ОБ ОРГАНИЗАЦИИ РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ В УПРАВЛЕНИИ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ, ЗАКОННОСТИ, ПРАВОПОРЯДКА И ДЕЯТЕЛЬНОСТИ КООРДИНАЦИОННЫХ ОРГАНОВ ОРЛОВСКОЙ ОБЛАСТИ, А ТАКЖЕ ПО ОБЕСПЕЧЕНИЮ БЕЗ...



Утратил силу приказом администрации Губернатора и Правительства Орловской области от 05.06.2019 № 225

УПРАВЛЕНИЕ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ, ЗАКОННОСТИ, ПРАВОПОРЯДКА И ДЕЯТЕЛЬНОСТИ КООРДИНАЦИОННЫХ ОРГАНОВ ОРЛОВСКОЙ ОБЛАСТИ

ПРИКАЗ

от 04.02.2016 № 5

ОБ ОРГАНИЗАЦИИ РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ В УПРАВЛЕНИИ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ, ЗАКОННОСТИ, ПРАВОПОРЯДКА И ДЕЯТЕЛЬНОСТИ КООРДИНАЦИОННЫХ ОРГАНОВ ОРЛОВСКОЙ ОБЛАСТИ, А ТАКЖЕ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ И СЛУЖЕБНОЙ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ УПРАВЛЕНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ, ЗАКОННОСТИ, ПРАВОПОРЯДКА И ДЕЯТЕЛЬНОСТИ КООРДИНАЦИОННЫХ ОРГАНОВ ОРЛОВСКОЙ ОБЛАСТИ

{Изменения и дополнения:

приказ Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области от 28.03.2016 № 11; НГР: ru57000201600214}

В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» приказываю:

1. Утвердить:

Правила обработки персональных данных в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области согласно приложению 1;

Типовое обязательство государственного гражданского служащего Орловской области, замещающего должность государственной гражданской службы Орловской области в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (трудового договора) прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, согласно приложению 2;

Правила рассмотрения в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области запросов субъектов персональных данных или их представителей согласно приложению 3;

Правила осуществления в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним правовыми актами Российской Федерации и Орловской области, согласно приложению 4;

Перечень персональных данных, обрабатываемых в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области в связи с реализацией отношений в сфере государственной гражданской службы согласно приложению 5;

Перечень должностей в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области, исполнение обязанностей по которым предусматривает осуществление обработки персональных данных либо осуществление доступа к персональных данным, согласно приложению 6;

Должностную инструкцию ответственного за организацию обработки персональных данных в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области согласно приложению 7;

Порядок доступа в помещения Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области, в которых ведется обработка персональных данных, согласно приложению 8;

Положение об организации и проведении работ по обеспечению безопасности персональных данных и служебной информации в информационных системах Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области согласно приложению 9.

2. Ответственность за организацию обработки персональных данных возложить на заместителя начальника Управления – начальника отдела обеспечения законности, правопорядка и деятельности координационных органов Орловской области Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области И. А. Барсукову.

3. Ответственность за обеспечение безопасности персональных данных в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области возложить на заместителя начальника отдела обеспечения законности, правопорядка и деятельности координационных органов Орловской области Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области А. В. Демина.

4. Заместителю начальника Управления – начальнику отдела обеспечения законности, правопорядка и деятельности координационных органов Орловской области Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области И. А. Барсуковой в 10–дневный срок с момента подписания приказа:

обеспечить размещение документов, указанных в пункте 1 настоящего приказа, в государственной специализированной информационной системе «Портал Орловской области – публичный информационный центр»;

ознакомить с приказом под роспись государственных гражданских служащих Орловской области, замещающих должности государственной гражданской службы Орловской области в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области.

5. Контроль за исполнением приказа оставляю за собой.

Начальник Управления по обеспечению безопасности,

законности, правопорядка и деятельности координационных

органов Орловской области

А. М. Кабин

Приложение 1 к приказу

Управления по обеспечению безопасности, законности,

правопорядка и деятельности координационных органов

Орловской области

от 04.02.2016 № 5

ПРАВИЛА

обработки персональных данных

в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области

I. Общие положения

1. Правила обработки персональных данных в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области (далее – Правила) определяют цели обработки персональных данных, содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства в сфере персональных данных.

2. Управление по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области является оператором персональных данных (далее – оператор) в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее также – Федеральный закон № 152-ФЗ).

3. Обработка персональных данных должна осуществляться с соблюдением принципов, условий и требований, предусмотренных:

Трудовым кодексом Российской Федерации;

Федеральным законом от 27 июля 2004 года № 79-ФЗ «О государственной гражданской службе Российской Федерации»;

Федеральным законом от 2 мая 2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;

Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

Указом Президента Российской Федерации от 30 мая 2005 года № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»;

постановлением Правительства Российской Федерации от 6 июля 2008 года № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

иными правовыми актами Российской Федерации, правовыми актами Орловской области в сфере обработки персональных данных.

4. Субъектами персональных данных, обрабатываемых оператором, являются государственные гражданские служащие Орловской области, замещающие должности государственной гражданской службы Орловской службы в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области (далее – гражданские служащие), их супруги и несовершеннолетние дети.

5. Права субъектов персональных данных в области обработки их персональных данных установлены Федеральным законом № 152-ФЗ, а также иными нормативными правовыми актами в сфере обработки персональных данных.

