработке в соответствии с установленными уровнями защищенности персональных данных.

9. При обработке персональных данных, осуществляемой без использования средств автоматизации, Администрация Уральского  сельсовета выполняет требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

10. Администрация Уральского  сельсовета осуществляет ознакомление своих сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и, при необходимости, организуют обучение указанных сотрудников.

11. Администрация Уральского  сельсовета уведомляет уполномоченный орган по защите прав субъектов персональных данных об обработке персональных данных в соответствии с требованиями, установленными Федеральным законом "О персональных данных".

 

 

 

 

 

 

 

 

 

 

Приложение 16

к постановлению

Администрации Уральского сельсовета 

от 17 июля  2014 года №32

« Об утверждении документов определяющих политику в отношении обработки персональных данных в Администрации Уральского  сельсовета»

 

 

 

 

 

 
ПОЛОЖЕНИЕ
об ответственном за организацию обработки персональных данных Администрации Уральского  сельсовета
 

1. Общие положения
 

1.1. Ответственный за организацию обработки персональных данных (далее – Ответственный) является сотрудником Администрации Уральского сельсовета (далее – Администрация Уральского  сельсовета).

1.2. Ответственный назначается распоряжением Администрации Уральского  сельсовета.

1.3. Ответственный подчиняется непосредственно Главе Уральского сельсовета и проводит мероприятия по защите персональных данных в интересах Администрации Уральского  сельсовета.

1.4. Ответственный в своей деятельности руководствуется:

- Конституцией Российской Федерации;

- Федеральными законами Российской Федерации и нормативными правовыми актами органов государственной власти по вопросам защиты персональных данных;

- Государственными стандартами Российской Федерации в области защиты информации;

- руководящими и нормативными правовыми документами Федеральной Службы по техническому и экспортному контролю России;

- локальными нормативными актами Администрации Уральского сельсовета по защите персональных данных;

- Правилами внутреннего трудового распорядка;

- настоящим Положением.

1.5. Деятельность Ответственного осуществляется согласно плану мероприятий по защите персональных данных Администрации Уральского  сельсовета на год.

 

 

 

 

2. Задачи

 

2

 

На Ответственного за организацию обработки персональных данных возложены следующие задачи:

2.1. Организация внутреннего контроля за соблюдением работниками Администрации Уральского  сельсовета норм законодательства Российской Федерации по обработке персональных данных, в том числе требований, предъявляемых к защите персональных данных.

2.2. Разработка, внедрение и актуализация локальных актов по вопросам обработки персональных данных.

2.3. Доведение до сведения работников Администрации Уральского сельсовета, непосредственно осуществляющих обработку персональных данных, положений законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных, и проведение обучения указанных работников.

2.4. Организация приема и обработки обращений и запросов субъектов персональных данных или их представителей и осуществление контроля за приемом и обработкой таких обращений и запросов.

2.5. Организация комплексной защиты объектов информатизации Администрации Уральского  сельсовета, а именно:

- информационных ресурсов, представленных в виде документированной информации на магнитных, оптических носителях, информативных физических полей, информационных массивов и баз данных, содержащих персональные данные субъектов Администрации Уральского  сельсовета;

- средств и систем информатизации (средств вычислительной техники, информационно-вычислительных комплексов, локальных вычислительных сетей и корпоративных информационных систем), программных средств (операционных систем, систем управления базами данных, другого общесистемного и прикладного программного обеспечения), автоматизированных систем управления информационными, управленческими и технологическими процессами, систем связи и передачи данных, технических средств приёма, передачи и обработки информации (звукозаписи, звукоусиления, звуковоспроизведения, переговорных устройств и других технических средств обработки графической, смысловой и буквенно-цифровой информации), используемых для реализации процессов ведения деятельности, обработки информации, содержащей персональные данные субъектов Администрации  Уральского  сельсовета.

2.6. Организация защиты персональных данных субъектов Администрации Уральского  сельсовета.

2.7. Разработка и проведение организационных мероприятий, обеспечивающих безопасность объектов защиты Администрации Уральского  сельсовета, своевременное выявление и устранение возможных каналов утечки информации.

 

3

2.8. Организация проведения работ по технической защите информации на объектах информатизации, в информационно-вычислительных сетях, системах и средствах связи и телекоммуникаций Администрации Уральского сельсовета.

2.9. Реализация технических мер, обеспечивающих своевременное выявление возможных технических каналов утечки информации в подразделениях Администрации Уральского  сельсовета.

2.10. Методическое руководство системой обеспечения информационной безопасности Администрации Уральского  сельсовета.

2.11. Организация контроля состояния и проведение оценки эффективности системы обеспечения информационной безопасности персональных данных, а также реализация мер по её совершенствованию.

2.12. Внедрение в информационную инфраструктуру Администрации Уральского сельсовета современных методов и средств обеспечения информационной безопасности.

 

3. Функции
 

Для решения поставленных задач Ответственный за организацию обработки персональных данных осуществляет следующие функции:

3.1. Разработка и внедрение правовых, организационных и технических мер по комплексному обеспечению безопасности персональных данных.

3.2. Обеспечение соблюдения режима конфиденциальности при обработке персональных данных.

3.3. Планирование работы по защите персональных данных на объектах Администрации Уральского  сельсовета.

3.4. Контроль за выполнением мер по защите персональных данных, анализ материалов контроля, выявление недостатков и нарушений. Разработка и реализация мер по их устранению.

3.5. Обеспечение взаимодействия с контрагентами по вопросам организации и проведения проектно-изыскательских, научно-исследовательских, опытно-конструкторских и других работ по защите информации. Участие в разработке технических заданий на выполняемые исследования и работы.

3.6. Контроль за выполнением плановых заданий, договорных обязательств, а также сроков, полноты и качества работ по защите персональных данных, выполняемых контрагентами.

3.7. Разработка и принятие мер по обеспечению финансирования работ по защите персональных данных, в том числе выполняемых по договорам.

3.8. Проведение работ по технической защите информации на объектах информатизации Администрации Уральского  сельсовета. Оценка эффективности принятых мер по технической защите информации.

3.9. Обеспечение выбора, установки, настройки и эксплуатации средств

 

4

защиты информации в соответствии с организационно-распорядительной  и эксплуатационной документацией.
         3.10. Организация режима обеспечения безопасности помещений, в которых происходит обработка персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в такие помещения.
         3.11. Организация доступа работников Администрации Уральского  сельсовета к персональным данным в соответствии с возложенными на них служебными обязанностями.
         3.12. Разработка и внедрение локальных актов, определяющих перечень работников Администрации Уральского  сельсовета, имеющих доступ к персональным данным.
         3.13. Контроль размещения устройств ввода (отображения) информации, исключающего ее несанкционированный просмотр.
         3.14. Обеспечение соответствия проводимых работ по защите персональных данных технике безопасности, правилам и нормам охраны труда.
         3.15. Проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства по защите персональных данных.
         3.16. Участие в разработке и применение, в части персональных данных, политики по работе с инцидентами по информационной безопасности.
         3.17. Актуализация внутренней организационно-распорядительной документации по защите персональных данных при изменении существующих и выходе новых нормативных правовых документов по вопросам обработки персональных данных.
          

