Основная информация
| Дата опубликования: | 05 августа 2020г. |
| Номер документа: | RU28004505202000038 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Амурская область |
| Принявший орган: | Администрация Марковского сельсовета Благовещенского района |
| Раздел на сайте: | Нормативные правовые акты муниципальных образований |
| Тип документа: | Постановления |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
РОССИЙСКАЯ ФЕДЕРАЦИЯ
АДМИНИСТРАЦИЯ МАРКОВСКОГО СЕЛЬСОВЕТА
БЛАГОВЕЩЕНСКОГО РАЙОНА АМУРСКОЙ ОБЛАСТИ
ПОСТАНОВЛЕНИЕ
От 05.08.2020 № 74
c. Марково
Об обработке персональных данных в администрации Марковского сельсовета
Во исполнение Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных", постановления Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», нормативными правовыми актами Российской Федерации, нормативно-методическими и методическими документами ФСБ России и ФСТЭК России:
Назначить ответственными за организацию обработки персональных данных в администрации Марковского сельсовета главного специалиста Малофееву Елену Витальевну.
Утвердить:
2.1. Положение о порядке учета, хранения и обращения со съемными носителями персональных данных (Приложение № 1).
2.2. Правила работы с обезличенными персональными данными (Приложение № 2).
2.3. Перечень должностей, при замещении которых устанавливается ответственность за проведение мероприятий по обезличиванию обрабатываемых персональных данных (Приложение № 3).
2.4. Перечень должностей, замещение которых предусматривает осуществление обработки персональных данных либо доступа к персональным данным (Приложение № 4);
2.5. Должностную инструкцию лица, ответственного за организацию обработки персональных данных в администрации Марковского сельсовета (Приложение № 5).
2.6. Инструкцию пользователя по обеспечению безопасности обработки персональных данных при возникновении внештатных ситуаций (Приложение № 6);
2.7. Обязательство о неразглашении конфиденциальной информации (Приложение № 7).
3. Лицу, указанному в пункте 1 настоящего постановления, обеспечить ознакомление должностных лиц администрации, осуществляющих обработку персональных данных, и вновь принятых в администрацию, должностные обязанности которых предусматривают обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, распорядительными документами администрации по вопросам обработки персональных данных.
4. Контроль за исполнением настоящего постановления оставляю за собой.
Глава Марковского сельсовета Ю.В. Шмилев
Приложение № 1 к постановлению
администрации Марковского сельсовета
от « 05 » августа 2020 № 74
ПОЛОЖЕНИЕ
о порядке учета, хранения и обращения со съемными носителями персональных данных
1. Общие положения
Настоящее Положение о порядке учета, хранения и обращения со съемными носителями персональных данных (далее – Положение об учете съемных носителей ПДн) разработано в соответствии с Федеральным законом № 149-ФЗ от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации», постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», ГОСТ Р ИСО/МЭК 27002-2012 и устанавливает порядок учета и использования машинных носителей информации для обработки персональных данных. Действие настоящего Положения об учете съемных носителей ПДн распространяется на всех должностных лиц администрации Марковского сельсовета.
2. Основные термины, сокращения и определения
Администратор информационной системы – технический специалист, обеспечивающий ввод в эксплуатацию, поддержку и последующий вывод из эксплуатации программного обеспечения (ПО) и оборудования вычислительной техники.
АРМ – автоматизированное рабочее место пользователя (персональный компьютер (ПК) с ПО) для выполнения определенной производственной задачи.
ИБ – информационная безопасность – состояние защищенности информации (данных) при котором обеспечены ее (их) конфиденциальность, доступность и целостность.
ИС – информационная система, обеспечивающая хранение, обработку, преобразование и передачу информации с использованием компьютерной и другой техники.
Машинный носитель информации – материальный носитель, используемый для хранения и передачи электронной информации.
ПК – персональный компьютер.
ПО – программное обеспечение.
ПО вредоносное – ПО, вносящее изменения, приводящие к нарушению конфиденциальности, целостности и доступности критичной информации.
Пользователь – должностное лицо администрации Марковского сельсовета, использующий ПК и носители информации для выполнения своих служебных обязанностей.
3. Порядок использования машинных носителей информации
3.1. Под использованием машинных носителей информации в ИС понимается их подключение к инфраструктуре ИС с целью обработки ПДн и обмена информацией между ИС и носителями информации.
3.2. В ИС допускается использование только учтенных машинных носителей информации, которые являются собственностью администрации Марковского сельсовета и подвергаются регулярной ревизии и контролю.
3.3. К машинным носителям ПДн предъявляются те же требования ИБ, что и для стационарных АРМ (целесообразность дополнительных мер обеспечения ИБ определяется администраторами ИС).
3.4. Машинные носители конфиденциальной информации для должностных лиц администрации Марковского сельсовета предоставляются по инициативе руководителей их структурных подразделений в случаях:
- необходимости выполнения новым Пользователем своих должностных обязанностей;
- возникновения у Пользователя производственной необходимости.
4. Порядок учета, хранения и обращения со съемными машинными носителями персональных данных
4.1. Все находящиеся на хранении и в обращении съемные машинные носители с ПДн подлежат учёту.