6. Обработка персональных данных осуществляется в целях реализации Управлением по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области задач, функций и полномочий, предусмотренных Законом Орловской области от 10 ноября 2014 года № 1683-ОЗ «О Правительстве и системе органов исполнительной государственной власти Орловской области», постановлением Правительства Орловской области от 22 декабря 2014 года № 409 «Об утверждении Положения об Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области».

7. Для реализации целей, указанных в пункте 6 Правил, оператор осуществляет обработку следующих категорий персональных данных:

1) фамилия, имя, отчество, пол;

2) число, месяц, год рождения;

3) место рождения;

4) данные паспорта гражданина Российской Федерации (серия, номер, наименование органа, выдавшего его, дата выдачи);

5) адрес регистрации (фактического проживания);

6) номер контактного телефона или сведения о других способах связи;

7) семейное положение, состав семьи и сведения о близких родственниках, сведения о рождении детей;

8) информация об отпусках;

9) информация о надбавках и премиях, устанавливаемых начальником Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области;

10) номер расчетного счета в банке для перечисления денежного содержания и иных выплат.

8. Обработка персональных данных субъектов персональных данных в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области в рамках реализации целей, определенных пунктом 6 настоящих Правил, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Федерального закона № 152-ФЗ осуществляется без согласия субъектов персональных данных.

9. Обработка персональных данных осуществляется заместителем начальника Управления – начальником отдела обеспечения законности, правопорядка и деятельности координационных органов Орловской области Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области.

10. Обработка персональных данных включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение.

11. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных.

12. В случае отказа субъекта персональных данных предоставить свои персональные данные, предоставление которых является обязательным в соответствии с нормативными правовыми актами Российской Федерации, Управление по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области сообщает об этом в Аппарат Губернатора и Правительства Орловской области, который в письменной форме разъясняет данному субъекту юридические последствия отказа предоставить свои персональные данные.

13. Обработка персональных данных в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области осуществляется с использованием средств автоматизации, а также без использования таких средств (на бумажном носителе информации) в соответствии с положениями разделов II, III Правил.

14. Обработка персональных данных в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области не требует обезличивания персональных данных.

15. Обработке подлежат только персональные данные, которые соответствуют целям их обработки.

16. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

17. Передача (предоставление, доступ) и использование персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных федеральным законодательством, а также для целей, указанных в пункте 6 Правил.

18. Сроки хранения персональных данных определены законодательством Российской Федерации.

19. Уничтожение документов, содержащих персональные данные с истекшими сроками хранения, осуществляется в установленном законом порядке.

20. Для выявления и предотвращения нарушений законодательства Российской Федерации в сфере персональных данных в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области устанавливаются следующие процедуры:

назначение ответственного за организацию обработки персональных данных;

назначение ответственного за обеспечение безопасности персональных данных при их обработке;

определение лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных;

опубликование в государственной специализированной информационной системе «Портал Орловской области – публичный информационный центр» в сети Интернет правовых актов Орловской области, определяющих политику Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области в отношении обработки персональных данных, реализуемые требования к защите персональных данных;

осуществление внутреннего контроля соответствия обработки персональных данных требованиям Федерального закона № 152-ФЗ и принятых в соответствии с ним правовых актов Российской Федерации и Орловской области, а также требованиям к защите персональных данных.

21. Гражданские служащие Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области при работе с персональными данными должны соблюдать следующие правила:

1) соблюдать положения нормативных правовых актов Российской Федерации и Орловской области при обработке персональных данных субъектов персональных данных;

2) выполнять на автоматизированном рабочем месте только те работы, которые необходимы для исполнения их должностных обязанностей;

3) соблюдать конфиденциальность при обработке персональных данных;

4) передавать съемные носители с персональными данными только после оформления в установленном порядке фактов передачи;

5) копировать сведения о персональных данных только на учтенные съемные носители;

6) прекращать обработку персональных данных в присутствии посторонних лиц;

7) исключать возможность ознакомления посторонних лиц с паролем;

8) соблюдать требования антивирусной защиты;

9) располагать во время работы экран монитора таким образом, чтобы была исключена возможность несанкционированного ознакомления с отображаемыми на нем персональными данными посторонними лицами;

10) не устанавливать и не модифицировать программное и аппаратное обеспечение автоматизированных рабочих мест;

11) подключать к автоматизированным рабочим местам только учтенные съемные носители;

12) для производства ремонтных, настроечных работ на автоматизированных рабочих местах допускать специалистов после согласования с лицом, ответственным в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области за обеспечение безопасности персональных данных при их обработке;

13) присутствовать при работах по внесению изменений в аппаратно-программную конфигурацию закрепленного за ним автоматизированного рабочего места;

14) при перерывах в работе активизировать временную блокировку экрана и клавиатуры.

II. Правила обработки персональных данных

субъектов персональных данных, осуществляемой

без использования средств автоматизации

22. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

23. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

24. Документы должны храниться в надежно запираемых шкафах и сейфах.

25. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков).

26. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

27. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

1) при необходимости использования или предоставления определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих предоставлению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих предоставлению и использованию, и используется (предоставляется) копия персональных данных;

2) при необходимости уничтожения части персональных данных уничтожается материальный носитель с предварительным копированием сведений, не подлежащих уничтожению, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению.

28. Уничтожение части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.