4. Права
 

Ответственный за организацию обработки информации имеет право:

4.1. Осуществлять контроль за деятельностью структурных подразделений Администрации Уральского сельсовета по выполнению ими требований по защите персональных данных.

4.2. Составлять акты, докладные записки, отчёты для рассмотрения руководством Администрации Уральского сельсовета, при выявлении нарушений порядка обработки персональных данных.

4.3. Принимать необходимые меры при обнаружении несанкционированного доступа к персональным данным, как работниками Администрации Уральского сельсовета, так и третьими лицами, и докладывать о принятых мерах Главе Уральского сельсовета с предоставлением информации о субъектах, нарушивших режим доступа.

4.4. Вносить на рассмотрение Главы Уральского сельсовета

 

5

предложения, акты, заключения о приостановлении работ в случае обнаружения каналов утечки (или предпосылок к утечке) информации ограниченного доступа.
         4.5. Давать структурным подразделениям Администрации Уральского сельсовета, а также отдельным специалистам обязательные для исполнения указания по вопросам, входящим в компетенцию Ответственного.
         4.6. Запрашивать и получать от всех структурных подразделений Администрации Уральского сельсовета сведения, справочные и другие материалы, необходимые для осуществления деятельности Ответственного.
         4.7. Составлять акты и другую техническую документацию о степени защищенности объектов информатизации.
         4.8. Готовить и вносить предложения на проведение работ по защите персональных данных; о привлечении к проведению работ по оценке эффективности защиты персональных данных на объектах Администрации Уральского  сельсовета (на договорной основе) учреждений и организаций, имеющих лицензию на соответствующий вид деятельности; о закупке необходимых технических средств защиты и другой спецтехники, имеющих в обязательном порядке сертификат качества.
         4.9. Осуществлять визирование договоров с контрагентами с целью правового обеспечения передачи им персональных данных субъектов Администрации Уральского сельсовета в ходе выполнения работ по этим договорам.
         4.10. Представлять интересы Администрации Уральского сельсовета при осуществлении государственного контроля и надзора за обработкой персональных данных Уполномоченным органом по защите прав субъектов персональных данных.
          

5. Взаимодействия (служебные связи)
 

5.1. Ответственный выполняет свои задачи осуществляя взаимодействие со всеми структурными подразделениями Администрации Уральского сельсовета.

 5.2. Для выполнения своих функций и реализации предоставленных прав Ответственный взаимодействует с территориальными и региональными подразделениями Федеральной службы по техническому и экспортному контролю, Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, ФСБ России, МВД России, и другими представителями исполнительной власти и организациями, предоставляющими услуги и выполняющими работы в области защиты персональных данных на законном основании.

 

6. Ответственность
 

 

6

6.1. Ответственный за обработку персональных данных несет ответственность за надлежащее и своевременное выполнение возложенных задач и функций по организации обработки персональных данных Администрации Уральского  сельсовета в соответствии с положениями законодательства Российской Федерации в области персональных данных.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Приложение 17

к постановлению

Администрации  Уральского  сельсовета 

от 17 июля  2014 года № 32

« Об утверждении документов определяющих политику в отношении обработки персональных данных в Администрации Уральского сельсовета»

 

 

 

 

 

 

 

ПОЛОЖЕНИЕ
по работе с инцидентами информационной безопасности

 

Аннотация
 

Настоящее Положение разработано в целях организации работы с инцидентами информационной безопасности в Администрации Уральского сельсовета (далее – Администрация   Уральского сельсовета).

Инцидент - одно событие или группы событий, которые могут привести к сбоям или нарушению функционирования информационной системы (далее - ИС) и (или) к возникновению угроз безопасности, в том числе персональных данных.

 

1. Общие положения
 

Положение о работе с инцидентами информационной безопасности (далее – Положение) разработано в соответствии с:

1) Федеральным законом № 152-ФЗ «О персональных данных»;

2) Федеральным законом № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

3) постановлением Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

4) приказом ФСТЭК России № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

5) политикой информационной безопасности Администрации Уральского сельсовета.

Работа с инцидентами в области информационной безопасности помогает определить наиболее актуальные угрозы информационной безопасности и создает обратную связь в системе обеспечения

 

 

2

 

информационной безопасности, что способствует повышению общего уровня защиты информационных ресурсов и информационных систем.
         Работа с инцидентами включает в себя следующие направления:
         1) определение лиц, ответственных за выявление инцидентов и реагирование на них;
         2) обнаружение, идентификация и регистрация инцидентов;
         3) своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами;
         4) анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а так же оценка их последствий;
         5) принятие мер по устранению последствий инцидентов;
         6) планирование и принятие мер по предотвращению повторного возникновения инцидентов.
         Для анализа инцидентов, в том числе определения источников и причин возникновения инцидентов, а так же оценки их последствий; планирования и принятия мер по предотвращению повторного возникновения инцидентов, назначается постоянно действующая комиссия по работе с инцидентами в соответствии с распоряжением Администрации Просековского сельсовета.
          

2. Ответственные за выявление инцидентов и реагирование на них
 

2.1. В информационных системах.

Ответственными за выявление инцидентов в ИС являются:

1) лица, имеющие право доступа к ИС;

2) ответственный за техническое обслуживание ИС;

3) администратор ИС;

4) администратор информационной безопасности ИС.

Ответственными за реагирование на инциденты в ИС являются:

1) лица, имеющих право доступа к ИС;

2) руководитель подразделения Администрации Уральского  сельсовета, в котором выявлен инцидент;

3) ответственный за техническое обслуживание ИС;

4) администратор ИС;

5) администратор информационной безопасности ИС;

6) ответственный за организацию обработки персональных данных Администрации Уральского  сельсовета, в случае, если ИС является информационной системой персональных данных (далее - ИСПДн);

7) Председатель комиссии по работе с инцидентами.

2.2. Вне информационных систем.

Ответственными за выявление инцидентов вне ИС являются все сотрудники Администрации Уральского сельсовета.

Ответственными за реагирование на инциденты вне ИС являются:

 

 

3

 

1) сотрудник Администрации Уральского сельсовета, обнаруживший инцидент;

2) руководитель подразделения Администрации Уральского сельсовета, в котором выявлен инцидент;

3) ответственный за организацию обработки персональных данных Администрации Уральского сельсовета, в случае, если существует угроза безопасности персональных данных;

4) председатель комиссии по работе с инцидентами.

 

3. Обнаружение, идентификация и регистрация инцидентов
 

3.1. Работа по обнаружению инцидентов в области информационной безопасности включает в себя мероприятия, направленные на:

1) выявление инцидентов в области информационной безопасности с помощью технических средств;

2) выявление инцидентов в области информационной безопасности в ходе контрольных мероприятий;

3) выявление инцидентов с помощью сотрудников Администрации Уральского сельсовета.