4.2. Каждый съемный машинный носитель ПДн должен иметь уникальный учетный номер.
4.3. Учет и выдача съемных машинных носителей ПДн осуществляются уполномоченными должностными лицами структурных подразделений администрации Марковского сельсовета. Факт выдачи съемного машинного носителя исполнителю фиксируется в Журнале учета машинных носителей, содержащих персональные данные (Приложение № 1).
4.4. Пользователи получают учтенные съемные машинные носители ПДн от уполномоченных должностных лиц структурных подразделений администрации Марковского сельсовета на время выполнения соответствующих работ, по окончании которых данные носители подлежат возврату. Факты выдачи и возврата съемных носителей ПДн фиксируются в Журнале.
4.5. При использовании Пользователями машинных носителей ПДн необходимо:
- соблюдать требования настоящего Положения;
- использовать машинные носители информации ПДн исключительно для выполнения своих служебных обязанностей;
- ставить в известность администраторов ИС о любых фактах нарушения требований настоящего Положения;
- бережно относится к машинным носителям ПДн;
- обеспечивать безопасность машинных носителей ПДн информации всеми возможными способами;
- извещать администраторов ИС о фактах утраты (кражи) машинных носителей ПДн.
4.6. При использовании машинных носителей ПДн запрещается:
- использовать их в личных целях;
- передавать их другим лицам (за исключением администраторов ИС);
- хранить их вместе с общедоступными данными на рабочих столах либо оставлять без присмотра или передавать на хранение другим лицам;
- выносить их из служебных помещений для работы на дому.
4.7. Любое взаимодействие (обработка, прием и передача информации), инициированное должностным лицом между ИС и неучтенными носителями информации, рассматривается как несанкционированное.
Администратор ИС оставляет за собой право блокировать или ограничивать использование машинных носителей ПДн.
4.8. В случае выявления фактов несанкционированного и (или) нецелевого использования машинных носителей ПДн инициируется служебная проверка, проводимая комиссией, состав и полномочия которой определяется распоряжением главы Марковского сельсовета.
По результатам служебной проверки составляется акт расследования инцидента и передается руководителю структурного подразделения для принятия мер в соответствии с действующим законодательством Российской Федерации.
4.9. Информация, хранящаяся на машинных носителях ПДн, подлежит обязательной проверке на предмет отсутствия вредоносного программного обеспечения.
4.10. При отправке или передаче ПДн адресатам на съемные машинные носители записываются только предназначенные им данные. Отправка ПДн адресатам на съемных машинных носителях осуществляется в порядке, установленном для документов для служебного пользования.
4.11. Вынос съемных машинных носителей ПДн для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя структурного подразделения.
4.12. В случае утраты или несанкционированного уничтожения съемных машинных носителей ПДн, а также разглашения содержащихся на них сведений, необходимо немедленно поставить в известность руководителя соответствующего структурного подразделения.
По факту утраты составляется акт расследования инцидента и в журналы учета съемных носителей ПДн вносятся соответствующие отметки.
4.13. Съемные носители персональных данных, пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению.
4.14. В случае увольнения или перевода должностного лица в другое структурное подразделение предоставленные ему машинные носители ПДн необходимо сдать уполномоченному лицу своего структурного подразделения.
Уполномоченное лицо должно предпринять одно из следующих мер, направленных на невозможность несанкционированного доступа хранящейся на нем защищаемой информации:
- уничтожить машинные носители ПДн с составлением соответствующего акта об уничтожении;
- удалить информацию, содержащуюся на машинных носителях ПДн, с помощью специального программного обеспечения сертифицированного ФСТЭК России с составлением соответствующего акта об уничтожении (очистке);
- сдать в архив или перерегистрировать машинные носители ПДн на структурное подразделение и сделать соответствующую отметку в Журнале.
5. Ответственность
Пользователи и администраторы информационной системы, нарушившие требования настоящего Положения, несут ответственность в соответствии с действующим законодательством Российской Федерации.
Приложение № 2 к постановлению
администрации Марковского сельсовета
от «05 » августа 2020 № 74
ПРАВИЛА
работы с обезличенными персональными данными
1. Общие положения
Настоящие Правила работы с обезличенными персональными данными разработаны с учетом Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» и постановления Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», определяют порядок работы с обезличенными данными администрации Марковского сельсовета и главой Марковского сельсовета или должностным лицом, исполняющим обязанности во время его отсутствия.
2. Термины и определения
В соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»:
‑ ПДн – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);
‑ обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;
‑ обезличивание ПДн – действия, в результате которых невозможно определить принадлежность ПДн конкретному субъекту ПДн.
3. Условия обезличивания
Обезличивание ПДн может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых ПДн, снижения классов ИСПДн и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом от 27 июля 2006 г. № 152 ФЗ «О персональных данных».
К методам обезличивания ПДн относятся:
‑ метод введения идентификаторов;
‑ метод изменения состава или семантики;
‑ метод декомпозиции;
‑ метод перемешивания.
Перечень должностей муниципальных служащих, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн, приведен в приложении № 5 к постановлению.
Решение о необходимости обезличивания ПДн принимает глава Марковского сельсовета.
