к предыдущей странице
г. Санкт-Петербург МЕСТНАЯ АДМИНИСТРАЦИЯ
197758 , Санкт-Петербург, пос. Песочный, ул. Советская, д.6 тел./факс: (812) 596-87-06 e-mail: mopesochnoe@mail.ru
П О С Т А Н О В Л Е Н И Е
«18» апреля 2017 года № 30
О мерах, направленных на реализацию Постановления Правительства Российской Федерации от 21.03.2012 № 211
В соответствии с постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», Местная администрация Внутригородского Муниципального образования поселок Песочный
ПОСТАНОВЛЯЕТ:
1. Утвердить Правила обработки персональных данных в Местной администрации Внутригородского Муниципального образования поселок Песочный согласно приложению № 1. 2. Утвердить Правила рассмотрения запросов субъектов персональных данных или их представителей в Местной администрации Внутригородского Муниципального образования поселок Песочный согласно приложению № 2. 3. Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Местной администрации Внутригородского Муниципального образования поселок Песочный согласно приложению № 3. 4. Утвердить Правила работы с обезличенными персональными данными в Местной администрации Внутригородского Муниципального образования поселок Песочный согласно приложению № 4. 5. Утвердить Перечень информационных систем персональных данных в Местной администрации Внутригородского Муниципального образования поселок Песочный согласно приложению № 5. 6. Утвердить Перечень персональных данных, обрабатываемых в Местной администрации Внутригородского Муниципального образования поселок Песочный согласно приложению № 6. 7. Утвердить Перечень должностей служащих Местной администрации Внутригородского Муниципального образования поселок Песочный, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных согласно приложению № 7. 8. Утвердить Перечень должностей служащих Местной администрации Внутригородского Муниципального образования поселок Песочный, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным согласно приложению № 8. 9. Утвердить должностную инструкцию ответственного за организацию обработки персональных данных в Местной администрации Внутригородского Муниципального образования поселок Песочный согласно приложению № 9. 10. Утвердить типовое обязательство служащего Местной администрации Внутригородского Муниципального образования поселок Песочный, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей согласно приложению №10. 11. Утвердить типовую форму согласия на обработку персональных данных служащих Местной администрации Внутригородского Муниципального образования поселок Песочный, иных субъектов персональных данных согласно приложению № 11. 12. Утвердить типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные согласно приложению № 12. 13. Утвердить Порядок доступа в помещения, в которых ведётся обработка персональных данных, в Местной администрации Внутригородского Муниципального образования поселок Песочный согласно приложению № 13. 14. Утвердить Инструкцию о порядке резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств систем защиты персональных данных в Местной администрации Внутригородского Муниципального образования поселок Песочный согласно приложению № 14. 15. Утвердить Инструкцию по организации антивирусной защиты в Местной администрации Внутригородского Муниципального образования поселок Песочный согласно приложению № 15. 16. Утвердить Инструкцию пользователя информационной системы персональных данных в Местной администрации Внутригородского Муниципального образования поселок Песочный согласно приложению № 16. 17. Утвердить Инструкцию пользователя по обеспечению безопасности обработки персональных данных при возникновении внештатных ситуаций в Местной администрации Внутригородского Муниципального образования поселок Песочный согласно приложению № 17. 18. Утвердить Положение о разрешительной системе допуска пользователей и обслуживающего персонала к информационным ресурсам и системе защиты персональных данных в Местной администрации Внутригородского Муниципального образования поселок Песочный согласно приложению № 18. 19. Настоящее постановление подлежит опубликованию в официальных средствах массовой информации и на официальном сайте. 20. Настоящее постановление вступает в силу со дня его официального опубликования в средствах массовой информации. 21. Контроль за исполнением настоящего постановления оставляю за собой.
Глава Местной Администрации ВМО Санкт-Петербурга пос. Песочный А.В. Шувалова
Приложение № 1 к постановлению Местной администрации МО п.Песочный от «18» апреля 2017 г. № 30
Правила обработки персональных данных в Местной администрации Внутригородского Муниципального образования поселок Песочный
1. Общие положения1.1. Правила обработки персональных данных в Местной администрации Внутригородского Муниципального образования поселок Песочный (далее – Правила) разработаны на основании требований:Трудового кодекса Российской Федерации; Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ); Постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; Постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; Постановления Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствие с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»; Федерального закона от 02.03.2007 № 25-ФЗ «О муниципальной службе в Российской Федерации»; Федерального закона от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»; Устава Внутригородского Муниципального образования Санкт-Петербурга поселок Песочный 1.2. Настоящие Правила устанавливают единый порядок обработки персональных данных в Местной администрации Внутригородского Муниципального образования поселок Песочный (далее – Местной администрации). 1.3. Целью настоящих Правил является обеспечение безопасности персональных данных граждан от несанкционированного доступа, неправомерного их использования или утраты. 1.4. Настоящие Правила устанавливают и определяют: процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; цели обработки персональных данных; перечень обрабатываемых персональных данных; категории субъектов, персональные данные которых обрабатываются; сроки обработки и хранения обрабатываемых персональных данных; порядок уничтожения обработанных персональных данных при достижении целей обработки или при наступлении иных законных оснований; 1.5. При обработке персональных данных должны соблюдаться следующие основные условия: Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом № 152-ФЗ. Общим условием обработки персональных данных является наличие согласия субъектов персональных данных на осуществление такой обработки, если обработка не подпадает в число предусмотренных действующим законодательством Российской Федерации исключений, когда такое согласие не требуется. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных предоставляется субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено действующим законодательством Российской Федерации. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором. Согласие на обработку персональных данных отзывается субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований предусмотренных действующим законодательством Российской Федерации. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи». Согласие в письменной форме субъекта персональных данных на обработку его персональных данных включает в себя, в частности: 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; 2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); 3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных; 4) цель обработки персональных данных; 5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; 6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу; 7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; 8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом; 9) подпись субъекта персональных данных. 10) другие данные, наличие которые предусмотрено действующим законодательством Российской Федерации. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, когда персональные данные были предоставлены Местной администрацией на основании действующего законодательства или, если персональные данные являются общедоступными, Местная администрация до начала обработки таких персональных данных обязана предоставить субъекту персональных данных следующую информацию: наименование либо фамилия, имя, отчество и адрес оператора или его представителя; цель обработки персональных данных и ее правовое основание; предполагаемые пользователи персональных данных; установленные Федеральным законом № 152-ФЗ; источник получения персональных данных. 