3.2. Работа по идентификации инцидентов в области информационной безопасности включает в себя мероприятия, направленные на доведение до сотрудников Администрации Уральского сельсовета информации позволяющей идентифицировать инциденты.

3.3. Регистрацию инцидентов осуществляет Председатель комиссии по работе с инцидентами в журнале регистрации инцидентов информационной безопасности. Форма журнала утверждается распоряжением Администрации Уральского сельсовета.

Хранение журнала осуществляется в местах, исключающих доступ к журналу посторонних лиц.  Журнал хранится в течение 5 лет после завершения ведения. Ответственный за хранение ведение и хранение журнала - Председатель комиссии по работе с инцидентами.

 

4. Информирование о возникновении инцидентов
 

Работник Администрации Уральского  сельсовета (пользователь), обнаруживший инцидент в ИС, должен незамедлительно, любым доступным способом, сообщить об инциденте непосредственному руководителю, Администратору ИС, Администратору информационной безопасности ИС, Ответственному за организацию обработки персональных данных (в случае если ИС является ИСПДн), Председателю комиссии по работе с инцидентами.

Администратор ИС, в случае необходимости, информирует пользователей ИС о возникновении инцидента и дает указания по дальнейшим действиям.

 

 

 

4

 

5. Анализ инцидентов, а также оценка их последствий
 

Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а так же оценку их последствий осуществляет комиссия по работе с инцидентами информационной безопасности.

5.1. Источниками и причинами возникновения инцидентов в области информационной безопасности являются:

1) действия организаций и отдельных лиц враждебные интересам Администрации Варгашинского поссовета;

2) отсутствие персональной ответственности сотрудников Администрации Варгашинского поссовета и их руководителей за обеспечение информационной безопасности, в том числе персональных данных;

3) недостаточная работа с персоналом по обеспечению необходимого режима соблюдения конфиденциальности, в том числе персональных данных;

4) отсутствие моральной и материальной стимуляции за соблюдение правил и требований информационной безопасности;

5) недостаточная техническая оснащённость подразделений, ответственных за обеспечение информационной безопасности;

6) совмещение функций по разработке и сопровождению или сопровождению и контролю за информационными системами;

7) наличие привилегированных бесконтрольных пользователей в информационной системе;

8) пренебрежение правилами и требованиями информационной безопасности сотрудниками Администрации  Уральского сельсовета;

9) и другие причины.

5.2. Оценка последствий инцидента производится на основании потенциально-возможного ущерба.

 

6. Принятие мер по устранению последствий инцидентов
 

Меры по устранению последствий инцидентов включает в себя мероприятия, направленные на:

1) определение границ инцидента и ущерба от реализации угроз информационной безопасности;

2) ликвидацию последствий инцидента и полное либо частичное возмещение ущерба.

 

7. Планирование и принятие мер по предотвращению инцидентов
 

7.1. Планирование и принятие мер по предотвращению повторного возникновения инцидентов осуществляет комиссия по работе с инцидентами информационной безопасности и основывается на:

1) планомерной деятельности по повышению уровня осознания информационной безопасности руководством и сотрудниками Администрации

 

 

5

 

Уральского сельсовета.
         2) проведении мероприятий по обучению сотрудников Администрации Уральского  сельсовета  правилам и способам работы со средствами защиты информационных систем;
         3) доведении до сотрудников норм законодательства, внутренних документов Администрации Уральского  сельсовета, устанавливающих ответственность за нарушение требований информационной безопасности;
         4) разъяснительной работе с увольняющимися сотрудниками и сотрудниками, принимаемыми на работу;
         5) своевременной модернизации системы обеспечения информационной безопасности, с учетом возникновения новых угроз информационной безопасности;
         6) своевременном обновлении программного обеспечения, в том числе баз сигнатур антивирусных средств.
         7.2. Работа с персоналом.
         Как правило, самым слабым звеном в любой системе безопасности является человек. Поэтому работа с персоналом является основным направлением деятельности по обеспечению требований  информационной безопасности.
         В работе с персоналом основной упор должен делаться не на наказание сотрудника за нарушения в области информационной безопасности, а на поощрение за надлежащие выполнение требований информационной безопасности, проявление личной инициативы в укреплении системы информационной безопасности.
         Персонал Администрации Уральского сельсовета является важным источником сведений об инцидентах информационной безопасности, поэтому необходимо донести до сотрудников информацию о том, что оперативно предоставленные сведения об инциденте информационной безопасности являются основанием для смягчения либо отмены наказания за нарушение требований информационной безопасности.
          
          

 

 

 

 

 

Приложение 18

к постановлению

Администрации Уральского  сельсовета 

от 17 июля 2014 года №32

« Об утверждении документов определяющих политику в отношении обработки персональных данных в Администрации Уральского  сельсовета»

 

 

 

 

 

Дополнительное соглашение № ______
к договору от "___" ____________ 20___ года №  _________

 

 

 

С. Яблочное

"___" ____________ 20___  года

 

Администрация Уральского сельсовета, в лице Главы Уральского сельсовета Широких Л.Ю., действующего на основании Устава, именуемое в дальнейшем "Заказчик", с одной стороны, и ______________________________________________________, в лице ____________________________________________________, действующего на основании _______________, именуемое в дальнейшем "Исполнитель", с другой стороны, совместно именуемые "Стороны", заключили настоящее дополнительное соглашение о нижеследующем:

Дополнить договор от "____" _____________ 20___ года № _____  разделом следующего содержания:

Конфиденциальность и безопасность персональных данных. 

1.      Вся предоставляемая Сторонами друг другу информация считается конфиденциальной и не подлежит разглашению третьим лицам.

2.      Исполнитель обязуется осуществлять обработку персональных данных субъекта Заказчика в соответствии с принципами и правилами обработки персональных данных, предусмотренных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных".

3.      Цель обработки персональных данных субъекта Заказчика:

 
 

 

 

 

 

(указать цели обработки)

 

 

 

4.      Перечень действий (операций) по обработке персональных данных, которые будут совершаться лицом, осуществляющим обработку персональных данных, в рамках поручения: ___________________________________________

 

 

 

(указать перечень действий)

 

5.      Исполнитель вправе осуществлять обработку следующих персональных данных субъекта Заказчика: _______________________________

 

 

 

(указать категории персональных данных)

 

6.      Исполнитель обязуется соблюдать конфиденциальность полученных персональных данных субъекта Заказчика и обеспечить безопасность персональных данных при их обработке.