Руководители структурных подразделений, непосредственно осуществляющие обработку ПДн, готовят предложения по обезличиванию ПДн, обоснование такой необходимости и способ обезличивания.
Должностные лица подразделений, взаимодействующие с ПДн, совместно с ответственным за организацию обработки ПДн, осуществляют непосредственное обезличивание выбранным способом.
4. Порядок работы с обезличенными ПДн
Обезличиваемые ПДн не подлежат разглашению и нарушению конфиденциальности. Обезличенные ПДн могут обрабатываться с использованием и без использования средств автоматизации. При обработке обезличенных ПДн необходимо соблюдение требований нормативных правовых актов Российской Федерации и Амурской области.
Приложение № 3 к постановлению
администрации Марковского сельсовета
от «05» августа 2020 № 74
Перечень
должностей, при замещении которых устанавливается ответственность за проведение мероприятий по обезличиванию обрабатываемых персональных данных
главный специалист
специалист
специалист
Приложение № 4 к постановлению
администрации Марковского сельсовета
от «05» августа 2020 № 74
Перечень должностей
замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным
Наименование должности
Глава администрации
Главный специалист
Специалист
Специалист
Приложение № 5 к постановлению
администрации Марковского сельсовета
от «05» августа 2020 № 74
Должностная инструкция лица,
ответственного за организацию обработки персональных данных в организации
1. Общие положения
Должностная инструкция лица, ответственного за организацию обработки ПДн в организации (далее - Инструкция), разработана в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных па обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и закрепляет обязанности, права и ответственность лица, ответственного за организацию обработки ПДн в администрации Марковского сельсовета. Лицо, ответственное за организацию обработки ПДн, в своей работе руководствуется Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», настоящей Инструкцией, а также нормативными актами администрации Марковского сельсовета, регламентирующими вопросы обработки персональных данных.
2. Обязанности лица, ответственного за организацию обработки персональных данных
Лицо, ответственное за организацию обработки ПДн обязано:
‑ осуществлять внутренний контроль за соблюдением должностными лицами администрации Марковского сельсовета законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн;
‑ доводить до сведения должностных лиц положения законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
‑ организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и осуществлять контроль приема и обработки указанных обращений и запросов.
3. Права лица, ответственного за организацию обработки персональных данных
Лицо, ответственное за организацию обработки ПДн, имеет право:
‑ принимать решения в пределах своей компетенции;
‑ требовать от должностных лиц соблюдения действующего законодательства, а также нормативных актов администрации Марковского сельсовета о ПДн;
‑ взаимодействовать с управлениями и иными структурными подразделениями администрации Марковского сельсовета по вопросам обработки ПДн.
4. Ответственность лица, ответственного за организацию обработки ПДн
За ненадлежащее исполнение или неисполнение настоящей Инструкции, а также за нарушение требований законодательства о ПДн лицо, ответственное за организацию обработки ПДн, несет предусмотренную законодательством Российской Федерации ответственность.
Приложение № 6 к постановлению
администрации Марковского сельсовета
от «05» августа 2020 № 74
ИНСТРУКЦИЯ
пользователя по обеспечению безопасности обработки персональных данных при возникновении внештатных ситуаций
1. Назначение и область действия
Настоящая Инструкция пользователя по обеспечению безопасности обработки персональных данных при возникновении внештатных ситуаций (далее – Инструкция) определяет возможные аварийные ситуации, связанные с функционированием ИСПДн в администрации Марковского сельсовета, меры и средства поддержания непрерывности работы и восстановления работоспособности ИСПДн после аварийных ситуаций.
Целью настоящего документа является превентивная защита элементов ИСПДн, направленная на обеспечение достоверности информации в случае реализации рассматриваемых угроз.
Задачей данной Инструкции является:
‑ определение мер защиты от нарушения функционирования ИСПДн;
‑ определение действий восстановления в случае сбоев.
Действие настоящей Инструкции распространяется на всех должностных лиц администрации Марковского сельсовета, имеющих доступ к ресурсам ИСПДн.
2. Порядок реагирования на аварийную ситуацию
2.1. Действия при возникновении аварийной ситуации
В настоящем документе под аварийной ситуацией понимается некоторое происшествие, связанное со сбоем в функционировании элементов ИСПДн, предоставляемых пользователям ИСПДн. В кратчайшие сроки, не превышающие одного рабочего дня, должностные лица администрации Марковского сельсовета, ответственные за реагирование, предпринимают меры по восстановлению работоспособности. Предпринимаемые меры по возможности согласуются с руководителями своих структурных подразделений. По необходимости, иерархия может быть нарушена, с целью получения высококвалифицированной консультации в кратчайшие сроки.
2.2. Уровни реагирования на инцидент.
При реагировании на инцидент, важно, чтобы пользователь правильно классифицировал критичность инцидента
Критичность оценивается на основе следующей классификации:
Уровень 1 – Незначительный инцидент. Незначительный инцидент определяется как локальное событие с ограниченным разрушением, которое не влияет на общую доступность элементов ИСПДн и средств защиты. Эти инциденты решаются ответственными за реагирование должностными лицами.