1.6. Обработка персональных данных сотрудников Местной администрации и граждан, претендующих на замещение должности муниципальной службы, включают в себя информацию о: фамилии, имени, отчестве, дате и месте рождения; образовании (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому); послевузовском профессиональном образовании (наименование образовательного или научного учреждения, год окончания), ученая степень, ученое звание (когда присвоены, номера дипломов, аттестатов); выполняемой работе с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность и т. п.); адресе регистрации и фактического проживания; паспортных данных (серия, номер, кем и когда выдан); номере телефона; отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу); идентификационном номере налогоплательщика; номере страхового свидетельства обязательного пенсионного страхования; наличии (отсутствие) судимости, если эти сведения относятся к вопросу о возможности выполнения сотрудником Местной администрации трудовой (служебной функции); результатах обязательных предварительных (при поступлении на работу граждан, претендующих на замещение должности муниципальной службы) и периодических медицинских осмотров (обследований), а также обязательного психиатрического и наркологического освидетельствования для муниципальных служащих. наличие (отсутствие) судимости, доходах, расходах, об имуществе и обязательствах имущественного характера, граждан, претендующих на замещение должности муниципальной службы; доходах, расходах, об имуществе и обязательствах имущественного характера муниципального служащего, а также о доходах, расходах, об имуществе и обязательствах имущественного характера своего супруга (супруги) и несовершеннолетних детей муниципальных служащих, если должность муниципального служащего включена в перечень должностей, обязанных предоставлять указанные сведения. иные сведения, предусмотренные действующим законодательством Российской Федерации. 1.7. Местная администрация не вправе получать и обрабатывать персональные данные сотрудника Местной администрации о его политических, религиозных и иных убеждениях и частной жизни, за исключением случаев, предусмотренных действующим законодательством Российской Федерации. 1.8. Местная администрация обрабатывает персональные данные сотрудников следующими способами: на бумажных носителях; в информационных системах персональных данных; смешанным способом; с передачей и без передачи по локальной сети Местной администрации и по информационно-телекоммуникационной сети «Интернет». Получение персональных данных работника Местной администрации осуществляется непосредственно у него самого, за исключением случаев, предусмотренных действующим законодательством Российской Федерации. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие, за исключением случаев, предусмотренных действующим законодательством Российской Федерации. Работнику необходимо сообщить о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. Работники Местной администрации должны быть ознакомлены под подпись с документами Местной администрации устанавливающими порядок обработки персональных данных сотрудников, а также об их правах и обязанностях в этой области. 1.9. При передаче персональных данных сотрудника Местная администрация должна соблюдать следующие требования: не сообщать персональные данные сотрудника третьей стороне без письменного согласия сотрудника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника, а также в случаях, установленных федеральным законом; не сообщать персональные данные сотрудника в коммерческих целях; предупреждать лиц, получивших персональные данные сотрудника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные сотрудника, обязаны соблюдать режим секретности (конфиденциальности). Данное требование не распространяется на обмен персональными данными сотрудников в порядке, установленном федеральными законами; осуществлять передачу персональных данных сотрудников в пределах Местной администрации в соответствии с настоящими правилами; разрешать доступ к персональным данным сотрудников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные сотрудника, которые необходимы для выполнения конкретной функции; не запрашивать информацию о состоянии здоровья сотрудника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения сотрудником трудовой (служебной) функции; передавать персональные данные сотрудника представителям сотрудника в порядке, установленном законодательством и ограничивать эту информацию только теми персональными данными сотрудника, которые необходимы для выполнения указанными представителями их функции. 1.10. Работники Местной администрации вправе: иметь полную информацию об их персональных данных и обработке этих данных; получать свободный бесплатный доступ к своим персональным данным, знакомиться с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные сотрудника, за исключением случаев, предусмотренных федеральными законами; требовать от Местной администрации уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для Местной администрации персональные данные; требовать от Местной администрации извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях; обжаловать в судебном порядке любые неправомерные действия или бездействия Местной администрации при обработке и защите его персональных данных ; осуществлять иные права, установленные действующим законодательством Российской Федерации. 1.11. Лица, допущенные к обработке персональных данных, под роспись знакомятся с настоящими правилами и подписывают обязательство о неразглашении информации, содержащей персональные данные. 1.12. В случае если Местная администрация на основании договорных обязательств поручает обработку персональных данных третьему лицу, существенным условием такого договора является обязанность обеспечения указанным лицом конфиденциальности и безопасности персональных данных при их обработке.
2. Процедуры, направленные на выявление и предотвращение нарушений законодательства в сфере персональных данных 2.1. К мерам, направленным на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных относятся:2.1.1. Назначение ответственного за организацию обработки персональных данных; 2.1.2. Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона №152-ФЗ; 2.1.3. Осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону №152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, требованиями к обеспечению безопасности персональных данных, нормативным правовым актам Местной администрации в отношении обработки персональных данных; 2.1.4. Оценка вреда, причинение которого возможно для субъектов персональных данных в случае нарушения законодательства Российской Федерации и настоящих Правил; 2.1.5. Ознакомление работников, непосредственно осуществляющих обработку персональных данных с положениями законодательства Российской Федерации о персональных данных и настоящими правилами; 2.1.6. Запрет на обработку персональных данных лицами, не допущенными к их обработке. 2.2. Порядок обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации.Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при обработке в информационных системах персональных данных».При эксплуатации автоматизированных систем необходимо соблюдать требования:к работе допускаются только лица, назначенные распоряжением Местной администрации; на ПЭВМ, на которых обрабатываются и хранятся сведения о персональных данных, должны быть установлены пароли (идентификаторы); на период обработки защищаемой информации в помещении должны находиться только лица, допущенные в установленном порядке к обрабатываемой информации; допуск других лиц в указанный период осуществляется с разрешения главы Местной администрации. 2.3. Порядок обработки персональных данных без использования средств автоматизации. Обработка персональных данных без использования средств автоматизации (далее – неавтоматизированная обработка) осуществляется в виде документов на бумажных носителях. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных. При неавтоматизированной обработке персональных данных на бумажных носителях: не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы; персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков); документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных; дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовые формы), должны соблюдаться следующие условия: типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, наименование Местной администрации, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Местной администрацией способов обработки персональных данных; типовая форма должна предусматривать поле, в котором субъект персональных данных поставит отметку о своем согласии на неавтоматизированную обработку персональных данных, - при необходимости получение письменного согласия на обработку персональных данных; типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных; типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление). При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности: при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных; при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
3. Цели обработки персональных данных
3.1. Целями обработки персональных данных являются: 3.1.1. Организация деятельности Местной администрации для обеспечения соблюдения законов и иных нормативных правовых актов, реализации права на труд; 3.1.2. Осуществления возложенных на администрацию функций, полномочий и обязанностей в связи с оказанием государственных и муниципальных услуг и осуществлением вопросов местного значения.