7.      Исполнитель при обработке персональных данных субъекта Заказчика обязуется принимать все необходимые организационные, технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования,

 

копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
         8.      Исполнитель обязуется обеспечивать безопасность персональных данных применением таких мер как: определение угроз безопасности персональных данных при их обработке в информационных системах; учёт машинных носителей персональных данных; обнаружение фактов несанкционированного доступа к персональным данным и принятием мер; контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных; и другие меры.
         9.      Стороны принимают все необходимые меры для того, чтобы предотвратить разглашение получаемой информации в рамках настоящего договора. Информация может быть предоставлена третьим лицам только в порядке, установленным действующим законодательством Российской Федерации.
         10.    Настоящее дополнительное соглашение является неотъемлемой частью договора от "___" _____________ 20___ года № _________, составлено в двух экземплярах, имеющих одинаковую юридическую силу, по одному экземпляру для каждой из Сторон.
         11.    Дополнительное соглашение вступает в силу с момента подписания настоящего соглашения Сторонами.
          

 

АДРЕСА И РЕКВИЗИТЫ СТОРОН

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Приложение 19

к постановлению

Администрации  Уральского  сельсовета 

от 17 июля  2014 года №32

« Об утверждении документов определяющих политику в отношении обработки персональных данных в Администрации Уральского сельсовета»

 

 

 

 

 

ТИПОВАЯ ФОРМА
разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные
 
 

В соответствие с принципами обработки персональных данных, установленными Федеральным Законом от 27.06.2006 № 152-ФЗ "О персональных данных", при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, и актуальность по отношению к заявленным целям обработки персональных данных.

Кроме того, оператор должен принимать необходимые меры по уточнению неполных или неточных персональных данных.

В случае, если субъект персональных данных отказывается предоставить свои персональные данные, либо представленные персональные данные являются неточными и (или) неполными по отношению к заявленным целям обработки персональных данных, Администрация Уральского сельсовета (далее – Администрация Уральского  сельсовета) оставляет за собой право отказать в предоставлении своих услуг субъекту персональных данных.

Если Администрация Уральского  сельсовета выявит факт умышленного представления субъектом неверных персональных данных, то Администрация Уральского  сельсовета может потребовать с субъекта возмещения соответствующих затрат.

 

 

Глава  Уральского  сельсовета

Л.Ю.Широких

 

 

 

 

 

Приложение 20

к постановлению

Администрации  Уральского  сельсовета 

От 17 июля  2014 года №32

« Об утверждении документов определяющих политику в отношении обработки персональных данных в Администрации Уральского  сельсовета»

 

 

 

 

 

 

  Образец согласия субъекта на обработку его ПД

 

Главе Уральского  сельсовета
                                 Широких Л.Ю

 

ЗАЯВЛЕНИЕ
о согласии субъекта на обработку его персональных данных

 

Я, ____________________________________, проживающий (-ая) по адресу ______________________________________________________, паспорт серии _________________, номер ________________, выдан_________________ _______________________________________"___"______________ ______ года, в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных" даю согласие Администрации Уральского сельсовета (далее – Администрация Уральского сельсовета), по адресу 641241, Курганская область,   Варгашинский район, ул. Андреева дом 19 на обработку моих персональных данных, а именно:

 

ФИО

Адрес

Образование

 

Дата рождения

Паспортные данные

ИНН

 

Место рождения

Семейное положение

Профессия

 

другие:

 

 

(перечислить дополнительные категории персональных данных)

 

 

 

В целях

 

 

(указать цели обработки)

 

Перечень действий, осуществляемых с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование, уничтожение;

Администрация Уральского  сельсовета осуществляет смешанную обработку персональных данных с применением ЭВМ, без передачи по внутренней сети, но с передачей в сеть интернет.

Согласие вступает в силу со дня его подписания и действует в течение __________________. Действие настоящего согласия прекращается досрочно в случае принятия оператором решения о прекращении обработки персональных данных и/или уничтожения документов содержащих персональные данные.

Согласие может быть отозвано мною в любое время на основании моего письменного заявления.

 

 
 

"___"__________ 2014года

_____________________

 
 

 

     (подпись)

 

                 

 

 

 

Приложение 21

к постановлению

Администрации  Уральского  сельсовета 

от 17 июля  2014 года № 32

« Об утверждении документов определяющих политику в отношении обработки персональных данных в Администрации Уральского  сельсовета»

 

 

 

 

 

 

Руководителю Управления
Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Курганской области
640002 г. Курган ул. М. Горького, 40
 
 

 

УВЕДОМЛЕНИЕ
об обработке персональных данных Администрации Уральского  сельсовета 

 

Наименование, адрес, реквизиты

 

Тип оператора

Муниципальный орган

 

Наименование оператора

Администрация Уральского  сельсовета (далее - Администрация Уральского  сельсовета)

 

Сокращенное наименование оператора

Администрация Уральского  сельсовета

 

Адрес местонахождения

641241, Курганская область,  Варгашинский район, ул. Андреева, дом 19 с.Яблочное

 

Почтовый адрес

641241, Курганская область,  Варгашинский район, ул. Андреева дом 19 с.Яблочное

 

Регион

Курганская область

 

ИНН

4505003868

 

ОГРН

1024501415465

 

 

 

Цель обработки персональных данных

 

 

- Оказание муниципальных услуг;

 

- выполнение функций органа местного самоуправления;

 

- обработка в соответствии с трудовым законодательством.

 

 

Категории персональных данных

 

 

В Администрации Уральского  сельсовета осуществляется обработка следующих категорий персональных данных:

 

- адрес;

 

- год рождения;

 

- гражданство;

 

- дата рождения;

 

- доходы;

 

- имущественное положение;

 

- ИНН;

 

- информация о трудовой деятельности;

 

- контактные сведения;

 

- место рождения;

 

- образование;

 

- паспортные данные;

 

- профессия;

 

- сведения о воинском учёте;

 

- семейное положение;

 

- СНИЛС;

 

- состав семьи;

 

- социальное положение;

 

- степень родства;

 

- трудоспособность;

 

- фамилия, имя, отчество.

 

Биометрические персональные данные (фотография) - не обрабатывается.

 

А так же специальных категорий персональных данных:

 

- состояние здоровья.

 

 

 

Категории субъектов персональных данных

 

 

- субъекты, направившие резюме;

 

- граждане, проживающие на территории муниципального образования;

 

- Оказание муниципальных услуг;

 

- сотрудники.

 

 

 

Правовое основание обработки персональных данных

 

Администрация Уральского  сельсовета обрабатывает персональные данные, руководствуясь:

 

- Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».

 

 

 

Перечень действий с персональными данными

 

 

Администрация Уральского  сельсовета осуществляет следующие действия, совершаемые с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление,

 

доступ), обезличивание, блокирование, удаление, уничтожение, персональных данных.
         Администрация Уральского  сельсовета осуществляет смешанную обработку персональных данных с применением ЭВМ, без передачи по внутренней сети, но с передачей в сеть интернет.
         Трансграничная передача персональных данных не осуществляется.
          