Уровень 2 – Авария. Любой инцидент, который приводит или может привести к нарушению работоспособности отдельных элементов ИСПДн и средств защиты. Эти инциденты выходят за рамки управления ответственными за реагирование должностных лиц.
К авариям относятся следующие инциденты:
Отказ элементов ИСПДн и средств защиты из-за:
‑ повреждения водой (прорыв системы водоснабжения, канализационных труб, систем охлаждения), а также подтопления в период паводка или проливных дождей;
‑ сбоя системы кондиционирования. Отсутствие администратора ИСПДн и администратора безопасности более чем на сутки из-за:
‑ химического выброса в атмосферу;
‑ сбоев общественного транспорта;
‑ эпидемии;
‑ массового отравления персонала;
‑ сильного снегопада;
‑ торнадо;
‑ сильных морозов.
Уровень 3 – Катастрофа. Любой инцидент, приводящий к полному нарушению работоспособности всех элементов ИСПДн и средств защиты, а также к угрозе жизни пользователей ИСПДн, классифицируется как катастрофа. Обычно к катастрофам относят обстоятельства непреодолимой силы (пожар, взрыв), которые могут привести к нарушению работоспособности ИСПДн и средств защиты на сутки и более. К катастрофам относятся следующие инциденты:
‑ пожар в здании;
‑ взрыв;
‑ просадка грунта с частичным обрушением здания;
‑ массовые беспорядки в непосредственной близости.
3. Меры обеспечения непрерывности работы и восстановления ресурсов при возникновении аварийных ситуаций
3.1. Технические меры
К техническим мерам обеспечения непрерывной работы и восстановления относятся программные, аппаратные и технические средства и системы, используемые для предотвращения возникновения аварийных ситуаций, такие как:
‑ системы обеспечения отказоустойчивости;
‑ системы резервного копирования и хранения данных;
‑ системы контроля физического доступа.
Системы жизнеобеспечения ИСПДн включают:
‑ пожарные сигнализации и системы пожаротушения;
‑ системы вентиляции и кондиционирования;
‑ системы резервного питания.
Все критичные помещения администрации Марковского сельсовета (помещения, в которых размещаются элементы ИСПДн и средства защиты) должны быть оборудованы средствами пожарной сигнализации и пожаротушения.
3.2. Организационные меры
Ответственные за реагирование должностные лица ознакомляют всех должностных лиц администрации Марковского сельсовета, находящихся в их зоне ответственности, с данной инструкцией в срок, не превышающий 3-х рабочих дней с момента выхода нового должностного лица на работу. Должно быть проведено обучение должностных лиц администрации Марковского сельсовета, имеющих доступ к ресурсам ИСПДн, порядку действий при возникновении аварийных ситуаций. Должностные лица должны получить базовые знания в следующих областях:
‑ оказание первой медицинской помощи;
‑ пожаротушение;
‑ эвакуация людей;
‑ защита материальных и информационных ресурсов;
‑ методы оперативной связи со службами спасения и лицами, ответственными за реагирование должностными лицами на аварийную ситуацию;
‑ выключение оборудования, электричества, водоснабжения, газоснабжения.
Администраторы ИСПДн и Администраторы безопасности должны быть дополнительно обучены методам частичного и полного восстановления работоспособности элементов ИСПДн. Навыки и знания должностных лиц по реагированию на аварийные ситуации должны регулярно проверяться. При необходимости должно проводиться дополнительное обучение должностных лиц порядку действий при возникновении аварийной ситуации.
Приложение № 7 к постановлению
администрации Марковского сельсовета
от «05 » августа 2020 № 74
ОБЯЗАТЕЛЬСТВО
о неразглашении сведений, содержащих персональные данные
Я, __________________________________________________________, в период трудовых отношений с администрацией Марковского сельсовета, и в течение одного года после их окончания обязуюсь:
Не разглашать и не передавать третьим лицам сведения, содержащие персональные данные, которые мне будут доведены или станут известны по работе, кроме случаев, предусмотренных законодательством Российской Федерации.
Выполнять относящиеся ко мне требования распоряжений, постановлений, инструкций и положений по работе с персональными данными, действующих в администрации Марковского сельсовета.
В случае попытки посторонних лиц получить от меня сведения, содержащие персональные данные, немедленно сообщить об этом главе администрации и ответственному за обработку персональных данных.
В случае моего увольнения, все носители, содержащие персональные данные (документы, копии документов, дискеты, компакт-диски, флеш-носители, распечатки на принтерах, черновики), которые находились в моем распоряжении в связи с выполнением мною должностных обязанностей во время работы в администрации Марковского сельсовета, передать главе администрации или ответственному за обработку персональных данных.
Об утрате или недостаче документов, или иных носителей, содержащих персональные данные, ключей от хранилищ, сейфов (металлических шкафов) и других фактах, которые могут привести к разглашению персональных данных, а также о причинах и условиях возможной утечки сведений немедленно сообщить главе администрации или ответственному за обработку персональных.
До моего сведения доведены требования Положения о порядке обработки и обеспечении безопасности персональных данных в администрации Марковского сельсовета.
Мне известно, что нарушение данного обязательства может повлечь гражданскую, уголовную, административную, дисциплинарную и иную ответственность, предусмотренную законодательством Российской Федерации.