29. Требования, предусмотренные пунктами 27 и 28 настоящих Правил, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными. (В редакции приказа Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области от 28.03.2016 № 11)

30. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

III. Правила обработки персональных данных

субъектов персональных данных с использованием

средств автоматизации

31. Обработка персональных данных в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области с использованием средств автоматизации предполагает обработку персональных данных, указанных в пункте 7 Правил, с использованием компьютерной техники, а также информационной системы – локальная вычислительная сеть Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области. (В редакции приказа Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области от 28.03.2016 № 11)

32. Специализированные информационные системы персональных данных в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области для обработки персональных данных не используются.

33. Безопасность персональных данных, обрабатываемых с использованием средств автоматизации, обеспечивается лицом, ответственным за обеспечение безопасности персональных данных в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области.

34. Лицо, ответственное за обеспечение безопасности персональных данных в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области, организует и контролирует ведение учета материальных носителей персональных данных.

35. Лицо, ответственное за обеспечение безопасности персональных данных в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области, отвечает за:

своевременное обнаружение фактов несанкционированного доступа к персональным данным;

недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

обеспечение уровня защищенности персональных данных;

соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

осуществление проверки и составления заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, приведших к нарушению конфиденциальности персональных данных или другим нарушениям, снизивших уровень защищенности персональных данных; разработки и принятия мер по предотвращению возможных опасных последствий подобных нарушений.

Приложение 2 к приказу

Управления по обеспечению безопасности, законности,

правопорядка и деятельности координационных органов

Орловской области

от 04.02.2016 № 5

ТИПОВОЕ ОБЯЗАТЕЛЬСТВО

государственного гражданского служащего Орловской области, замещающего должность государственной гражданской службы Орловской области в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей

Я,_________________________________________________________________________________________________, обязуюсь

(фамилия, имя, отчество)

в случае расторжения со мной служебного контракта прекратить обработку персональных данных, осуществление которой входило в мои должностные обязанности, не разглашать, не передавать и не раскрывать сведения о персональных данных, ставших известными мне в связи с исполнением должностных обязанностей.

Я предупрежден(а) о том, что в случае нарушения данного обязательства я буду привлечен(а) к ответственности в соответствии с законодательством Российской Федерации.

Дата _____________ Подпись ________________ ФИО

Приложение 3 к приказу

Управления по обеспечению безопасности, законности,

правопорядка и деятельности координационных органов

Орловской области

от 04.02.2016 № 5

ПРАВИЛА

рассмотрения в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области запросов субъектов персональных данных или их представителей

1. В соответствии со статьей 14 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» субъекты персональных данных или их представители (далее – субъект персональных данных) имеют право на получение информации, касающейся обработки их персональных данных (далее – информация), за исключением случаев, когда право субъектов персональных данных может быть ограничено в соответствии с федеральными законами.

2. Субъекты персональных данных, определенные в пункте 4 Правил обработки персональных данных в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области направляют запросы на получение информации в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».

3. Запросы субъектов персональных данных, поступившие в Управление по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области, проверяются на соответствие требованиям части 3 статьи 14 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».

В случае выявления несоответствия запроса установленным требованиям Управление по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области отказывает субъекту персональных данных в предоставлении запрашиваемой информации, о чем ему сообщается в письменной форме с указанием причин для принятия соответствующего решения в срок, не превышающий 30 календарных дней с даты получения запроса субъекта персональных данных или его представителя.

4. Управление по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области предоставляет субъекту персональных данных информацию, касающуюся обработки его персональных данных, в доступной форме, при этом должна быть исключена возможность ознакомления данного субъекта персональных данных с персональными данными, относящимися к другим субъектам персональных данных, за исключением случаев, установленных законодательством Российской Федерации.

5. Управление по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области предоставляет субъекту персональных данных информацию, касающуюся обработки его персональных данных, в порядке и сроки, установленные статьями 14 и 20 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», за исключением случаев, установленных законодательством Российской Федерации.

Приложение 4 к приказу

Управления по обеспечению безопасности, законности,

правопорядка и деятельности координационных органов

Орловской области

от 04.02.2016 № 5

ПРАВИЛА

осуществления в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»

и принятыми в соответствии с ним правовыми актами

Российской Федерации и Орловской области

Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами Российской Федерации.

Внутренний контроль осуществляется в целях предупреждения и пресечения возможности получения посторонними лицами персональных данных субъектов персональных данных, исключения или существенного затруднения несанкционированного доступа к персональным данным, хищения технических средств и материальных носителей персональных данных.

В целях осуществления внутреннего контроля в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области проводятся проверки условий обработки персональных данных (далее – проверка).

Проверки осуществляются лицом, ответственным за организацию обработки персональных данных в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области.

Проверки проводятся на основании утвержденного начальником Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области ежегодного графика осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям.

При проведении проверки должно быть полностью, объективно и всесторонне установлено следующее:

1)              соблюдение правил доступа к персональным данным;

2)              соблюдение требований к помещениям, в которых ведется обработка персональных данных;

3)              сохранность печатей и пломб;

4)              выполнение требований по антивирусной защите компьютерной техники, используемой для обработки персональных данных;

5)              эффективность принимаемых мер по обеспечению безопасности персональных данных при использовании компьютерной техники;

6)              наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

7)              мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8)              осуществление мероприятий по обеспечению целостности персональных данных.

В случае обнаружения нарушений при обработке персональных данных в целях устранения выявленных недостатков лицом, ответственным за организацию обработки персональных данных в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области, проводится внеплановая проверка.