 

Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»

 

 

Выполняется комплекс организационных и технических мер:

 

- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона "О персональных данных", соотношение указанного вреда и принимаемых защитных мер;

 

- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных закону "О персональных данных" и внутренним документам Администрации Уральского  сельсовета по вопросам обработки персональных данных;

 

- ознакомление работников, осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, политикой Администрации Уральского  сельсовета в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;

 

- учет машинных носителей персональных данных;

 

- назначение Ответственного за организацию обработки персональных данных.

 

 

 

Сведения о мерах обеспечения безопасности персональных данных в соответствии с требованиями, установленными Правительством РФ

 

 

- ;

 

 

 

Сведения о наличии шифровальных (криптографических) средств

 

 
 

Для обеспечения безопасности персональных данных криптографические средства не применяются

 

Средства обеспечения безопасности

 

 

- Антивирусное средство.

 

     

 

 

 

Классы информационных систем персональных данных

 

 

 

K1

 

 

K2

 

K3

 

K4

 

 

 

 

 

 

Сведения об ответственном за обработку персональных данных

 

Главный специалист администрации Уральского  сельсовета Варгашинского района Курганской области В.А.Гилева

Тел.: 8 35 233 2-36-48

641241, Варгашинский район Курганская область,  с. Яблочное, ул. Андреева,19

ural Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.

 

Дата начала обработки персональных данных

 

Персональные данные обрабатываются с 14.04.1994 г.

 

Срок или условие прекращения обработки персональных данных

 

Персональные данные субъектов подлежат уничтожению либо обезличиванию в случае:

- достижения целей обработки персональных данных или утраты необходимости в достижении этих целей;

- прекращения деятельности Администрации Уральского сельсовета

 

"____" _________________ 20__ года

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Приложение 22

к постановлению

Администрации  Уральского  сельсовета 

от 17 июля  2014 года № 32

« Об утверждении документов определяющих политику в отношении обработки персональных данных в Администрации Уральского  сельсовета»

 

 

 

ЗАКЛЮЧЕНИЕ
об оценке вреда субъектам персональных данных Администрации Уральского сельсовета

 

Оглавление

 

1. Аннотация

 

3

 

2. Оценка вреда субъекту персональных данных

 

 

3

 

 

3. Возможный вред субъекту персональных данных по типам угроз

 

4

4. Оценка затрат оператора на ликвидацию последствий нарушений

 

заданных характеристик безопасности

 

5

 

4.1 Уведомление субъектов

 

5

 

4.2 Штрафы

 

6

 

4.3 Контроль эффективности системы защиты

 

6

 

4.4 Ущерб репутации

 

6

5. Общие затраты на ликвидацию последствий нарушений заданных

характеристик безопасности персональных данных

 

6

 

6. Меры по защите персональных данных

 

7

 

7. Вывод

 

7

                             

 

3

1. Аннотация

 

В соответствии со ст. 18.1 Федерального закона № 152-ФЗ "О персональных данных", оператор обязан принимать меры по обеспечению выполнения обязанностей, предусмотренных данным законом. К таким мерам, согласно п 5. ч. 1 ст. 18.1, так же относятся мероприятия, направленные на оценку вреда, который может быть причинен субъектам персональных данных Администрации Уральского  сельсовета) в случае нарушения Федерального закона "О персональных данных", соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных". На основании ч.4 ст. 18.1 Закона оператор обязан предоставить документы, подтверждающие выполнение мероприятий по оценке вреда, по запросу органа по защите прав субъектов персональных данных, которым является Роскомнадзор.

Данный документ содержит оригинальное исследование в области защиты персональных данных, направленное на выявление степени возможного ущерба субъектам персональных данных и оператору персональных данных Администрации Уральского сельсовета в случае реализации угроз безопасности персональных данных, обрабатываемых в информационных системах персональных данных Администрации  Уральского сельсовета.

Заключение содержит численные характеристики ущерба, взятые из открытых источников и основанные на судебных прецедентах, однако детальный анализ размера возможного ущерба затруднен в связи с отсутствием единой базы инцидентов информационной безопасности и нормативных документов Правительства РФ, ФСБ России, ФСТЭК России по оценке вреда субъектам персональных данных.

В документе представлен расчет максимального вреда оператору и субъектам ПДн и делается вывод о соотношении указанного вреда и принимаемых оператором мер по обеспечению безопасности персональных данных.

 

2. Оценка вреда субъекту персональных данных

 

В соответствие с ч.2 ст. 24 Федерального закона № 152-ФЗ "О персональных данных", субъект ПДн имеет право взыскать с оператора моральный вред независимо от возмещения имущественного вреда и понесенных субъектом ПДн убытков.

В соответствии с категориями обрабатываемых персональных данных, установленными Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, принята следующая классификация степени вреда:

 

 

4

 

Категория ПДн

Качественная оценка вреда

Вероятная сумма вреда
(тыс. рублей)

1

2

3

персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни

значительные негативные последствия для субъекта ПДн

50,0

биометрические персональные данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных

негативные последствия средней тяжести

25,0

общедоступные персональные данные

без негативных последствий

 0,0

иные категории персональных данных

негативные последствия средней тяжести

25,0

Таким образом, общий возможный вред субъектам персональных данных может составить:

Наименование
ИСПДн

Класс

Общее количество субъектов

Вероятность вреда

Общий вред с учетом вероятности вреда
(рублей)

1

2

3

4

5

1С Предприятие

 

13

0,1

32 500,00 р.

 

3. Возможный вред субъекту персональных данных по типам угроз

 

Все возможные угрозы персональным данным можно разбить на следующие категории:

Нарушения заданных характеристики безопасности персональных данных

Вред субъекту персональных данных

1

2

Нарушение конфиденциальности:
  · распространение персональных данных;
  · утечка персональных данных;
  · предоставление персональных данных третьему лицу в нарушение интересов субъекта персональных данных

максимальный вред субъекту персональных данных

               

 

5

1

2

Нарушение целостности:
  · обработка неправильных либо неполных персональных данных;
  · несанкционированное уничтожение персональных данных

половина от максимально возможного ущерба

Нарушение доступности:
  · несанкционированное блокирование персональных данных;
  · неправомерный отказ в доступе к своим персональным данным

незначительный вред субъекту персональных данных

 

4. Оценка затрат оператора на ликвидацию последствий нарушений заданных характеристик безопасности

 

Для определения оптимального состава мер по обеспечению безопасности персональных данных, необходимо оценить ущерб оператору, который помимо затрат на компенсацию морального ущерба субъектам персональных данных будет складываться из:

· затрат на уведомление субъектов;

· штрафов;

· затрат на контроль эффективности системы защиты;

· компенсации ущерба репутации Администрации Уральского сельсовета 

4.1. Уведомление субъектов

 

В соответствие с ч.3 ст. 21 № 152-ФЗ "О персональных данных", оператор обязан уведомить субъекта персональных данных о неправомерной обработке его ПДн в трехдневный срок.

