Основная информация
| Дата опубликования: | 19 марта 2018г. |
| Номер документа: | RU37000201800228 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Ивановская область |
| Принявший орган: | Департамент конкурсов и аукционов Ивановской области |
| Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
| Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
ДЕПАРТАМЕНТ КОНКУРСОВ И АУКЦИОНОВ
ИВАНОВСКОЙ ОБЛАСТИ
П Р И К А З
от 19 марта 2018 года № 39 - ОД
г. Иваново
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ГОСУДАРСТВЕННЫХ ГРАЖДАНСКИХ СЛУЖАЩИХ ДЕПАРТАМЕНТА КОНКУРСОВ И АУКЦИОНОВ ИВАНОВСКОЙ ОБЛАСТИ
В соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» приказываю:
1. Утвердить Положение об обеспечении безопасности персональных данных государственных гражданских служащих Департамента конкурсов и аукционов Ивановской области (приложение).
2. Отделу финансовой отчетности и организационно-правового обеспечения Департамента финансов Ивановской области:
- направить настоящий приказ в Управление Минюста России по Ивановской области;
- обеспечить официальное опубликование настоящего приказа в информационном издании "Собрание законодательства Ивановской области";
- ознакомить с настоящим приказом заместителей начальника Департамента конкурсов и аукционов Ивановской области, руководителей структурных подразделений Департамента конкурсов и аукционов Ивановской области под роспись.
3. Руководителям структурных подразделений Департамента ознакомить с настоящим приказом подчиненных сотрудников.
4. Приказ Департамента конкурсов и аукционов Ивановской области от 29.06.2017 № 53-ОД «Об утверждении Положения об обеспечении безопасности персональных данных государственных гражданских служащих Департамента конкурсов и аукционов Ивановской области» считать утратившим силу.
5. Контроль за исполнением настоящего приказа возложить на начальника отдела финансовой отчетности и организационно – правового обеспечения Департамента конкурсов и аукционов Ивановской области Е.В.Булакову.
И.о. начальника Департамента Ю.В. Бондаренко
Дело
Приложение к приказу
Департамента конкурсов и аукционов Ивановской области
от 19 марта 2018 года № 39 -ОД
П О Л О Ж Е Н И Е
об обеспечении безопасности персональных данных государственных гражданских служащих Департамента конкурсов и аукционов Ивановской области
1. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы), в Департаменте конкурсов и аукционов Ивановской области (далее – Департамент).
Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
2. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных, а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
3. Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем.
Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.
Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
При обработке персональных данных в информационной системе должно быть обеспечено:
а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
д) постоянный контроль за обеспечением уровня защищенности персональных данных.
Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
ж) учет лиц, допущенных к работе с персональными данными в информационной системе;
з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
к) описание системы защиты персональных данных.
Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.
Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного уполномоченным лицом.
Запросы пользователей информационной системы на получение персональных данных, включая лиц, указанных в пункте 10 настоящего Положения, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица.
При обнаружении нарушений порядка предоставления персональных данных уполномоченное лицо незамедлительно приостанавливает предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин.
Конкретные сроки проведения контрольных тематических исследований определяются Федеральной службой безопасности Российской Федерации.
Результаты оценки соответствия и (или) тематических исследований средств зашиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
В случае обнаружения несанкционированного доступа к электронным носителям персональных данных государственных гражданских служащих Департамента и (или) возникновения такой угрозы лицо, ответственное за обеспечение безопасности персональных данных при их обработке в информационной системе Департамента:
- незамедлительно докладывает об этом начальнику Департамента, а в случае его отсутствия исполняющему обязанности начальника Департамента;
- принимает первоочередные меры для предотвращения возможных негативных последствий в системе обеспечения безопасности персональных данных государственных гражданских служащих Департамента.
15. Контроль за исполнением настоящего Положения организуется и проводится начальником Департамента, а в его отсутствие - исполняющем обязанности начальника Департамента в порядке и сроки, предусмотренные действующим законодательством.