Результаты проверок оформляются справками, которые представляются начальнику Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области.

В отношении персональных данных, ставших лицу, ответственному за организацию обработки персональных данных в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области, в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.

Приложение 5 к приказу

Управления по обеспечению безопасности, законности,

правопорядка и деятельности координационных органов

Орловской области

от 04.02.2016 № 5

ПЕРЕЧЕНЬ

персональных данных, обрабатываемых

в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области в связи с реализацией отношений в сфере государственной гражданской службы

В Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области осуществляется обработка следующих персональных данных:

1) фамилия, имя, отчество, пол;

2) число, месяц, год рождения;

3) место рождения;

4) данные паспорта гражданина Российской Федерации (серия, номер, наименование органа, выдавшего его, дата выдачи);

5) адрес регистрации (места проживания);

6) номер контактного телефона или сведения о других способах связи;

7) семейное положение, состав семьи и сведения о близких родственниках, сведения о рождении детей;

8) информация об отпусках;

9) информация о надбавках и премиях, устанавливаемых начальником Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области;

10) номер расчетного счета в банке для перечисления денежного содержания и иных выплат;

11) иные сведения, предусмотренные локальными правовыми актами.

Приложение 6 к приказу

Управления по обеспечению безопасности, законности,

правопорядка и деятельности координационных органов

Орловской области

от 04.02.2016 № 5

ПЕРЕЧЕНЬ

должностей государственных гражданских служащих Орловской области, замещающих должности государственной гражданской службы Орловской области в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа

к персональным данным

1. Начальник Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области.

2. Заместитель начальника Управления – начальник отдела обеспечения законности, правопорядка и деятельности координационных органов Орловской области Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области.

3. Заместитель начальника отдела обеспечения законности, правопорядка и деятельности координационных органов Орловской области Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области.

4. Главный специалист отдела обеспечения законности, правопорядка и деятельности координационных органов Орловской области Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области.

5. Ведущий специалист отдела обеспечения законности, правопорядка и деятельности координационных органов Орловской области Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области.

Приложение 7 к приказу

Управления по обеспечению безопасности, законности,

правопорядка и деятельности координационных органов

Орловской области

от 04.02.2016 № 5

ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ

ответственного за организацию обработки персональных данных в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области

Государственный гражданский служащий Орловской области, замещающий должность государственной гражданской службы Орловской области в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области (далее – гражданский служащий), назначается ответственным за организацию обработки персональных данных в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области (далее – ответственный за обработку персональных данных) приказом Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области.

Ответственный за обработку персональных данных в своей работе руководствуется законодательством Российской Федерации в области персональных данных.

Ответственный за обработку персональных данных:

организовывает принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области, от неправомерного или случайного доступа к ним, уничтожения, изменения, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

осуществляет контроль за соблюдением государственными гражданскими служащими Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;

доводит до сведения гражданских служащих положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

в случае нарушения в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области требований к защите персональных данных принимает необходимые меры по восстановлению нарушенных прав субъектов персональных данных.

4. Ответственный за обработку персональных данных вправе иметь доступ к информации, касающейся обработки персональных данных в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области и включающей:

1) цели обработки персональных данных;

2)              категории обрабатываемых персональных данных;

3)              категории субъектов, персональные данные которых обрабатываются;

4)              правовые основания обработки персональных данных;

5)              перечень действий с персональными данными, общее описание используемых в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области способов обработки персональных данных;

6)              описание мер, предусмотренных статьями 18.1 и 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

7)              дату начала обработки персональных данных;

8)              срок или условия прекращения обработки персональных данных;

9)              сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации;

5. Ответственный за обработку персональных данных в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области несет ответственность, предусмотренную законодательством Российской Федерации, за неисполнение (ненадлежащее исполнение) возложенных обязанностей по организации обработки персональных данных в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области.

Приложение 8 к приказу

Управления по обеспечению безопасности, законности,

правопорядка и деятельности координационных органов

Орловской области

от 04.02.2016 № 5

ПОРЯДОК

доступа в помещения Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области, в которых ведется обработка персональных данных

1. Настоящий Порядок доступа в помещения Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области, в которых ведется обработка персональных данных, разработан в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» и постановления Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

2. В Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области персональные данные субъектов персональных данных, определенных в пункте 4 Правил обработки персональных данных в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области, хранятся на бумажных и (или) электронных носителях в:

кабинете начальника Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области;

кабинете заместителя начальника Управления – начальника отдела обеспечения законности, правопорядка и деятельности координационных органов Орловской области Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области;

кабинете заместителя начальника отдела обеспечения законности, правопорядка и деятельности координационных органов Орловской области Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области;

отделе обеспечения законности, правопорядка и деятельности координационных органов Орловской области Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области.

3. Помещения, в которых ведется обработка персональных данных, должны обеспечивать сохранность информации и технических средств, исключать возможность бесконтрольного проникновения в помещение и их визуального просмотра посторонними лицами.

4. Персональные данные на бумажных носителях должны находиться в недоступном для посторонних лиц месте.

Бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) хранятся в шкафах, оборудованных замками.

5. Помещения, в которых ведется обработка персональных данных, запираются на ключ.

6. Перед закрытием помещений, в которых ведется обработка персональных данных, по окончании служебного дня государственные гражданские служащие Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области, имеющие право доступа в помещения, обязаны:

убрать бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) в шкафы, закрыть шкафы;

отключить технические средства (кроме постоянно действующей техники) и электроприборы от сети, выключить освещение;

закрыть окна;

закрыть двери.