Затраты на уведомление составят:

Перечень мероприятий

Средние затраты оператора на уведомление одного субъекта
(рублей)

1

2

Составить и распечатать уведомление на каждого субъекта

 15,0

Отослать уведомление заказным письмом

100,0

Срочное уведомление субъекта по телефону

 35,0

Общие затраты на уведомление субъектов персональных данных Администрации Варгашинского поссовета могут составить:

Наименование ИСПДн

Общее количество субъектов

Сумма затрат на уведомление субъектов

1

2

3

1С Предприятие

13

1950

 

 

6

 

1

2

3

 

 

 

 

4.2. Штрафы

 

В случае распространения персональных данных субъекта персональных данных, штрафы могут составить:

· Ст. 13.11 КоАП "Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)" – до 10 000 руб.

· Статья 137 УК РФ "Нарушение неприкосновенности частной жизни" – до 300 000 руб.

 

 

4.3. Контроль эффективности системы защиты

 

В случае компрометации системы безопасности персональных данных, оператору с привлечением организации лицензиата ФСТЭК России необходимо выполнить перечень мероприятий по контролю эффективности системы защиты, который включает в себя:

· анализ и оценку исходных данных и документации по защите информации на объекте информатизации;

· проверку состава технических средств, средств защиты информации, их состояния, взаимного размещения технических средств объекта информатизации;

· изучение технологического процесса обработки и хранения информации, анализ информационных потоков на объекте информатизации;

· проверку состояния организации работ и выполнения организационно-технических требований по защите информации на объекте информатизации;

· испытания технических и программных средств защиты информации объекта информатизации (по соответствующим методикам);

· контроль эффективности защиты информации от НСД;

· анализ результатов работы комиссии и выдачу заключения.

 

Затраты проведение указанных работ определяются при привлечении организации лицензиата ФСТЭК России.

 

 

4.4. Ущерб репутации

 

Ущерб репутации Администрации Уральского сельсовета может привести к значительным негативным последствиям.

 

 

5. Общие затраты на ликвидацию последствий нарушений заданных характеристик безопасности персональных данных

 Общие затраты на ликвидацию последствий нарушений заданных

 

7

 

характеристик безопасности персональных данных в Администрации Уральского сельсовета приведены в таблице ниже.
          
         Таблица 1. Общие затраты на ликвидацию последствий нарушений заданных характеристик безопасности персональных данных

 

ИСПДн

Затраты

 

1

2

 

1С Предприятие

Вред субъектам  от нарушения

 

 

Конфиденциальности ПДн

32 500,00 р.

 

целостности ПДн

16 250,00 р.

 

доступности ПДн

Не оценивается

 

Уведомление субъектов о неправомерной обработке

1 950,00 р.

 

Штраф по статье 13.11 КоАП

10 000,00р.

 

Общий ущерб по ИСПДн

60 700,00 р.

 

Итоговый ущерб без учета затрат на проведение контроля эффективности и ущерба репутации

121 400,00 р.

 

 

 

 

 

6. Меры по защите персональных данных

 

В Администрации Уральского  сельсовета выполняется комплекс организационных и технических мер:

 

-оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона "О персональных данных", соотношение указанного вреда и принимаемых защитных мер;

 

-осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных закону "О персональных данных" и внутренним документам Администрации Уральского  сельсовета по вопросам обработки персональных данных;

 

-ознакомление работников, осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, политикой Администрации Уральского  сельсовета в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;

 

-учет машинных носителей персональных данных;

 

-назначение Ответственного за организацию обработки персональных данных.

 

 

 

7. Вывод

 

Принимаемые меры позволяют обеспечить адекватный уровень защиты персональных данных субъектов в ИСПДн Администрации Уральского  сельсовета и полностью соответствуют требованиям законодательства РФ в области защиты персональных данных.

 

                   

 

8

Остаточные риски после реализации комплекса мер по созданию и поддержанию системы информационной безопасности Администрации Уральского  сельсовета признаются приемлемыми.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Приложение 23

к постановлению

Администрации  Уральского  сельсовета 

от 17 июля  2014 года №32

« Об утверждении документов определяющих политику в отношении обработки персональных данных в Администрации  Уральского  сельсовета»

 

 

 

 

 

 

ИНСТРУКЦИЯ
об осуществлении контроля выполнения требований по защите персональных данных в Администрации Уральского  сельсовета
 

Настоящая инструкция определяет порядок организации и осуществления контроля выполнения требований по защите персональных данных в структурных подразделениях Администрации Уральского  сельсовета (далее – Администрация Уральского  сельсовета).

Требования инструкции обязательны для исполнения всеми должностными лицами Администрации Уральского  сельсовета, осуществляющими контроль состояния защиты персональных данных.

 

1. Общие положения

 

Контроль выполнения требований по защите персональных данных в структурных подразделениях Администрации Уральского  сельсовета осуществляется с целью определения наличия несоответствий между требуемым уровнем защиты персональных данных и его фактическим состоянием, а также выработать меры по их устранению и недопущению в дальнейшем.

Контроль осуществляет Ответственный за организацию обработки персональных данных Администрации Уральского  сельсовета. Для участия в проведении контроля решением Ответственного за организацию обработки персональных данных могут также привлекаться другие специалисты подразделений Администрации Уральского  сельсовета (по согласованию с их руководителями). В таких случаях контроль носит комплексный характер.

Контроль проводится в форме плановых и внеплановых проверок. Внеплановые проверки могут быть контрольными и по частным вопросам.

Контрольные проверки проводятся для установления полноты выполнения рекомендаций плановых проверок.

Проверки по частным вопросам охватывают отдельные направления по защите персональных данных и могут проводиться в случаях, когда стали известны факты несанкционированного доступа, утечки либо утраты персональных данных субъектов Администрации  Уральского  сельсовета или

 

2

нарушения требований по защите персональных данных.
         Сроки проведения контрольных проверок доводятся руководителям проверяемых подразделений не позднее, чем за 24 часа до начала проверки.
         Проверки по частным вопросам могут проводиться без уведомления руководителей проверяемых подразделений.
         Периодичность и сроки проведения плановых проверок подразделений Администрации Варгашинского поссовета устанавливаются графиком проверок на календарный год. План утверждает Глава Уральского  сельсовета Администрации Уральского  сельсовета. Сроки проведения плановых проверок доводятся руководителям проверяемых подразделений не позднее, чем за 10 суток до начала проверки.
        
         2. Порядок подготовки к проверке

 

         Для участия в проведении проверки Ответственным за организацию обработки персональных данных заблаговременно назначаются соответствующие компетентные специалисты (далее – проверяющие лица). В случае проведения проверки комиссией также назначается ее председатель.
         Председатель комиссии (старший по проверке) подготавливает в адрес руководителя проверяемого подразделения распоряжение о проверке за подписью Ответственного за организацию обработки персональных данных Администрации Варгашинского поссовета и перечень вопросов проверки (при необходимости). Председатель комиссии (старший по проверке) распределяет обязанности по проверке конкретных участков работы между проверяющими лицами.
         Проверяющие лица инструктируются непосредственным начальником об особенностях работы в конкретном подразделении Администрации Уральского  сельсовета. За 3 – 4 дня до начала проверки они должны изучить материалы предыдущих проверок данного подразделения, уточнить наличие в нем защищаемых ресурсов, сил и средств защиты персональных данных, а также особенности их функционирования.
         В случае проведения проверки удаленных структурных подразделений с выездом в служебную командировку лица, направляемые на проверку, должны оформить в установленном порядке необходимые командировочные документы.
        