____________________ «___»____________20__г.
РОССИЙСКАЯ ФЕДЕРАЦИЯ
АДМИНИСТРАЦИЯ МАРКОВСКОГО СЕЛЬСОВЕТА
БЛАГОВЕЩЕНСКОГО РАЙОНА АМУРСКОЙ ОБЛАСТИ
ПОСТАНОВЛЕНИЕ
От 05.08.2020 № 74
c. Марково
Об обработке персональных данных в администрации Марковского сельсовета
Во исполнение Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных", постановления Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», нормативными правовыми актами Российской Федерации, нормативно-методическими и методическими документами ФСБ России и ФСТЭК России:
Назначить ответственными за организацию обработки персональных данных в администрации Марковского сельсовета главного специалиста Малофееву Елену Витальевну.
Утвердить:
2.1. Положение о порядке учета, хранения и обращения со съемными носителями персональных данных (Приложение № 1).
2.2. Правила работы с обезличенными персональными данными (Приложение № 2).
2.3. Перечень должностей, при замещении которых устанавливается ответственность за проведение мероприятий по обезличиванию обрабатываемых персональных данных (Приложение № 3).
2.4. Перечень должностей, замещение которых предусматривает осуществление обработки персональных данных либо доступа к персональным данным (Приложение № 4);
2.5. Должностную инструкцию лица, ответственного за организацию обработки персональных данных в администрации Марковского сельсовета (Приложение № 5).
2.6. Инструкцию пользователя по обеспечению безопасности обработки персональных данных при возникновении внештатных ситуаций (Приложение № 6);
2.7. Обязательство о неразглашении конфиденциальной информации (Приложение № 7).
3. Лицу, указанному в пункте 1 настоящего постановления, обеспечить ознакомление должностных лиц администрации, осуществляющих обработку персональных данных, и вновь принятых в администрацию, должностные обязанности которых предусматривают обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, распорядительными документами администрации по вопросам обработки персональных данных.
4. Контроль за исполнением настоящего постановления оставляю за собой.
Глава Марковского сельсовета Ю.В. Шмилев
Приложение № 1 к постановлению
администрации Марковского сельсовета
от « 05 » августа 2020 № 74
ПОЛОЖЕНИЕ
о порядке учета, хранения и обращения со съемными носителями персональных данных
1. Общие положения
Настоящее Положение о порядке учета, хранения и обращения со съемными носителями персональных данных (далее – Положение об учете съемных носителей ПДн) разработано в соответствии с Федеральным законом № 149-ФЗ от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации», постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», ГОСТ Р ИСО/МЭК 27002-2012 и устанавливает порядок учета и использования машинных носителей информации для обработки персональных данных. Действие настоящего Положения об учете съемных носителей ПДн распространяется на всех должностных лиц администрации Марковского сельсовета.
2. Основные термины, сокращения и определения
Администратор информационной системы – технический специалист, обеспечивающий ввод в эксплуатацию, поддержку и последующий вывод из эксплуатации программного обеспечения (ПО) и оборудования вычислительной техники.
АРМ – автоматизированное рабочее место пользователя (персональный компьютер (ПК) с ПО) для выполнения определенной производственной задачи.
ИБ – информационная безопасность – состояние защищенности информации (данных) при котором обеспечены ее (их) конфиденциальность, доступность и целостность.
ИС – информационная система, обеспечивающая хранение, обработку, преобразование и передачу информации с использованием компьютерной и другой техники.
Машинный носитель информации – материальный носитель, используемый для хранения и передачи электронной информации.
ПК – персональный компьютер.
ПО – программное обеспечение.
ПО вредоносное – ПО, вносящее изменения, приводящие к нарушению конфиденциальности, целостности и доступности критичной информации.
Пользователь – должностное лицо администрации Марковского сельсовета, использующий ПК и носители информации для выполнения своих служебных обязанностей.
3. Порядок использования машинных носителей информации
3.1. Под использованием машинных носителей информации в ИС понимается их подключение к инфраструктуре ИС с целью обработки ПДн и обмена информацией между ИС и носителями информации.
3.2. В ИС допускается использование только учтенных машинных носителей информации, которые являются собственностью администрации Марковского сельсовета и подвергаются регулярной ревизии и контролю.
3.3. К машинным носителям ПДн предъявляются те же требования ИБ, что и для стационарных АРМ (целесообразность дополнительных мер обеспечения ИБ определяется администраторами ИС).
3.4. Машинные носители конфиденциальной информации для должностных лиц администрации Марковского сельсовета предоставляются по инициативе руководителей их структурных подразделений в случаях:
- необходимости выполнения новым Пользователем своих должностных обязанностей;
- возникновения у Пользователя производственной необходимости.
4. Порядок учета, хранения и обращения со съемными машинными носителями персональных данных
4.1. Все находящиеся на хранении и в обращении съемные машинные носители с ПДн подлежат учёту.
4.2. Каждый съемный машинный носитель ПДн должен иметь уникальный учетный номер.