4. Сроки обработки и хранения обрабатываемых персональных данных 4.1. Сроки обработки и хранения персональных данных определяются:приказом Минкультуры Российской Федерации от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»; сроком исковой давности; иными требованиями законодательства Российской Федерации и муниципальными правовыми актами Местной администрации. 4.2. Особенности хранения персональных данных Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
5. Порядок уничтожения обработанных персональных данных
5.1. Уничтожение обработанных персональных данных осуществляется при достижении целей обработки или при наступлении иных законных оснований.Под уничтожением обработанных персональных данных понимаются действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.
5.2. Порядок уничтожения обработанных персональных данныхУничтожение обработанных персональных данных производится комиссией Местной администрации с составлением соответствующего акта.
Приложение № 2 к постановлению Местной администрации МО п. Песочный от «18» апреля 2017 г. № 30
Правила рассмотрения запросов субъектов персональных данных или их представителей в Местной администрации Внутригородского муниципального образования поселок Песочный
1. В соответствии с частью 1 и 7 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных (далее - сведения). Субъект персональных данных вправе требовать от Местной администрации Внутригородского муниципального образования поселок Песочный, являющейся оператором, уточнения его персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. 2. В соответствии со статьей 62 Трудового кодекса Российской Федерации по письменному заявлению работника работодатель обязан не позднее трех рабочих дней со дня подачи этого заявления выдать работнику трудовую книжку в целях его обязательного социального страхования (обеспечения), копии документов, связанных с работой (копии приказа о приеме на работу; приказов о переводах на другую работу; приказа об увольнении с работы; выписки из трудовой книжки, справки о заработной плате; о начисленных и фактически уплаченных страховых взносах на обязательное пенсионное страхование; о периоде работы у данного работодателя и другое). Копии документов, связанных с работой, должны быть заверены надлежащим образом и предоставляться работнику безвозмездно. Работник обязан не позднее трех рабочих дней со дня получения трудовой книжки в органе, осуществляющем обязательное социальное страхование (обеспечение), вернуть ее работодателю. Копии документов, не относящиеся к трудовой деятельности (например, паспорт, свидетельство о рождении, свидетельство о заключении брака, свидетельство о расторжении брака, диплом об образовании, военный билет, полис обязательного медицинского страхования, страховое свидетельство обязательного пенсионного страхования, свидетельство о постановке на учет в налоговом органе (идентификационный номер налогоплательщика), субъекту персональных данных оператором не выдаются. 3. Сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме. В них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. 4. Сведения предоставляются субъекту персональных данных (его представителю) при его обращении либо при получении от него или его представителя запроса. Запрос должен содержать: номер основного документа, удостоверяющего личность субъекта персональных данных (его представителя); сведения о дате выдачи указанного документа и выдавшем его органе; сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором, либо сведения, иным образом подтверждающие факт обработки персональных данных оператором; подпись субъекта персональных данных (его представителя). Предусматривается направление запроса и в форме электронного документа , с подписание его электронной подписью в соответствии с законодательством Российской Федерации. 5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а также в целях ознакомления с обрабатываемыми персональными данными в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса. 6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего требованиям, предусмотренным пунктом 4 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
Приложение № 3 к постановлению Местной администрации МО п.Песочный от «18» апреля 2017 г. № 30
Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Местной администрации Внутригородского Муниципального образования поселок Песочный
1. Цель внутреннего контроля
1. Внутренний контроль соответствия
обработки персональных данных требованиям к защите персональных данных осуществляется
с целью проверки соответствия обработки персональных данных требованиям
2. Виды и периодичность внутреннего контроля
2.1. Внутренний контроль соответствия обработки персональных данных делится на текущий и периодический. 2.2. Текущий внутренний контроль осуществляется на постоянной основе ответственным за обеспечение безопасности персональных данных. 2.33. Периодический внутренний контроль осуществляется комиссией Местной администрации в соответствии с поручением главы Местной администрации. Периодичность проверки – не реже одного раза в шесть месяцев.
3. Порядок создания комиссии для осуществления внутреннего контроля
3.1. Проверки осуществляются комиссией, созданной распоряжением Местной администрации, из числа сотрудников Местной администрации, допущенных к обработке персональных данных, также возможно привлечение в качестве членов комиссий экспертов. В проведении проверки не принимает участие лицо, прямо или косвенно заинтересованное в её результатах. 3.2. Проверки осуществляются непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра рабочих мест сотрудников, участвующих в процессе обработки персональных данных.
4. Порядок проведения внутренней проверки
4.1. При проведении внутренней проверки комиссией должны быть полностью, объективно и всесторонне установлены: порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке; порядок и условия применения средств защиты информации; эффективность принимаемых мер по обеспечению безопасности персональных данных; состояние учёта бумажных и машинных носителей персональных данных; соблюдение правил доступа к персональным данным; наличие (отсутствие) фактов
несанкционированного доступа мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; осуществление мероприятий по обеспечению целостности персональных данных. 4.2. По каждой проверке составляется протокол проведения внутренней проверки. Форма протокола приведена в приложении к настоящим Правилам. 4.3. При выявлении в ходе проверки нарушений в протоколе делается запись о мероприятиях по устранению нарушений и сроках исполнения. 4.4. Протоколы хранятся у
председателя комиссии в течение текущего года. Уничтожение протоколов
проводится комиссией самостоятельно 4.5. О результатах проверки и мерах, необходимых для устранения нарушений председатель комиссии докладывает главе Местной администрации. 4.6. Срок проведения проверки составляет не более 30 (тридцати) дней со дня принятия решения о её проведении.
Приложение к Правилам осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Местной администрации Внутригородского Муниципального образования поселок Песочный
Протокол осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
Настоящий Протокол составлен в том, что «___»_________20__ г. комиссией по внутреннему контролю проведена проверка ______________________________________________________________________ ___________________________________________________________ место проверки Проверка осуществлялась в соответствии с требованиями __________________________________________________________________ название документа
В ходе проверки проверено: _____________________________________________________________
Выявленные нарушения: _____________________________________________________________ меры по устранению нарушений:
Срок устранения нарушений: _____________________________________________________
Подписи:
Приложение № 4 к постановлению Местной администрации МО п.Песочный от «18» апреля 2017 г. № 30
Правила работы с обезличенными персональными данными в Местной администрации Внутригородского муниципального образования поселок Песочный
1. Условия обезличивания
1.1. Обезличивание персональных данных проводится с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса используемых информационных систем персональных данных и по достижению сроков обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством Российской Федерации.