         3. Порядок проведения проверки
        
         По прибытию в подразделение для проведения проверки председатель комиссии (старший по проверке) прибывает к руководителю проверяемого подразделения Администрации Уральского  сельсовета, представляется ему и представляет других прибывших на проверку лиц. При этом согласовываются конкретные вопросы по объему, содержанию, срокам проверки, а также каких должностных лиц подразделения необходимо привлечь к проверке и какие

 

3

объекты следует посетить. Допуск лиц, прибывших на проверку, к конкретным информационным ресурсам, охраняемым сведениям и техническим средствам производится руководителем подразделения на основании распоряжения о проверке. Подобный допуск должен исключать ознакомление проверяющих лиц с конкретными персональными данными.
         На период проведения контрольных мероприятий обработку персональных данных необходимо по возможности прекращать.
         Руководителем подразделения принимаются необходимые меры для обеспечения работы комиссии по проверке и определяется должностное лицо подразделения, ответственное за обеспечение работы комиссии.
         В ходе осуществления контроля выполнения требований по защите персональных данных в подразделении Администрации Уральского  сельсовета проверке подлежат следующие показатели:
         1) В части общей организации работ по защите персональных данных:
         - соответствие информации, указанной в уведомлении об обработке персональных данных, реальному положению дел;
         - наличие нормативных документов по защите персональных данных;
         - знание нормативных документов сотрудниками, имеющими доступ к персональным данным;
         - полнота и правильность выполнения требований нормативных документов сотрудниками, имеющими доступ к персональным данным;
         - наличие лиц, назначенные Ответственным за организацию обработки персональных данных в подразделении, уровень их профессиональной подготовки и способность выполнить возложенные обязанности;
         - наличие согласий на обработку персональных данных субъектов персональных данных. Соответствие объема персональных данных и сроков обработки целям обработки персональных данных;
         - соответствие схемы контролируемой зоны, перечня мест хранения материальных носителей, перечня лиц, допущенных к обработке персональных данных фактическому состоянию.
         2) В части защиты персональных данных в информационных системах персональных данных (ИСПДн):
         - соответствие средств вычислительной техники ИСПДн показателям, указанным в документации на ИСПДн;- структура и состав локальных вычислительных сетей, организация разграничения доступа пользователей к сетевым информационным ресурсам, порядок защиты охраняемых сведений при передаче (обмене) персональных данных в сети передачи данных (СПД);
         - соблюдение установленного порядка использования средств вычислительной техники ИСПДн;
         - наличие и эффективность применения средств и методов защиты персональных данных, обрабатываемых на средствах ЭВТ;
         - соблюдение требований, предъявляемых к паролям на информационные ресурсы;
         - соблюдение требований и правил антивирусной защиты ПЭВМ и

 

4

программ;
         - контроль журналов учета носителей персональных данных. Сверка основного журнала с дублирующим (если требуется ведение дублирующего учета носителей);
         - тестирование реализации правил фильтрации межсетевого экрана, процесса регистрации, процесса идентификации и аутентификации запросов, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления настроек межсетевого экрана.
         3) В части защиты информационных ресурсов и помещений:
         - правильность отнесения обрабатываемой информации к персональным данным;
         - правильность классификации информационной системы;
         - закрепление гражданско-правовой ответственности в сфере информационной безопасности и соблюдения режима конфиденциальности персональных данных в правилах внутреннего трудового распорядка, положениях о подразделениях Администрации Уральского  сельсовета, должностных инструкциях сотрудников и трудовых договорах;
         - порядок передачи персональных данных органам государственной власти, местного самоуправления и сторонним организациям (контрагентам);
         - действенность принимаемых мер по защите охраняемых сведений в ходе подготовки материалов к открытому опубликованию и при изготовлении рекламной продукции;
         - состояние конфиденциального делопроизводства, соблюдение установленного порядка подготовки, учета, использования, хранения и уничтожения документов, содержащих персональные данные;
         - выполнение требований по правильному оборудованию защищаемых помещений и предотвращению утечки охраняемых сведений при проведении мероприятий конфиденциального характера;
         - соответствие защищаемых помещений их техническим паспортам.
         Более подробно вопросы, подлежащие проверке, могут раскрываться в отдельных документах (методических рекомендациях, технологических картах, памятках и т.п.).
         В ходе работы проверяющие лица должны принимать меры по устранению на месте отмечаемых нарушений и недостатков. Для этого с должностными лицами подразделения, ответственными за конкретные участки работы, где отмечались недостатки, одновременно должны проводиться разъяснения требований руководящих документов и оказываться практическая помощь в правильной постановке работы.
         Недостатки, которые не могут быть устранены на месте, включаются в итоговый документ по результатам проверки.
        
         4. Оформление результатов проверки

 

5

 

Результаты проверки оформляются:

- актом - при проведении проверки комиссией;

- служебной запиской - при проведении проверки назначенными специалистами.

Акт (служебная записка) составляется в двух экземплярах, как правило, на месте в подразделении, подписывается председателем и членами комиссии (старшим по проверке), докладывается под роспись руководителю подразделения и представляется на утверждение (на доклад) Ответственному за организацию обработки персональных данных Администрации Уральского  сельсовета. Один экземпляр документа высылается в подразделение.

В случае несогласия с выводами комиссии (проверяющих лиц) руководитель подразделения может выразить в письменном виде свое особое мнение (прилагается к акту или служебной записке).

Результаты проверок подразделений периодически обобщаются Ответственным за организацию обработки персональных данных Администрации Уральского  сельсовета и доводятся до руководителей подразделений. При необходимости принятия решений по результатам проверок подразделений Главе Уральского  сельсовета Администрации Уральского  сельсовета  готовятся соответствующие служебные записки.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Приложение 24

к постановлению

Администрации Уральского  сельсовета 

от 17 июля  2014 года № 32

« Об утверждении документов определяющих политику в отношении обработки персональных данных в Администрации Уральского  сельсовета»

 

 

 

 

 

 

ИНСТРУКЦИЯ
по допуску лиц в помещения Администрации Уральского  сельсовета, в которых ведется обработка персональных данных
 
 

 

1. Общие положения
 

1.1. Настоящая инструкция разработана в целях обеспечения безопасности персональных данных, средств вычислительной техники информационных систем персональных данных, материальных носителей персональных данных, а так же обеспечения внутриобъектового режима.