7. Перед открытием помещений, в которых ведется обработка персональных данных, государственные гражданские служащие Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области, имеющие право доступа в такие помещения, обязаны:

провести внешний осмотр с целью установления целостности двери и замка;

открыть дверь и осмотреть помещение, проверить наличие и целостность замков на шкафах.

8. При обнаружении неисправности двери и запирающих устройств государственные гражданские служащие Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области обязаны:

не вскрывая помещение, в котором ведется обработка персональных данных, доложить непосредственному руководителю;

в присутствии не менее двух иных государственных гражданских служащих Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области, включая непосредственного руководителя, вскрыть помещение и осмотреть его;

совместно с лицом, ответственным за обеспечение безопасности персональных данных в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области, составить акт о выявленных нарушениях и передать его начальнику Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области.

9. Право самостоятельного входа в помещения, где обрабатываются персональные данные, имеют только государственные гражданские служащие Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области, непосредственно работающие в данном помещении.

Иные гражданские служащие и граждане имеют право пребывать в помещениях, где обрабатываются персональные данные, только в присутствии государственных гражданских служащих Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области, непосредственно работающих в данных помещениях.

10. Техническое обслуживание компьютерной и организационной техники, сопровождение программных средств, в котором ведется обработка персональных данных, а также проведение других работ осуществляются в присутствии государственного гражданского служащего Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области, работающего в данном помещении.

11. Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на начальника отдела, обрабатывающего персональные данные.

Приложение 9 к приказу

Управления по обеспечению безопасности, законности,

правопорядка и деятельности координационных органов

Орловской области

от 04.02.2016 № 5

ПОЛОЖЕНИЕ

об организации и проведении работ по обеспечению безопасности персональных данных и служебной информации в информационных системах Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области

1. Термины и определения

Вредоносная программа – программа, предназначенная для ветвления несанкционированного доступа (далее – НСД) и (или) воздействия на персональные данные (далее – ПДн) или ресурсы информационной системы (ИС) ПДн.

Доступ к информации – возможность получения информации и ее использования.

Информационная система ПДн – ИС, представляющая собой совокупность ПДн, содержащихся в базе данных (далее – БД), а также информационных технологий и технических средств (далее – ТС), позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации или без использования таких средств.

Информационная технология – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Конфиденциальность ПДн – обязательное для соблюдения оператором или иным получившим доступ к ПДн лицом требование не допускать их распространение без согласия субъекта ПДн или наличия иного законного основания.

НСД (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых ИСПДн.

Обработка ПДн – действия (операции) с ПДн, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение ПДн.

Оператор – Управление по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области, организующее и (или) осуществляющее обработку ПДн, а также определяющее цели и содержание обработки ПДн.

ТС ИСПДн – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие ТС обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы (далее – ОС), системы управления БД и т.п.), средства защиты информации (далее – СЗИ).

ПДн – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

Уничтожение ПДн – действия, в результате которых невозможно восстановить содержание ПДн в ИСПДн или в результате которых уничтожаются материальные носители ПДн.

Список сокращений и обозначений

БД

– база данных;

ИБ

– информационная безопасность;

ИС

– информационная система;

ИСПДн

– информационная система персональных данных;

НСД

– несанкционированный доступ;

ОС

– операционная система;

ПДн

– персональные данные;

ПО

– программное обеспечение;

ПЭВМ

– персональная электронно-вычислительная машина;

СЗИ

– средство защиты информации;

ТС

– техническое средство.

2. Общие положения

2.1. Положение об организации и проведении работ по обеспечению безопасности персональных данных и служебной информации в информационных системах Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области (далее – Положение) определяет порядок и правила организации и проведения работ по обеспечению безопасности ПДн при их обработке в ИС Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области (далее – Оператор).

2.2. Положение разработано на основании:

Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

постановления Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

постановления Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

постановления Правительства Российской Федерации от 6 сентября 2014 года № 911 «О внесении изменений в перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

приказа Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК России) от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) от 5 сентября 2013 года № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;

Методических рекомендаций по применению приказа Роскомнадзора от 5 сентября 2013 года № 996 «Об утверждении требований и методов по обезличиванию персональных данных», утвержденных 13 декабря 2013 года руководителем Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.

2.3. Положение разработано с целью:

определения такого порядка обработки ПДн, при котором обеспечиваются законные права и интересы субъектов ПДн;

организации и координации работ по защите ПДн при их обработке в ИС;

регламентации порядка проведения работ по обеспечению безопасности обрабатываемых ПДн в ИС;

контроля за состоянием защиты ПДн при их обработке в ИС.

2.4. Положение обязательно для исполнения всеми лицами, участвующими в обработке ПДн.

3. Администратор информационной безопасности

3.1. Администратором ИБ в соответствии с компетенцией является Управление по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области.