2. Способы обезличивания
2.1. К способам обезличивания персональных данных при условии дальнейшей обработки персональных данных относятся: 1) замена части сведений идентификаторами; 2) обобщение (понижение) точности некоторых сведений; 3) деление сведений на части и обработка их в разных информационных системах; 4) другие способы. 2.2. К способам обезличивания
персональных данных в случае достижения целей обработки или в случае утраты
необходимости
3. Правила работы с обезличенными данными
3.1. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности. 3.2. Обезличенные персональные
данные могут обрабатываться 3.3. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо: 1) использование средств защиты информации; 2) использование антивирусных программ; 3) соблюдение правил доступа в помещение, в котором ведётся обработка персональных данных; 3.4. При обработке обезличенных персональных данных без использования средств автоматизации необходимо: 1) хранение бумажных носителей в
условиях, исключающих доступ 2) соблюдение правил доступа в помещение, в котором ведётся обработка персональных данных.
Приложение № 5 к постановлению Местной администрации МО п.Песочный от «18» апреля 2017 г. № 30
Перечень информационных систем персональных данных в Местной администрации Внутригородского Муниципального образования поселок Песочный
1. Программа «1С Зарплата и кадры бюджетного учреждения 8 (Расчет зарплаты)»; 2. Программа «1С: Бухгалтерия государственного учреждения 8»; 3. Программа «Континент» 4.Система «Сбербанк Бизнес Онлайн» 5.Система электронного документооборота «СБИС++» 6.СУФД 7.Программа «Континент» 8.Реестр муниципальных служащих
Приложение № 6 к постановлению Местной администрации МО п.Песочный от «18» апреля 2017 г. № 30
Перечень персональных данных, обрабатываемых в Местной администрации Внутригородского Муниципального образования поселок Песочный
1. Фамилия, имя, отчество, дата и место рождения, гражданство. 2. Прежние фамилия, имя, отчество, дата, место и причина изменения (в случае изменения). 3. Владение иностранными языками и языками народов Российской Федерации. 4. Образование (когда и какие образовательные учреждения закончил(а), номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому). 5. Послевузовское профессиональное образование (наименование образовательного или научного учреждения, год окончания), ученая степень, ученое звание (когда присвоены, номера дипломов, аттестатов). 6. Выполняемая работа с начала трудовой деятельности. 7. Классный чин федеральной государственной гражданской службы и (или) гражданской службы субъекта Российской Федерации и (или) муниципальной службы, дипломатический ранг, воинское и (или) специальное звание, классный чин правоохранительной службы, классный чин юстиции (кем и когда присвоены). 8. Государственные награды, иные награды и знаки отличия (кем награжден(а) и когда). 9. Степень родства, фамилии, имена, отчества, даты рождения близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены). 10. Места рождения, места работы и домашние адреса близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены). 11. Фамилии, имена, отчества, даты рождения, места рождения, места работы и домашние адреса бывших мужей (жен). 12. Пребывание за границей (когда, где, с какой целью). 13. Близкие родственники (отец, мать, братья, сестры и дети), а также муж (жена), в том числе бывшие, постоянно проживающие за границей и (или) оформляющие документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество, с какого времени проживают за границей). 14. Адрес регистрации и фактического проживания. 15. Дата регистрации по месту жительства. 16. Паспорт (серия, номер, кем и когда выдан). 17. Свидетельства о государственной регистрации актов гражданского состояния. 18. Номер телефона. 19. Отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу). 20. Идентификационный номер налогоплательщика. 21. Номер страхового свидетельства обязательного пенсионного страхования. 22. Наличие (отсутствие) судимости, при необходимости. 23. Допуск к государственной тайне, оформленный за период работы, службы, учебы (форма, номер и дата). 24. Заключение медицинского учреждения о наличии (отсутствии) заболевания, препятствующего поступлению на муниципальную службу Российской Федерации или ее прохождению. 25. Сведения о доходах, расходах, об имуществе и обязательствах имущественного характера, а также о доходах, расходах, об имуществе и обязательствах имущественного характера супруги (супруга) и несовершеннолетних детей.
Приложение № 7 к постановлению Местной администрации МО п.Песочный от «18» апреля 2017 г. № 30
Перечень должностей служащих Местной администрации Внутригородского муниципального образования поселок Песочный, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных
Служащие Местной администрации Внутригородского муниципального образования поселок Песочный допускаются к обработке персональных данных и отвечают за проведение мероприятий по обезличиванию обрабатываемых персональных данных в случае замещения ими должностей: Глава Местной администрации Внутригородского Муниципального образования поселок Песочный; заместитель Главы Местной администрации Внутригородского Муниципального образования поселок Песочный; главный бухгалтер – начальник финансово-экономического отдела Местной администрации Внутригородского Муниципального образования поселок Песочный; главный специалист финансово-экономического отдела Местной администрации Внутригородского Муниципального образования поселок Песочный; специалист 1 категории финансово-экономического отдела Местной администрации Внутригородского Муниципального образования поселок Песочный; главный специалист – юрист сектора информационно-правового обеспечения Местной администрации Внутригородского Муниципального образования поселок Песочный; специалист 1 категории Местной администрации Внутригородского Муниципального образования поселок Песочный; главный специалист сектора по благоустройству Местной администрации Внутригородского Муниципального образования поселок Песочный; специалист 1 категории Местной администрации Внутригородского Муниципального образования поселок Песочный; ведущий специалист по опеке и попечительству Местной администрации Внутригородского Муниципального образования поселок Песочный.
Приложение № 8 к постановлению Местной администрации МО п.Песочный от «18» апреля 2017 г. № 30
Перечень должностей служащих Местной администрации Внутригородского муниципального образования поселок Песочный, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным
Глава Местной администрации Внутригородского Муниципального образования поселок Песочный; заместитель Главы Местной администрации Внутригородского Муниципального образования поселок Песочный; главный бухгалтер – начальник финансово-экономического отдела Местной администрации Внутригородского Муниципального образования поселок Песочный; главный специалист финансово-экономического отдела Местной администрации Внутригородского Муниципального образования поселок Песочный; специалист 1 категории финансово-экономического отдела Местной администрации Внутригородского Муниципального образования поселок Песочный; главный специалист – юрист сектора информационно-правового обеспечения Местной администрации Внутригородского Муниципального образования поселок Песочный; специалист 1 категории Местной администрации Внутригородского Муниципального образования поселок Песочный; главный специалист сектора по благоустройству Местной администрации Внутригородского Муниципального образования поселок Песочный; специалист 1 категории Местной администрации Внутригородского Муниципального образования поселок Песочный; ведущий специалист по опеке и попечительству Местной администрации Внутригородского Муниципального образования поселок Песочный.