Объектами охраны Администрации Уральского  сельсовета (далее – Администрация  Уральского  сельсовета) являются:

- помещения, в которых происходит обработка персональных данных как с использованием средств автоматизации, так и без таковых;

- помещения, аттестованные по требованиям безопасности речевой информации (далее – защищаемые помещения (ЗП));

- помещения, в которых установлены компьютеры, сервера и коммутационное оборудование, участвующее в обработке персональных данных;

- помещения, в которых хранятся материальные носители персональных данных;

- помещения, в которых хранятся резервные копии персональных данных.

1.2. Бесконтрольный доступ посторонних лиц в указанные помещения должен быть исключен.

1.3. К следующим категориям объектов охраны Администрации Уральского  сельсовета (далее – спецпомещения) предъявляются ужесточенные требования по безопасности: помещения, в которых установлены криптографические средства, предназначенные для шифрования персональных данных (в том числе носители ключевой информации).

1.4. Ответственность за соблюдение положений настоящей инструкции несут сотрудники структурных подразделений, обрабатывающих персональные данные, а так же руководители структурных подразделений.

2

1.5. Контроль за соблюдением требований настоящей инструкции обеспечивает Ответственный пользователь криптосредств.

1.6. Некоторые положения данной инструкции могут не применяться в зависимости от специфики обработки персональных данных структурными подразделениями Администрации Уральского  сельсовета по согласованию с Ответственным за организацию обработки персональных данных.

1.7. Все объекты охраны Администрации Уральского  сельсовета должны быть оборудованы охранной сигнализацией, либо предусматривать круглосуточное дежурство.

1.8. Ограждающие конструкции объектов охраны должны предполагать существенные трудности для нарушителя по их преодолению. Пример: металлические решетки на окнах, металлическая дверь, СКУД и т.д.

 

2. Допуск в помещения, в которых ведется обработка персональных данных
 

2.1. Доступ посторонних лиц в помещения, в которых ведется обработка персональных данных, должен осуществляется только ввиду служебной необходимости.

2.2. При этом на момент присутствия посторонних лиц в помещении должны быть приняты меры по недопущению ознакомления посторонних лиц с персональными данными. Пример: мониторы повернуты в сторону от посетителей, документы убраны в стол, либо находятся в непрозрачной папке (накрыты чистыми листами бумаги).

2.3. Допуск сотрудников в помещения, в которых ведется обработка персональных данных, оформляется после подписания сотрудником обязательства о неразглашении и инструктажа Ответственного за организацию обработки персональных данных, либо Ответственного за обеспечение безопасности информационных систем персональных данных.

2.4. В нерабочее время помещения, в которых ведется обработка персональных данных, должны ставиться на охрану. При этом все окна и двери в смежные помещения должны быть надежно закрыты, материальные носители персональных данных должны быть убраны в запираемые шкафы (сейфы), компьютеры выключены либо заблокированы.

 

3. Допуск в серверные помещения
 

3.1. Доступ в серверные помещения разрешен только Ответственному за техническое обслуживание ИСПДн, Ответственному за обеспечение безопасности информационных систем персональных данных и Ответственному за организацию обработки персональных данных. Уборка серверных помещений происходит только при строгом контроле указанных лиц.

3.2. Серверное помещение в обязательном порядке оснащается охранной сигнализацией, системой видеонаблюдения и системой автономного питания

 

3

средств охраны.
         3.3. Доступ в серверные помещения посторонних лиц допускается строго по согласованию с Ответственным за организацию обработки персональных данных.
         3.4. Нахождение в серверных помещениях посторонних лиц без сопровождающего не допустимо.
          

4. Допуск лиц в спецпомещения
 

4.1. Спецпомещения выделяют с учетом размеров контролируемых зон, регламентированных эксплуатационной и технической документацией к криптосредствам. Помещения должны иметь прочные входные двери с замками, гарантирующими надежное закрытие помещений в нерабочее время. Окна помещений, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в спецпомещения посторонних лиц, необходимо оборудовать металлическими решетками, или ставнями, или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в спецпомещения.

4.2. Размещение, специальное оборудование, охрана и организация режима в спецпомещениях должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.

4.3. Для предотвращения просмотра извне спецпомещений их окна должны быть защищены.

4.4. Спецпомещения, как правило, должны быть оснащены охранной сигнализацией, связанной со службой охраны здания или дежурным по организации. Исправность сигнализации периодически необходимо проверять Ответственному пользователю криптосредств совместно с представителем службы охраны или дежурным по организации с отметкой в соответствующих журналах.

4.5. Для хранения ключевых документов, эксплуатационной и технической документации, инсталлирующих криптосредства носителей должно быть предусмотрено необходимое количество надежных металлических хранилищ, оборудованных внутренними замками с двумя экземплярами ключей и кодовыми замками или приспособлениями для опечатывания замочных скважин. Один экземпляр ключа от хранилища должен находиться у Ответственного пользователя криптосредств.

4.6. По окончании рабочего дня спецпомещение и установленные в нем хранилища должны быть закрыты, хранилища опечатаны.

4.7. Ключи от спецпомещений, а также ключ от хранилища, в котором находятся ключи от всех других хранилищ спецпомещения, в опечатанном виде должны быть сданы под расписку в соответствующем журнале службы охраны или дежурному по организации одновременно с передачей под охрану

 

4

самих спецпомещений. Печати, предназначенные для опечатывания хранилищ, должны находиться у пользователей криптосредств, ответственных за эти хранилища.
         4.8. При утрате ключа от хранилища или от входной двери в спецпомещение замок необходимо заменить или переделать его секрет с изготовлением к нему новых ключей с документальным оформлением. Если замок от хранилища переделать невозможно, то такое хранилище необходимо заменить. Порядок хранения ключевых и других документов в хранилище, от которого утрачен ключ, до изменения секрета замка устанавливает Ответственный пользователь криптосредств.
         4.9. В обычных условиях спецпомещения, находящиеся в них опечатанные хранилища могут быть вскрыты только пользователями криптосредств или Ответственным пользователем криптосредств.
         При обнаружении признаков, указывающих на возможное несанкционированное проникновение в эти помещения или хранилища посторонних лиц, о случившемся должно быть немедленно сообщено Ответственному пользователю криптосредств. Прибывший Ответственный пользователь криптосредств должен оценить возможность компрометации хранящихся ключевых и других документов, составить акт и принять, при необходимости, меры к локализации последствий компрометации персональных данных и к замене скомпрометированных криптоключей.
         4.10. Размещение и монтаж криптосредств, а также другого оборудования, функционирующего с криптосредствами, в спецпомещениях должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными криптосредствами.
         4.11. На время отсутствия пользователей криптосредств указанное оборудование, при наличии технической возможности, должно быть выключено, отключено от линии связи и убрано в опечатываемые хранилища. В противном случае по согласованию с Ответственным пользователем криптосредств необходимо предусмотреть организационно-технические меры, исключающие возможность использования криптосредств посторонними лицами.