3.2. Администратор ИБ в соответствии со своими локальными актами осуществляет следующие мероприятия, направленные на обеспечение безопасности ПДн:

1) настройка и сопровождение системы защиты ИС:

реализует полномочия доступа для каждого пользователя ИС на основе утвержденного начальником Оператора перечня лиц, имеющих доступ к ПДн;

своевременно удаляет учетные записи пользователей из ИС при увольнении или перемещении работника;

своевременно блокирует и разблокирует учетные записи пользователей ИС при их уходе на больничный или в отпуск и при выходе с больничного или из отпуска;

контролирует смену паролей пользователями для доступа в ИС;

регистрирует новых пользователей ИС;

регистрирует СЗИ;

выполняет мероприятия по периодическому тестированию функционирования СЗИ в соответствии с документацией разработчика данных средств, регистрируя проведение данных мероприятий;

2) настройка и сопровождение подсистемы регистрации и учета ИС:

проводит регулярный анализ системного журнала ИСПДн для выявления попыток НСД к защищаемым ресурсам с соответствующей регистрацией проверки;

своевременно информирует руководство о несанкционированных действиях персонала и участвует в разбирательствах по фактам попыток НСД;

проводит резервное копирование информационных массивов ИС;

3) сопровождение подсистемы обеспечения целостности ИС:

осуществляет учет возникновения нештатных ситуаций;

осуществляет восстановление информационной системы при возникновении сбоев;

4) контроль функционирования подсистемы антивирусной защиты ИС:

обеспечивает поддержание установленного порядка и соблюдение правил антивирусной защиты;

проводит антивирусные проверки всех жестких дисков персональных электронно-вычислительных машин (далее – ПЭВМ) пользователей ИС;

регистрирует результаты антивирусных проверок;

5) сопровождение подсистемы межсетевого экранирования ИС;

6) организация обновлений ПО и средств защиты, выполнение профилактических работ, установки и модификации программных средств на ПЭВМ пользователей ИС;

7) проведение инструктажа работников, имеющих право доступа к ПДн;

8) осуществление контроля за обеспечением уровня защищенности ПДн в ИС, а также контроля за соблюдением пользователями ИС требований к защите ПДн;

9) участие в анализе ситуаций, касающихся функционирования СЗИ и расследования фактов НСД;

10) оказание методической помощи по вопросам обеспечения безопасности персональных данных пользователям ИС;

11) разработка предложений и участие в проводимых работах по совершенствованию системы безопасности ПДн;

3.3. Администратор ИБ обязан:

1) обеспечивать функционирование и поддерживать работоспособность средств защиты ПЭВМ пользователей ИС в пределах возложенных на него функций;

2) в случае отказа работоспособности ТС и ПО, средств вычислительной техники, в том числе средств защиты ИС, принимать меры по их своевременному восстановлению и выявлению причин, которые вызвали отказ работоспособности;

3) информировать руководство о фактах нарушения установленного порядка работ, попытках и фактах НСД к ПДн и ИС.

3.4. Администратор ИБ несет ответственность за:

1) неисполнение (ненадлежащее исполнение) своих обязанностей, предусмотренных настоящим Положением в пределах, определенных трудовым законодательством Российской Федерации;

2) совершенные в процессе осуществления своей деятельности правонарушения – в пределах, определенных административным, уголовным и гражданским законодательством Российской Федерации;

3) невыполнение или ненадлежащее выполнение приказов руководства;

4) сохранность ПДн;

5) соблюдение требований нормативных правовых актов в сфере персональных данных и локальных актов Оператора, определяющих порядок организации и проведения работ, направленных на обеспечение безопасности ПДн при их обработке;

6) сохранность и работоспособное состояние ТС, ПО, средств защиты, входящих в состав ИС;

7) выполнение обязанностей, предусмотренных настоящим Положением.

3.5. Администратор ИБ вправе:

1) контролировать работу пользователей ИС;

2) требовать прекращения обработки информации, как в целом, так и отдельных пользователей ИС, в случае выявления нарушений требований по обработке и обеспечению безопасности ПДн или функционирования ИС.

4. Пользователь информационной системы персональных данных

4.1. Пользователем ИС является государственный гражданский служащий, замещающий должность в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области, который в силу своих должностных обязанностей осуществляет обработку ПДн с использованием средств автоматизации и имеет доступ к информационным ресурсам, аппаратным средствам, ПО и средствам защиты ПДн.

4.2. Пользователь ИС несет персональную ответственность за свои действия.

4.3. Пользователь ИС в своей работе руководствуется нормативными правовыми актами в сфере персональных данных и локальными актами Оператора, определяющими порядок организации и проведения работ, направленных на обеспечение безопасности ПДн при их обработке.

4.4. Пользователь ИС обязан:

1) соблюдать требования нормативных правовых актов в сфере персональных данных и локальных актов Оператора, определяющих порядок организации и проведения работ, направленных на обеспечение безопасности ПДн при их обработке;

2) выполнять на ПЭВМ в отношении ПДн только те процедуры, которые определены для него в локальных актах Оператора, определяющих порядок организации и проведения работ, направленных на обеспечение безопасности ПДн при их обработке;

3) в случае временного отсутствия на рабочем месте для предотвращения доступа к информации, находящейся на ПЭВМ, минуя ввод пароля, пользователь ИС во время перерыва в работе обязан осуществить блокирование системы нажатием комбинации Ctrl+Alt+Del и кнопки «Блокировать» в появившемся меню или выключить ПЭВМ. По окончании рабочего дня пользователь ИС обязан выключить ПЭВМ;

4) знать и соблюдать установленные требования по обработке и обеспечению безопасности ПДн;

5) соблюдать требования антивирусной защиты в ИС;

6) соблюдать требования парольной защиты в ИС;

7) соблюдать правила при работе в сетях общего доступа и (или) международного обмена.