Приложение № 9 к постановлению Местной администрации МО п.Песочный от «18» апреля 2017 г. № 30
Должностная инструкция ответственного за организацию
обработки персональных данных
Ответственный за организацию обработки
персональных данных Ответственный за организацию обработки
персональных данных Ответственный за организацию обработки персональных данных обязан: 1. Получать от сотрудников Местной администрации, осуществляющих обработку персональных данных, обязательство о неразглашении информации, содержащей персональные данные. 2. Предоставлять субъекту персональных данных либо его представителю по запросу информацию об обработке его персональных данных. 3. Осуществлять внутренний контроль за соблюдением требований законодательства Российской Федерации и Правил обработки персональных данных, в том числе требований к защите персональных данных. 4. Доводить до сведения лиц, допущенных к обработке
персональных данных, положения федерального законодательства Российской
Федерации 5. Организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и осуществлять контроль за приемом и обработкой таких обращений и запросов.
Приложение № 10 к постановлению Местной администрации МО п.Песочный от «18» апреля 2017 г. № 30
Типовое обязательство служащего Местной администрации Внутригородского Муниципального образования поселок Песочный непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним контракта или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей
Я, __________________________________________________________, (фамилия, имя, отчество)
обязуюсь прекратить обработку персональных данных, ставших мне известными в связи с исполнением должностных обязанностей, в случае расторжения со мной служебного контракта (контракта) или трудового договора. В соответствии со статьей 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» я уведомлен(а) о том, что операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Ответственность, предусмотренная законодательством Российской Федерации, мне разъяснена.
___________________________ _______________ (число, месяц, год) (подпись)
Приложение № 11 к постановлению Местной администрации МО п.Песочный от «18» апреля 2017 г. № 30
Типовая форма согласия на обработку персональных данных служащих Местной администрации Внутригородского муниципального образования поселок Песочный
г. _____________ "__" _________ 20__ г.
Я, ___________________________________________________________________, (фамилия, имя, отчество) зарегистрированный(ая) по адресу: _________________________________________ __________________________________________________________________________, паспорт серия _______ N ___________, выдан _____________, _________________ (дата) (кем выдан) __________________________________________________________________________, свободно, своей волей и в своем интересе даю согласие уполномоченным должностным лицам Местной администрации Внутригородского муниципального образования поселок Песочный (далее – администрация), расположенной по адресу: __________________________________________________________________________, на обработку (любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение) следующих персональных данных: фамилия, имя, отчество, дата и место рождения, гражданство; прежние фамилия, имя, отчество, дата, место и причина изменения (в случае изменения) <*>; владение иностранными языками и языками народов Российской Федерации; образование (когда и какие образовательные учреждения закончил(а), номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому); послевузовское профессиональное образование (наименование образовательного или научного учреждения, год окончания), ученая степень, ученое звание (когда присвоены, номера дипломов, аттестатов); выполняемая работа с начала трудовой деятельности; классный чин федеральной государственной гражданской службы и (или) гражданской службы субъекта Российской Федерации и (или) муниципальной службы, дипломатический ранг, воинское и (или) специальное звание, классный чин правоохранительной службы, классный чин юстиции (кем и когда присвоены) <*>; государственные награды, иные награды и знаки отличия (кем награжден(а) и когда); степень родства, фамилии, имена, отчества, даты рождения близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены); места рождения, места работы и домашние адреса близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены) <*>; фамилии, имена, отчества, даты рождения, места рождения, места работы и домашние адреса бывших мужей (жен) <*>; пребывание за границей (когда, где, с какой целью) <*>; близкие родственники (отец, мать, братья, сестры и дети), а также муж (жена), в том числе бывшие, постоянно проживающие за границей и (или) оформляющие документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество, с какого времени проживают за границей) <*>; адрес регистрации и фактического проживания; дата регистрации по месту жительства; паспорт (серия, номер, кем и когда выдан); свидетельства о государственной регистрации актов гражданского состояния; номер телефона; отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу); идентификационный номер налогоплательщика; номер страхового свидетельства обязательного пенсионного страхования; наличие (отсутствие) судимости <*>; допуск к государственной тайне, оформленный за период работы, службы, учебы (форма, номер и дата) <*>; заключение медицинского учреждения о наличии (отсутствии) заболевания, препятствующего поступлению на муниципальную службу Российской Федерации или ее прохождению <*>; сведения о доходах, расходах, об имуществе и обязательствах имущественного характера, а также о доходах, расходах, об имуществе и обязательствах имущественного характера супруги (супруга) и несовершеннолетних детей. <**> Вышеуказанные персональные данные предоставляю для обработки в целях обеспечения соблюдения в отношении меня законодательства Российской Федерации в сфере отношений, связанных с поступлением на муниципальную службу Российской Федерации (работу), ее прохождением и прекращением (трудовых и непосредственно связанных с ними отношений) для реализации функций, возложенных на администрацию действующим законодательством. Я ознакомлен(а), что: 1) согласие на обработку персональных данных действует с даты подписания настоящего согласия в течение всего срока муниципальной службы (работы) в администрации; 2) согласие на обработку персональных данных отзывается на основании письменного заявления в произвольной форме; 3) в случае отзыва согласия на обработку персональных данных администрация вправе продолжить обработку персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»; 4) после увольнения с муниципальной службы (прекращения трудовых отношений) персональные данные хранятся в администрации в течение срока хранения документов, предусмотренного действующим законодательством Российской Федерации; 5) персональные данные, предоставляемые в отношении третьих лиц, будут обрабатываться только в целях осуществления и выполнения функций, возложенных законодательством Российской Федерации на администрацию. Дата начала обработки персональных данных:
___________________________ _______________ (число, месяц, год) (подпись)
-------------------------------- <*> Включаются в согласие на обработку персональных данных муниципальных служащих, а также граждан, претендующих на замещение должностей муниципальной службы. <**> Включаются в согласие на обработку персональных данных граждан, претендующих на замещение должностей муниципальной службы, включенных в перечень должностей муниципальной службы, при назначении на которые граждане и при замещении которых муниципальные служащие обязаны представлять сведения о своих доходах, об имуществе и обязательствах имущественного характера, а также сведения о доходах, об имуществе и обязательствах имущественного характера своих супруги (супруга) и несовершеннолетних детей.