ДЕПАРТАМЕНТ КОНКУРСОВ И АУКЦИОНОВ
ИВАНОВСКОЙ ОБЛАСТИ
П Р И К А З
от 19 марта 2018 года № 39 - ОД
г. Иваново
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ГОСУДАРСТВЕННЫХ ГРАЖДАНСКИХ СЛУЖАЩИХ ДЕПАРТАМЕНТА КОНКУРСОВ И АУКЦИОНОВ ИВАНОВСКОЙ ОБЛАСТИ
В соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» приказываю:
1. Утвердить Положение об обеспечении безопасности персональных данных государственных гражданских служащих Департамента конкурсов и аукционов Ивановской области (приложение).
2. Отделу финансовой отчетности и организационно-правового обеспечения Департамента финансов Ивановской области:
- направить настоящий приказ в Управление Минюста России по Ивановской области;
- обеспечить официальное опубликование настоящего приказа в информационном издании "Собрание законодательства Ивановской области";
- ознакомить с настоящим приказом заместителей начальника Департамента конкурсов и аукционов Ивановской области, руководителей структурных подразделений Департамента конкурсов и аукционов Ивановской области под роспись.
3. Руководителям структурных подразделений Департамента ознакомить с настоящим приказом подчиненных сотрудников.
4. Приказ Департамента конкурсов и аукционов Ивановской области от 29.06.2017 № 53-ОД «Об утверждении Положения об обеспечении безопасности персональных данных государственных гражданских служащих Департамента конкурсов и аукционов Ивановской области» считать утратившим силу.
5. Контроль за исполнением настоящего приказа возложить на начальника отдела финансовой отчетности и организационно – правового обеспечения Департамента конкурсов и аукционов Ивановской области Е.В.Булакову.
И.о. начальника Департамента Ю.В. Бондаренко
Дело
Приложение к приказу
Департамента конкурсов и аукционов Ивановской области
от 19 марта 2018 года № 39 -ОД
П О Л О Ж Е Н И Е
об обеспечении безопасности персональных данных государственных гражданских служащих Департамента конкурсов и аукционов Ивановской области
1. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы), в Департаменте конкурсов и аукционов Ивановской области (далее – Департамент).
Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
2. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных, а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
3. Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем.
Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.
Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
При обработке персональных данных в информационной системе должно быть обеспечено:
а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
д) постоянный контроль за обеспечением уровня защищенности персональных данных.
Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
ж) учет лиц, допущенных к работе с персональными данными в информационной системе;
з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
к) описание системы защиты персональных данных.
Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.
Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного уполномоченным лицом.
Запросы пользователей информационной системы на получение персональных данных, включая лиц, указанных в пункте 10 настоящего Положения, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица.
При обнаружении нарушений порядка предоставления персональных данных уполномоченное лицо незамедлительно приостанавливает предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин.
Конкретные сроки проведения контрольных тематических исследований определяются Федеральной службой безопасности Российской Федерации.
Результаты оценки соответствия и (или) тематических исследований средств зашиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
В случае обнаружения несанкционированного доступа к электронным носителям персональных данных государственных гражданских служащих Департамента и (или) возникновения такой угрозы лицо, ответственное за обеспечение безопасности персональных данных при их обработке в информационной системе Департамента:
- незамедлительно докладывает об этом начальнику Департамента, а в случае его отсутствия исполняющему обязанности начальника Департамента;
- принимает первоочередные меры для предотвращения возможных негативных последствий в системе обеспечения безопасности персональных данных государственных гражданских служащих Департамента.
15. Контроль за исполнением настоящего Положения организуется и проводится начальником Департамента, а в его отсутствие - исполняющем обязанности начальника Департамента в порядке и сроки, предусмотренные действующим законодательством.
Дополнительные сведения
| Государственные публикаторы: | Портал "Нормативные правовые акты в Российской Федерации" от 26.07.2018 |
| Рубрики правового классификатора: | 020.020.020 Государственная служба субъектов Российской Федерации |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