4.5. Пользователю ИС запрещается:

1) разглашать защищаемую информацию третьим лицам;

2) сообщать, передавать посторонним лицам личные ключи и атрибуты доступа к ресурсам ИС;

3) сообщать (или передавать) посторонним лицам сведения о системе защиты ИС;

4) обрабатывать ПДн в условиях, позволяющих осуществлять просмотр ПДн лицами, не имеющими к ним права доступа, а также при несоблюдении требований по обеспечению безопасности ПДн;

5) оставлять включенным без присмотра ПЭВМ, не активировав средства защиты от НСД (временное блокирование ОС нажатием комбинации Ctrl+Alt+Del и кнопки «Блокировать» в появившемся меню);

6) самостоятельно вносить изменения в конфигурацию ПО и ТС ИС, изменять установленный алгоритм функционирования технических и программных средств;

7) записывать и хранить ПДн на неучтенных установленным порядком машинных носителях информации;

8) использовать ПЭВМ и другие ресурсы ИС в неслужебных целях;

9) подключать к ПЭВМ личные машинные носители информации и мобильные устройства;

10) отключать (блокировать) СЗИ;

11) привлекать посторонних лиц для ремонта или настройки ПЭВМ без согласования с администратором ИБ.

4.6. Пользователь ИС несет ответственность за:

1) неисполнение (ненадлежащее исполнение) своих обязанностей, предусмотренных настоящим Положением в пределах, определенных трудовым законодательством РФ;

2) совершенные в процессе осуществления своей деятельности правонарушения – в пределах, определенных административным, уголовным и гражданским законодательством Российской Федерации;

3) невыполнение или ненадлежащее выполнение поручений руководителя;

4) сохранность ПДн;

5) соблюдение требований нормативных правовых актов в сфере персональных данных и локальных актов Оператора, определяющих порядок организации и проведения работ, направленных на обеспечение безопасности ПДн при их обработке;

6) сохранность и работоспособное состояние ТС, ПО, средств защиты, входящих в состав ИС;

7) выполнение обязанностей, предусмотренных настоящим Положением.

4.7. Пользователь ИС вправе:

1) осуществлять обработку ПДн в пределах установленных полномочий;

2) обращаться к администратору ИБ за оказанием технической и методической помощи при работе с общесистемным и прикладным программным обеспечением, ТС ИС, а также с СЗИ.

5. Организация режима обеспечения безопасности помещений, в которых осуществляется обработка персональных данных

5.1. Помещения, в которых осуществляется обработка ПДн, располагаются в пределах контролируемой зоны административного здания. Вход в здание производится по пропускам, служебным удостоверениям и контролируется дежурной сменой ФГУП «Охрана» МВД России по Орловской области в круглосуточном режиме.

5.2. Доступ иных лиц в помещения Оператора, где осуществляется обработка ПДн, разрешается только в присутствии лиц, имеющих право доступа к ПДн, обрабатываемым в соответствующем помещении.

5.3. Ответственность за соблюдение порядка доступа в помещения, в которых осуществляется обработка ПДн, возлагается на руководителя структурного подразделения, осуществляющего обработку ПДн, а также на руководителя Оператора.

6. Правила работы в сетях общего доступа и (или) сети Интернет

6.1. Работа в сетях связи общего пользования и (или) сети Интернет (далее – Сеть) на элементах ИС должна проводиться при служебной необходимости.

6.2. Организация доступа и работы в Сети возлагается на администратора ИБ. Администратор ИБ осуществляет предоставление доступа пользователю, подключение ПЭВМ пользователя ИС к Сети, осуществляет настройку продолжительности сеанса работы пользователя ИС в Сети.

6.3. Предоставление права доступа пользователю ИС осуществляется по представлению заместителя начальника Управления – начальника отдела обеспечения законности, правопорядка и деятельности координационных органов Орловской области Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области.

6.4. Обо всех выявленных нарушениях требований по обработке и обеспечению безопасности ПДн пользователь ИС должен незамедлительно сообщать администратору ИБ либо руководству.

6.5. Для получения консультаций по вопросам работы и настройке элементов ИС пользователь ИС должен обращаться к администратору ИБ.

6.6. Пользователь ИС обязан принимать меры по реагированию в случае возникновения нештатных либо аварийных ситуаций, с целью ликвидации их последствий в рамках возложенных на него функций.

7. Контроль и надзор за соблюдением требований по обработке и обеспечению безопасности персональных данных

7.1. Оператор осуществляет контроль и надзор за соблюдением требований по обработке и обеспечению безопасности ПДн, состоящий из следующих направлений:

внешний контроль и надзор за соблюдением требований по обработке и обеспечению безопасности ПДн;

внутренний контроль и надзор за соблюдением требований по обработке и обеспечению безопасности ПДн.

7.2. Внешний контроль и надзор за соблюдением требований законодательства в области ПДн осуществляется:

Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор);

Федеральной службой безопасности Российской Федерации в пределах своих полномочий и без права ознакомления с ПДн, обрабатываемыми в ИС;

Федеральной службой по техническому и экспортному контролю в пределах своих полномочий и без права ознакомления с ПДн, обрабатываемыми в ИС.