Приложение № 12 к постановлению Местной администрации МО п.Песочный от «18» апреля 2017 г. № 30
Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные
В соответствии с Федеральным законом от 02.03.2007 № 25-ФЗ «О муниципальной службе в Российской Федерации», статьями 65, 86 Трудового кодекса Российской Федерации определен перечень персональных данных, который субъект персональных данных обязан предоставить в связи с поступлением или прохождением муниципальной службы (работы). Без представления субъектом персональных данных обязательных для заключения служебного контракта (трудового договора) сведений служебный контракт (трудовой договор) будет не заключен. На основании пункта 11 статьи 77 Трудового кодекса Российской Федерации служебный контракт (трудовой договор) прекращается вследствие нарушения установленных обязательных правил его заключения, если это нарушение исключает возможность замещения должности (продолжения работы). Мне, _________________________________________________________________, (фамилия, имя, отчество) разъяснены юридические последствия отказа предоставить свои персональные данные.
___________________________ _______________ (число, месяц, год) (подпись)
Приложение № 13 к постановлению Местной администрации МО п.Песочный от «18» апреля 2017 г. № 30
Порядок доступа в помещения, в которых ведётся обработка персональных данных, в Местной администрации Внутригородского муниципального образования поселок Песочный
1. Запрещается оставлять материальные носители с персональными данными без присмотра в незапертом помещении, в котором осуществляется обработка персональных данных. 2. Все сотрудники, постоянно
работающие в помещениях, в которых ведётся обработка персональных данных,
должны быть допущены к работе 3. В служебных помещениях применяются технические и организационные меры, направленные для защиты данных от нецелевого использования, несанкционированного доступа, раскрытия, потери, изменения и уничтожения обрабатываемых персональных данных. К указанным мерам относятся: 1) технические меры защиты: применение антивирусных программ, программ защиты, установление паролей на персональных компьютерах; 2) организационные меры защиты:
обучение и ознакомление
Приложение № 14 к постановлению Местной администрации МО п.Песочный от «18» апреля 2017 г. № 30 Инструкция о порядке резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств систем защиты персональных данных в Местной администрации Внутригородского муниципального образования поселок Песочный
1. Назначение и область действия
Инструкция по резервированию и восстановлению работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации (далее – Инструкция) определяет действия, связанные с функционированием информационной системы персональных данных (далее – ИСПДн) Местной администрации Внутригородского муниципального образования поселок Песочный (далее Местная администрация), меры и средства поддержания непрерывности работы и восстановления работоспособности ИСПДн. Целью настоящего документа является превентивная защита элементов ИСПДн от предотвращения потери защищаемой информации. Задачей данной Инструкции является: - определение мер защиты от потери информации; - определение действий восстановления в случае потери информации. Действие настоящей Инструкции распространяется на всех пользователей Местной администрации, имеющих доступ к ресурсам ИСПДн, а также основные системы обеспечения непрерывности работы и восстановления ресурсов при возникновении аварийных ситуаций, в том числе: - системы жизнеобеспечения; - системы обеспечения отказоустойчивости; - системы резервного копирования и хранения данных; - системы контроля физического доступа. Пересмотр настоящего документа осуществляется по мере необходимости, но не реже одного раза в два года. Ответственным сотрудником за реагирование на инциденты безопасности, приводящие к потере защищаемой информации, назначается ответственный за обеспечение безопасности персональных данных. Ответственным
сотрудником за контроль обеспечения мероприятий
2. Порядок реагирования на инцидент
В настоящей Инструкции под Инцидентом понимается некоторое происшествие, связанное со сбоем в функционировании элементов ИСПДн, предоставляемых пользователям ИСПДн, а также потерей защищаемой информации. Происшествие, вызывающее инцидент, происходит в результате: непреднамеренных действий пользователей; преднамеренных действий пользователей и третьих лиц; нарушения правил эксплуатации технических средств ИСПДн; возникновения внештатных ситуаций и обстоятельств непреодолимой силы. В кратчайшие сроки, не превышающие одного рабочего дня, ответственные за реагирование сотрудники предпринимают меры по восстановлению работоспособности. Предпринимаемые меры по возможности согласуются с вышестоящим руководством. По необходимости, без согласования с выше стоящим руководством, с целью получения высококвалифицированной консультации в кратчайшие сроки.
3. Меры обеспечения непрерывности работы и восстановления ресурсов при возникновении инцидентов
3.1. Технические меры К техническим мерам обеспечения непрерывной работы и восстановления относятся программные, аппаратные и технические средства и системы, используемые для предотвращения возникновения Инцидентов, такие как: системы жизнеобеспечения; системы обеспечения отказоустойчивости; системы резервного копирования и хранения данных; системы контроля физического доступа. Системы жизнеобеспечения ИСПДн включают: пожарные сигнализации и системы пожаротушения; системы вентиляции и кондиционирования; системы резервного питания. Все критичные помещения Местной администрации (помещения, в которых размещаются элементы ИСПДн и средства защиты) должны быть оборудованы средствами пожарной сигнализации и пожаротушения. Для выполнения требований по эксплуатации (температура, относительная влажность воздуха) программно-аппаратных средств ИСПДн в помещениях, где они установлены, должны применяться системы вентиляции и кондиционирования воздуха. Для предотвращения потерь информации при кратковременном отключении электроэнергии все ключевые элементы ИСПДн, сетевое и коммуникационное оборудование, а также наиболее критичные рабочие станции должны подключаться к сети электропитания через источники бесперебойного питания. В зависимости от необходимого времени работы ресурсов после потери питания могут применяться следующие методы резервного электропитания: локальные источники бесперебойного электропитания с различным временем питания для защиты отдельных компьютеров; источники бесперебойного питания с дополнительной функцией защиты от скачков напряжения; дублированные системы электропитания в устройствах (серверы, концентраторы, мосты и т. д.); резервные линии электропитания в пределах комплекса зданий; аварийные электрогенераторы. Системы обеспечения отказоустойчивости: технология RAID; система резервного копирования и хранения данных; Для защиты от отказов отдельных дисков серверов, осуществляющих обработку и хранение защищаемой информации, должны использоваться технологии RAID, которые (кроме RAID-0) применяют дублирование данных, хранимых на дисках. Система резервного копирования и хранения данных должна обеспечивать хранение защищаемой информации на твердый носитель (жесткий диск и т.п.). 3.2. Организационные меры Резервное
копирование и хранение данных должно осуществлять для обрабатываемых персональных данных – не реже одного раза в неделю; для технологической информации – не реже одного раза в месяц; эталонные копии программного обеспечения (операционные системы, штатное и специальное программное обеспечение, программные средства защиты), с которых осуществляется их установка на элементы ИСПДн – не реже одного раза в месяц, и каждый раз при внесении изменений в эталонные копии (выход новых версий). Данные о проведение процедуры резервного копирования, должны отражаться в специально созданном журнале учета. Носители, на которые произведено резервное копирование, должны быть пронумерованы: номером носителя, датой проведения резервного копирования. Носители должны храниться в несгораемом шкафу или помещении оборудованном системой пожаротушения. Носители должны храниться не менее года, для возможности восстановления данных.