4.3. Учет и выдача съемных машинных носителей ПДн осуществляются уполномоченными должностными лицами структурных подразделений администрации Марковского сельсовета. Факт выдачи съемного машинного носителя исполнителю фиксируется в Журнале учета машинных носителей, содержащих персональные данные (Приложение № 1).
4.4. Пользователи получают учтенные съемные машинные носители ПДн от уполномоченных должностных лиц структурных подразделений администрации Марковского сельсовета на время выполнения соответствующих работ, по окончании которых данные носители подлежат возврату. Факты выдачи и возврата съемных носителей ПДн фиксируются в Журнале.
4.5. При использовании Пользователями машинных носителей ПДн необходимо:
- соблюдать требования настоящего Положения;
- использовать машинные носители информации ПДн исключительно для выполнения своих служебных обязанностей;
- ставить в известность администраторов ИС о любых фактах нарушения требований настоящего Положения;
- бережно относится к машинным носителям ПДн;
- обеспечивать безопасность машинных носителей ПДн информации всеми возможными способами;
- извещать администраторов ИС о фактах утраты (кражи) машинных носителей ПДн.
4.6. При использовании машинных носителей ПДн запрещается:
- использовать их в личных целях;
- передавать их другим лицам (за исключением администраторов ИС);
- хранить их вместе с общедоступными данными на рабочих столах либо оставлять без присмотра или передавать на хранение другим лицам;
- выносить их из служебных помещений для работы на дому.
4.7. Любое взаимодействие (обработка, прием и передача информации), инициированное должностным лицом между ИС и неучтенными носителями информации, рассматривается как несанкционированное.
Администратор ИС оставляет за собой право блокировать или ограничивать использование машинных носителей ПДн.
4.8. В случае выявления фактов несанкционированного и (или) нецелевого использования машинных носителей ПДн инициируется служебная проверка, проводимая комиссией, состав и полномочия которой определяется распоряжением главы Марковского сельсовета.
По результатам служебной проверки составляется акт расследования инцидента и передается руководителю структурного подразделения для принятия мер в соответствии с действующим законодательством Российской Федерации.
4.9. Информация, хранящаяся на машинных носителях ПДн, подлежит обязательной проверке на предмет отсутствия вредоносного программного обеспечения.
4.10. При отправке или передаче ПДн адресатам на съемные машинные носители записываются только предназначенные им данные. Отправка ПДн адресатам на съемных машинных носителях осуществляется в порядке, установленном для документов для служебного пользования.
4.11. Вынос съемных машинных носителей ПДн для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя структурного подразделения.
4.12. В случае утраты или несанкционированного уничтожения съемных машинных носителей ПДн, а также разглашения содержащихся на них сведений, необходимо немедленно поставить в известность руководителя соответствующего структурного подразделения.
По факту утраты составляется акт расследования инцидента и в журналы учета съемных носителей ПДн вносятся соответствующие отметки.
4.13. Съемные носители персональных данных, пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению.
4.14. В случае увольнения или перевода должностного лица в другое структурное подразделение предоставленные ему машинные носители ПДн необходимо сдать уполномоченному лицу своего структурного подразделения.
Уполномоченное лицо должно предпринять одно из следующих мер, направленных на невозможность несанкционированного доступа хранящейся на нем защищаемой информации:
- уничтожить машинные носители ПДн с составлением соответствующего акта об уничтожении;
- удалить информацию, содержащуюся на машинных носителях ПДн, с помощью специального программного обеспечения сертифицированного ФСТЭК России с составлением соответствующего акта об уничтожении (очистке);
- сдать в архив или перерегистрировать машинные носители ПДн на структурное подразделение и сделать соответствующую отметку в Журнале.
5. Ответственность
Пользователи и администраторы информационной системы, нарушившие требования настоящего Положения, несут ответственность в соответствии с действующим законодательством Российской Федерации.
Приложение № 2 к постановлению
администрации Марковского сельсовета
от «05 » августа 2020 № 74
ПРАВИЛА
работы с обезличенными персональными данными
1. Общие положения
Настоящие Правила работы с обезличенными персональными данными разработаны с учетом Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» и постановления Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», определяют порядок работы с обезличенными данными администрации Марковского сельсовета и главой Марковского сельсовета или должностным лицом, исполняющим обязанности во время его отсутствия.
2. Термины и определения
В соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»:
‑ ПДн – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);
‑ обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;
‑ обезличивание ПДн – действия, в результате которых невозможно определить принадлежность ПДн конкретному субъекту ПДн.
3. Условия обезличивания
Обезличивание ПДн может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых ПДн, снижения классов ИСПДн и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом от 27 июля 2006 г. № 152 ФЗ «О персональных данных».
К методам обезличивания ПДн относятся:
‑ метод введения идентификаторов;
‑ метод изменения состава или семантики;
‑ метод декомпозиции;
‑ метод перемешивания.
Перечень должностей муниципальных служащих, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн, приведен в приложении № 5 к постановлению.
Решение о необходимости обезличивания ПДн принимает глава Марковского сельсовета.
Руководители структурных подразделений, непосредственно осуществляющие обработку ПДн, готовят предложения по обезличиванию ПДн, обоснование такой необходимости и способ обезличивания.