7.3. Внутренний контроль и надзор за соблюдением требований по обработке и обеспечению безопасности ПДн состоит из:

контроля и надзора за исполнением требований по обработке и обеспечению безопасности ПДн;

оценки соотношения вреда, который может быть причинен субъектам ПДн в случае нарушения требований по обработке и обеспечению безопасности ПДн и принимаемых мер.

7.4. Оператор при обработке ПДн принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн.

7.5. Внутренний контроль соответствия обработки ПДн требованиям к защите ПДн осуществляется администратором ИБ в соответствии с действующим законодательством Российской Федерации и Орловской области, а также локальными актами Оператора.

8. Организация антивирусной защиты в информационной системе персональных данных

8.1. Целью антивирусной защиты ИС является предотвращение и нейтрализация негативных воздействий вредоносного ПО на информационные ресурсы, содержащие ПДн, и ПО, предназначенного для обработки ПДн.

8.2. Порядок организации антивирусной защиты определяет требования к организации защиты ИС от разрушающего воздействия вредоносного ПО и устанавливает ответственность за их выполнение.

8.3. К использованию в ИС допускаются только лицензионные и сертифицированные ФСТЭК России по требованиям безопасности информации средства защиты от вредоносного ПО.

8.4. Установка и начальная настройка средств защиты от вредоносного ПО в ИС осуществляются администратором ИБ.

8.5. Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), ПДн, содержащиеся на машинных носителях (жесткие магнитные диски, оптические носители информации (CD-, DVD-диски), флеш-накопители (USB). Антивирусный контроль информации необходимо осуществлять перед архивированием или записью на машинный носитель. Файлы, помещаемые в электронный архив, в обязательном порядке проходят антивирусный контроль.

8.6. Ответственность за проведение мероприятий антивирусной защиты и контроля, соблюдения требований антивирусной защиты в ИС несет администратор ИБ в соответствии с его локальными актами.

9. Установка, модификация программного обеспечения и аппаратных средств

9.1. Для внесения изменений в программную и аппаратную части ИС начальник Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области подает заявку заместителю Губернатора и Председателя Правительства Орловской области – руководителю Аппарата Губернатора и Правительства Орловской области.

9.2. Модификация программного обеспечения и аппаратных средств осуществляется Администратором в порядке, установленном его локальными актами, в присутствии лица, ответственного за обеспечение безопасности ПДн в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области.

9.3. В ИС Управления по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области должно использоваться только лицензионное ПО.

9.4. Удаление защищаемой информации с носителей информации с помощью специального ПО и деинсталляции программного обеспечения СЗИ производится Администратором.

10. Организация учета машинных носителей персональных данных

10.1. Контроль использования машинных носителей ПДн, их регистрацию и учет осуществляет лицо, ответственное за обеспечение безопасности ПДн в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области.

10.2. Все машинные носители ПДн (диски, флеш-карты) подлежат регистрации и учету.

Регистрацию и учет машинных носителей ПДн лицо, ответственное за обеспечение безопасности ПДн в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области, ведет в соответствии с журналом учета машинных носителей информации, используемых при обработке ПДн, по форме согласно приложению к настоящему Положению.

10.3. Хранение машинных носителей ПДн осуществляется в условиях, исключающих утрату их функциональности и хранимой информации из-за влияния внешних полей, излучений и иных неблагоприятных факторов, а также НСД к информации ограниченного доступа.

10.4. Машинные носители ПДн должны храниться в недоступном для посторонних лиц месте – в шкафах, оборудованных замками.

10.5. Выдача машинных носителей ПДн пользователям ИС производится лицом, ответственным за обеспечение безопасности ПДн в Управлении по обеспечению безопасности, законности, правопорядка и деятельности координационных органов Орловской области, под подпись в журнале учета машинных носителей информации, используемых при обработке ПДн, указанном в пункте 9.2 настоящего Положения.

10.6. Учетный номер носителя, содержащего ПДн, должен наноситься непосредственно на корпус носителя и быть нестираемым.

10.7. На рабочих местах пользователей ИС не должны находиться неучтенные машинные носители ПДн.

10.8. Запрещается копирование ПДн пользователями ИС с целью их передачи лицам, не имеющим права доступа к ПДн.

10.9. Работник, получивший машинный носитель ПДн, обязан обеспечить его недоступность для третьих лиц (работников, не имеющих право доступа к ПДн, и иных лиц).

10.10. Полученные извне машинные носители ПДн, содержащие необходимые для деятельности Оператора ПДн:

должны проверяться на наличие вредоносных программных продуктов;

подлежат учету.

10.11. Передача машинного носителя ПДн, содержащего ПДн, для ремонта или утилизации запрещается.

10.12. В связи с тем, что при обработке ПДн Оператор не использует специализированные ИС, резервирование и восстановление информации не осуществляются.

11. Ответственность за нарушение требований законодательства

Лица, виновные в нарушении норм законодательства в сфере защиты ПДн, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, предусмотренном законодательством Российской Федерации.

Приложение

к Положению об организации и проведении работ

по обеспечению безопасности персональных данных

и служебной информации в информационных системах

Управления по обеспечению безопасности, законности,

правопорядка и деятельности координационных органов

Орловской области

ЖУРНАЛ

учета машинных носителей информации,

используемых при обработке персональных данных

№

п/п

Учетный номер носителя

Тип носителя, модель, серийный номер

Емкость носителя

Дата поступления

Получено

(Ф.И.О., роспись, дата)

Сдано

(Ф.И.О., роспись, дата)

Примечание