Приложение № 15 к постановлению Местной администрации МО п.Песочный от «18» апреля 2017 г. № 30
Инструкция по организации антивирусной защиты в Местной администрации Внутригородского муниципального образования поселок Песочный
1.1. Настоящая Инструкция определяет требования к организации антивирусной защиты ИСПДн в Местной администрации Внутригородского муниципального образования поселок Песочный. 1.2. Установка средств антивирусной защиты осуществляется Администратором ИСПДн в соответствии с эксплуатационной документацией на антивирусное средство. Настройка параметров средств антивирусной защиты осуществляется Администратором ИСПДн в соответствии с руководством по применению антивирусного средства. 2. Применение средств антивирусного контроля
2.1. Ежедневно в начале
работы при загрузке компьютера 2.2. Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы и др.), получаемая на съемных носителях (магнитных дисках, лентах, CD-ROM и т.п.). 2.3. Файлы, помещаемые в электронный архив, должны в обязательном порядке проходить антивирусный контроль. Периодические антивирусные проверки электронных архивов должны проводиться еженедельно. 2.4. Непосредственно после установки программного обеспечения должна быть выполнена его антивирусная проверка. 2.5. При возникновении
подозрения на наличие компьютерного вируса (нетипичная работа программ,
появление графических и звуковых эффектов, искажений данных, пропадание файлов,
частое появление сообщений 2.6. В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов пользователи обязаны: остановить обработку информации; немедленно поставить в известность о факте обнаружения зараженных вирусом файлов Администратора ИСПДн и владельца зараженных файлов; совместно с Администратором ИСПДн провести анализ возможности дальнейшего их использования; провести уничтожение вирусов в зараженных файлах. 2.7. В случае обнаружения на жестком магнитном диске
не поддающегося лечению вируса, Администратор ИСПДн обязан запретить работу на
АРМ и в возможно короткие сроки обновить антивирусное средство. После
обновления антивирусного средства произвести повторное лечение вируса. При
невозможности вылечить вирус необходимо поставить
3. Ответственность
Ответственность за
организацию антивирусного контроля ИСПДн Ответственность за непосредственное проведение мероприятий антивирусного контроля в подразделении и соблюдение требований настоящей Инструкции возлагается на Администратора ИСПДн и пользователей ИСПДн. Периодический контроль за состоянием антивирусной защиты, а также за соблюдением установленного порядка антивирусного контроля и выполнением требований настоящей Инструкции пользователями ИСПДн организуется Администратором ИСПДн.
Приложение № 16 к постановлению Местной администрации МО п.Песочный от «18» апреля 2017 г. № 30
Инструкция пользователя информационной системы персональных данных в Местной администрации Внутригородского муниципального образования поселок Песочный
Сокращения
1. Общие положения1.1. Пользователь ИСПДн (далее – Пользователь) осуществляет обработку ПДн в ИСПДн Местной администрации Внутригородского муниципального образования поселок Песочный (далее –Местная администрация ). 1.2. Пользователем является каждый сотрудник Местной администрации , участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки ПДн и имеющий доступ к аппаратным средствам, программному обеспечению, данным и средствам защиты. 1.3. Пользователь
несет персональную ответственность согласно действующему законодательству
Российской Федерации за свои действия и 1.4. Пользователь в
своей работе руководствуется настоящей Инструкцией, Правилами об обработке и
защите ПДн, руководящими 1.5. Методическое руководство работой пользователя осуществляется Ответственным за обеспечение безопасности ПДн и Администратором ИСПДн. 2. Должностные обязанности2.1. Пользователь обязан: 2.1.1. Знать и выполнять требования действующих нормативных правовых актов, а также внутренних инструкций, руководств по защите информации и распоряжений, регламентирующих порядок действий по защите информации. 2.1.2. Выполнять на АРМ только те процедуры, которые определены для него Положением о разрешительной системе допуска пользователей и обслуживающего персонала к информационным ресурсам и системе защиты персональных данных. 2.1.3. Знать и соблюдать установленные требования по режиму обработки ПДн, учету, хранению и пересылке носителей информации, защите ПДн, а также руководящих и организационно-распорядительных документов. 2.1.4. Соблюдать требования парольной политики (раздел 3). 2.1.5. Соблюдать правила работы в сетях общего доступа и (или) международного обмена – Интернет и других (раздел 4). 2.1.6. Экран
монитора в помещении располагать во время работы так, чтобы исключить возможность несанкционированного ознакомления 2.1.7. Обо всех выявленных нарушениях, связанных с информационной безопасностью Местной администрации, а также для получений консультаций по вопросам информационной безопасности, необходимо обращаться к Администратору ИСПДн либо Ответственному за обеспечение безопасности ПДн. 2.1.8. Для получения консультаций по вопросам работы и настройке элементов ИСПДн необходимо обращаться к Администратору ИСПДн. 2.1.9. Принимать меры по реагированию, в случае возникновения внештатных или аварийных ситуаций, с целью ликвидации их последствий, в рамках и пределах возложенных на него функций. 2.1.10.При отсутствии визуального контроля за АРМ доступ к нему должен быть немедленно заблокирован 2.2. Пользователям запрещается: 2.2.1. Разглашать защищаемую информацию третьим лицам. 2.2.2. Копировать
защищаемую информацию на внешние носители 2.2.3. Самостоятельно устанавливать, тиражировать, или модифицировать программное обеспечение и аппаратное обеспечение, изменять установленный алгоритм функционирования технических и программных средств. 2.2.4. Несанкционированно открывать общий доступ к папкам на своем АРМ. 2.2.5. Запрещено подключать к АРМ и корпоративной информационной сети личные внешние носители и мобильные устройства. 2.2.6. Отключать (блокировать) средства защиты информации. 2.2.7. Обрабатывать на АРМ
информацию и выполнять другие работы, 2.2.8. Сообщать (или передавать) посторонним лицам личные ключи и атрибуты доступа к ресурсам ИСПДн. 2.2.9. Привлекать посторонних лиц для производства ремонта или настройки АРМ.
3. Организация парольной защиты
3.1 Личные пароли доступа к элементам ИСПДн выдаются Пользователям Администратором ИСПДн. 3.2. Полная плановая смена паролей в ИСПДн проводится не реже одного раза в 3 месяца. 3.3. Правила ввода пароля 3.3.1. Ввод пароля должен осуществляться с учётом регистра, в котором пароль был задан; 3.3.2. Во время ввода паролей необходимо исключить возможность его подсматривания посторонними лицами или техническими средствами (видеокамеры и др.). 3.4. Правила хранение пароля 3.4.1. Запрещается записывать пароли на бумаге, в файле, электронной записной книжке и других носителях информации, в том числе на предметах; 3.4.2. Запрещается сообщать другим Пользователям личный пароль и регистрировать их в системе под своим паролем. 3.5. Лица, использующие паролирование, обязаны: 3.5.1. Знать и выполнять требования настоящей Инструкции и других руководящих документов по паролированию; 3.5.2. Своевременно сообщать Администратору ИСПДн об утере, компрометации, несанкционированном изменении паролей и несанкционированном изменении сроков действия паролей.