Должностные лица подразделений, взаимодействующие с ПДн, совместно с ответственным за организацию обработки ПДн, осуществляют непосредственное обезличивание выбранным способом.
4. Порядок работы с обезличенными ПДн
Обезличиваемые ПДн не подлежат разглашению и нарушению конфиденциальности. Обезличенные ПДн могут обрабатываться с использованием и без использования средств автоматизации. При обработке обезличенных ПДн необходимо соблюдение требований нормативных правовых актов Российской Федерации и Амурской области.
Приложение № 3 к постановлению
администрации Марковского сельсовета
от «05» августа 2020 № 74
Перечень
должностей, при замещении которых устанавливается ответственность за проведение мероприятий по обезличиванию обрабатываемых персональных данных
главный специалист
специалист
специалист
Приложение № 4 к постановлению
администрации Марковского сельсовета
от «05» августа 2020 № 74
Перечень должностей
замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным
Наименование должности
Глава администрации
Главный специалист
Специалист
Специалист
Приложение № 5 к постановлению
администрации Марковского сельсовета
от «05» августа 2020 № 74
Должностная инструкция лица,
ответственного за организацию обработки персональных данных в организации
1. Общие положения
Должностная инструкция лица, ответственного за организацию обработки ПДн в организации (далее - Инструкция), разработана в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных па обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и закрепляет обязанности, права и ответственность лица, ответственного за организацию обработки ПДн в администрации Марковского сельсовета. Лицо, ответственное за организацию обработки ПДн, в своей работе руководствуется Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», настоящей Инструкцией, а также нормативными актами администрации Марковского сельсовета, регламентирующими вопросы обработки персональных данных.
2. Обязанности лица, ответственного за организацию обработки персональных данных
Лицо, ответственное за организацию обработки ПДн обязано:
‑ осуществлять внутренний контроль за соблюдением должностными лицами администрации Марковского сельсовета законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн;
‑ доводить до сведения должностных лиц положения законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
‑ организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и осуществлять контроль приема и обработки указанных обращений и запросов.
3. Права лица, ответственного за организацию обработки персональных данных
Лицо, ответственное за организацию обработки ПДн, имеет право:
‑ принимать решения в пределах своей компетенции;
‑ требовать от должностных лиц соблюдения действующего законодательства, а также нормативных актов администрации Марковского сельсовета о ПДн;
‑ взаимодействовать с управлениями и иными структурными подразделениями администрации Марковского сельсовета по вопросам обработки ПДн.
4. Ответственность лица, ответственного за организацию обработки ПДн
За ненадлежащее исполнение или неисполнение настоящей Инструкции, а также за нарушение требований законодательства о ПДн лицо, ответственное за организацию обработки ПДн, несет предусмотренную законодательством Российской Федерации ответственность.
Приложение № 6 к постановлению
администрации Марковского сельсовета
от «05» августа 2020 № 74
ИНСТРУКЦИЯ
пользователя по обеспечению безопасности обработки персональных данных при возникновении внештатных ситуаций
1. Назначение и область действия
Настоящая Инструкция пользователя по обеспечению безопасности обработки персональных данных при возникновении внештатных ситуаций (далее – Инструкция) определяет возможные аварийные ситуации, связанные с функционированием ИСПДн в администрации Марковского сельсовета, меры и средства поддержания непрерывности работы и восстановления работоспособности ИСПДн после аварийных ситуаций.
Целью настоящего документа является превентивная защита элементов ИСПДн, направленная на обеспечение достоверности информации в случае реализации рассматриваемых угроз.
Задачей данной Инструкции является:
‑ определение мер защиты от нарушения функционирования ИСПДн;
‑ определение действий восстановления в случае сбоев.
Действие настоящей Инструкции распространяется на всех должностных лиц администрации Марковского сельсовета, имеющих доступ к ресурсам ИСПДн.
2. Порядок реагирования на аварийную ситуацию
2.1. Действия при возникновении аварийной ситуации
В настоящем документе под аварийной ситуацией понимается некоторое происшествие, связанное со сбоем в функционировании элементов ИСПДн, предоставляемых пользователям ИСПДн. В кратчайшие сроки, не превышающие одного рабочего дня, должностные лица администрации Марковского сельсовета, ответственные за реагирование, предпринимают меры по восстановлению работоспособности. Предпринимаемые меры по возможности согласуются с руководителями своих структурных подразделений. По необходимости, иерархия может быть нарушена, с целью получения высококвалифицированной консультации в кратчайшие сроки.
2.2. Уровни реагирования на инцидент.
При реагировании на инцидент, важно, чтобы пользователь правильно классифицировал критичность инцидента
Критичность оценивается на основе следующей классификации:
Уровень 1 – Незначительный инцидент. Незначительный инцидент определяется как локальное событие с ограниченным разрушением, которое не влияет на общую доступность элементов ИСПДн и средств защиты. Эти инциденты решаются ответственными за реагирование должностными лицами.
Уровень 2 – Авария. Любой инцидент, который приводит или может привести к нарушению работоспособности отдельных элементов ИСПДн и средств защиты. Эти инциденты выходят за рамки управления ответственными за реагирование должностных лиц.
К авариям относятся следующие инциденты:
Отказ элементов ИСПДн и средств защиты из-за:
‑ повреждения водой (прорыв системы водоснабжения, канализационных труб, систем охлаждения), а также подтопления в период паводка или проливных дождей;
‑ сбоя системы кондиционирования. Отсутствие администратора ИСПДн и администратора безопасности более чем на сутки из-за:
‑ химического выброса в атмосферу;
‑ сбоев общественного транспорта;
‑ эпидемии;
‑ массового отравления персонала;
‑ сильного снегопада;
‑ торнадо;
‑ сильных морозов.
Уровень 3 – Катастрофа. Любой инцидент, приводящий к полному нарушению работоспособности всех элементов ИСПДн и средств защиты, а также к угрозе жизни пользователей ИСПДн, классифицируется как катастрофа. Обычно к катастрофам относят обстоятельства непреодолимой силы (пожар, взрыв), которые могут привести к нарушению работоспособности ИСПДн и средств защиты на сутки и более. К катастрофам относятся следующие инциденты:
‑ пожар в здании;
‑ взрыв;
‑ просадка грунта с частичным обрушением здания;
‑ массовые беспорядки в непосредственной близости.
3. Меры обеспечения непрерывности работы и восстановления ресурсов при возникновении аварийных ситуаций
3.1. Технические меры
К техническим мерам обеспечения непрерывной работы и восстановления относятся программные, аппаратные и технические средства и системы, используемые для предотвращения возникновения аварийных ситуаций, такие как:
‑ системы обеспечения отказоустойчивости;
‑ системы резервного копирования и хранения данных;
‑ системы контроля физического доступа.
Системы жизнеобеспечения ИСПДн включают:
‑ пожарные сигнализации и системы пожаротушения;
‑ системы вентиляции и кондиционирования;
‑ системы резервного питания.
Все критичные помещения администрации Марковского сельсовета (помещения, в которых размещаются элементы ИСПДн и средства защиты) должны быть оборудованы средствами пожарной сигнализации и пожаротушения.
3.2. Организационные меры
Ответственные за реагирование должностные лица ознакомляют всех должностных лиц администрации Марковского сельсовета, находящихся в их зоне ответственности, с данной инструкцией в срок, не превышающий 3-х рабочих дней с момента выхода нового должностного лица на работу. Должно быть проведено обучение должностных лиц администрации Марковского сельсовета, имеющих доступ к ресурсам ИСПДн, порядку действий при возникновении аварийных ситуаций. Должностные лица должны получить базовые знания в следующих областях:
‑ оказание первой медицинской помощи;
‑ пожаротушение;
‑ эвакуация людей;
‑ защита материальных и информационных ресурсов;
‑ методы оперативной связи со службами спасения и лицами, ответственными за реагирование должностными лицами на аварийную ситуацию;
‑ выключение оборудования, электричества, водоснабжения, газоснабжения.
Администраторы ИСПДн и Администраторы безопасности должны быть дополнительно обучены методам частичного и полного восстановления работоспособности элементов ИСПДн. Навыки и знания должностных лиц по реагированию на аварийные ситуации должны регулярно проверяться. При необходимости должно проводиться дополнительное обучение должностных лиц порядку действий при возникновении аварийной ситуации.
Приложение № 7 к постановлению
администрации Марковского сельсовета
от «05 » августа 2020 № 74
ОБЯЗАТЕЛЬСТВО
о неразглашении сведений, содержащих персональные данные
Я, __________________________________________________________, в период трудовых отношений с администрацией Марковского сельсовета, и в течение одного года после их окончания обязуюсь:
Не разглашать и не передавать третьим лицам сведения, содержащие персональные данные, которые мне будут доведены или станут известны по работе, кроме случаев, предусмотренных законодательством Российской Федерации.
Выполнять относящиеся ко мне требования распоряжений, постановлений, инструкций и положений по работе с персональными данными, действующих в администрации Марковского сельсовета.
В случае попытки посторонних лиц получить от меня сведения, содержащие персональные данные, немедленно сообщить об этом главе администрации и ответственному за обработку персональных данных.
В случае моего увольнения, все носители, содержащие персональные данные (документы, копии документов, дискеты, компакт-диски, флеш-носители, распечатки на принтерах, черновики), которые находились в моем распоряжении в связи с выполнением мною должностных обязанностей во время работы в администрации Марковского сельсовета, передать главе администрации или ответственному за обработку персональных данных.
Об утрате или недостаче документов, или иных носителей, содержащих персональные данные, ключей от хранилищ, сейфов (металлических шкафов) и других фактах, которые могут привести к разглашению персональных данных, а также о причинах и условиях возможной утечки сведений немедленно сообщить главе администрации или ответственному за обработку персональных.
До моего сведения доведены требования Положения о порядке обработки и обеспечении безопасности персональных данных в администрации Марковского сельсовета.
Мне известно, что нарушение данного обязательства может повлечь гражданскую, уголовную, административную, дисциплинарную и иную ответственность, предусмотренную законодательством Российской Федерации.
____________________ «___»____________20__г.
Дополнительные сведения
| Рубрики правового классификатора: | 010.150.000 Местное самоуправление, 010.150.010 Общие положения |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