4.Правила работы в сетях общего доступаи (или) международного обмена4.1. Работа в сетях общего доступа и (или) международного обмена (сети Интернет и других) (далее – Сеть) на элементах ИСПДн, должна проводиться при служебной необходимости. 4.2. При работе в Сети запрещается: 4.2.1. Осуществлять работу при отключенных средствах защиты (антивирус и др.); 4.2.2. Передавать по Сети защищаемую информацию без использования средств шифрования; 4.2.3. Посещать Интернет-ресурсы, содержащие информацию экстремистского, расистского, порнографического и криминального характера, а также загружать данные, содержащие подобную информацию; 4.2.4. Использовать адрес корпоративной почты при регистрации на Интернет-ресурсах, в ходе деятельности, не связанной с выполнением должностных обязанностей; 4.2.5. Скачивать из Сети медиа-файлы развлекательного характера, программное обеспечение и другие файлы; 4.2.6. Размещать в сети Интернет информацию, классифицированную как «для служебного пользования», «персональные данные», «коммерческая тайна»; 4.3. Местная администрация оставляет за собой право: 4.3.1. Осуществлять мониторинг использования сотрудниками Организации сети Интернет; 4.3.2. Определять перечень запрещенных Интернет-ресурсов и осуществлять блокировку доступа к ним; 4.3.3. Осуществлять мониторинг появления адресов корпоративной почты на страницах Интернет-ресурсов; 4.3.4. Осуществлять мониторинг появления информации конфиденциального характера о деятельности Местной администрации в сети Интернет, в том числе и на страницах социальных сетей, таких как www.vk.com, www.odnoklassniki.ru и др.; 4.3.5. Предоставлять информацию об использовании Интернет-ресурсов сотрудниками Организации правоохранительным органам в случаях, предусмотренных законодательством Российской Федерации; 4.3.6. Принимать меры дисциплинарного характера к сотрудникам, нарушающим положения настоящей инструкции. 5. Правила работы с электронной почтой Местной администрации5.1. Электронная почта Местной администрации используется только в служебных целях. Использование электронной почты в других целях запрещено. 5.2. Содержимое электронного почтового ящика сотрудника подлежит проверки без предварительного уведомления по требованию руководства Организации. 5.3. При работе с системой электронной почты сотрудникам Местной администрации запрещается: 5.3.1. Использовать адрес корпоративной почты для оформления подписок, без предварительного согласования с руководством Местной администрации; 5.3.2. Публиковать свой
адрес, либо адреса других сотрудников компании 5.3.3. Отправлять сообщения с вложенными файлами, общий объем которых превышает 5 Мегабайт; 5.3.4. Открывать вложенные файлы во входящих сообщениях без предварительной проверки антивирусными средствами, даже если отправитель письма хорошо известен; 5.3.5. Осуществлять массовую рассылку почтовых сообщений внешним адресатам без их на то согласия. Данные действия квалифицируются как спам и являются незаконными; 5.3.6. Осуществлять массовую рассылку почтовых сообщений рекламного характера без предварительного согласования с руководством Организации; 5.3.7. Рассылку через электронную почту материалов, содержащих вирусы или другие компьютерные коды, файлы или программы, предназначенные для нарушения, уничтожения либо ограничения функциональности любого компьютерного или телекоммуникационного оборудования или программ, для осуществления несанкционированного доступа, а также серийные номера к коммерческим программным продуктам и программы для их генерации, логины, пароли и прочие средства для получения несанкционированного доступа к платным ресурсам в Интернете, а также ссылки на вышеуказанную информацию; 5.3.8. Распространение защищаемых авторскими правами материалов, затрагивающих какой-либо патент, торговую марку, коммерческую тайну, копирайт или прочие права собственности и/или авторские и смежные с ним права третьей стороны; 5.3.9. Распространять информацию содержание и направленность которой запрещены международным законодательством и законодательством Российской Федерации, включая материалы, носящие вредоносную, угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности, в том числе разъясняющие порядок применения взрывчатых веществ и иного оружия, и т.д.; 5.3.10. Распространять информацию ограниченного доступа; 5.3.11. Предоставлять, кому бы-то ни было пароль доступа к своему почтовому ящику.
Приложение № 17 к постановлению Местной администрации МО п.Песочный от «18» апреля 2017 г. № 30
Инструкция пользователя по обеспечению безопасности обработки персональных данных при возникновении внештатных ситуаций в Местной администрации Внутригородского муниципального образования поселок Песочный Сокращения
1. Назначение и область действия1.1. Настоящая Инструкция определяет возможные аварийные ситуации, связанные с функционированием ИСПДн Местной администрации Внутригородского муниципального образования поселок Песочный (далее – Местная администрация) , меры и средства поддержания непрерывности работы и восстановления работоспособности ИСПДн после аварийных ситуаций. 1.2. Целью настоящего документа является превентивная защита элементов ИСПДн от прерывания в случае реализации рассматриваемых угроз. 1.3. Задачей данной Инструкции является: 1.3.1. Определение мер защиты от прерывания; 1.3.2. Определение действий восстановления в случае прерывания. 1.4. Действие настоящей Инструкции распространяется на всех сотрудников Местной администрации, имеющих доступ к ресурсам ИСПДн, а также основные системы обеспечения непрерывности работы и восстановления ресурсов при возникновении аварийных ситуаций, в том числе: системы жизнеобеспечения; системы обеспечения отказоустойчивости; системы резервного копирования и хранения данных; системы контроля физического доступа. 1.5. Пересмотр настоящего документа осуществляется по мере необходимости, но не реже одного раза в год.
2. Порядок реагирования на аварийную ситуацию2.1. Действия при возникновении аварийной ситуации В настоящем
документе под аварийной ситуацией понимается некоторое происшествие, связанное
со сбоем в функционировании элементов ИСПДн, предоставляемых Пользователям
ИСПДн. Аварийная ситуация становится возможной в результате реализации одной из
угроз, приведенных В кратчайшие сроки, не превышающие одного рабочего дня, ответственные за реагирование сотрудники Местной администрации предпринимают меры по восстановлению работоспособности. Предпринимаемые меры по возможности согласуются с вышестоящим руководством. По необходимости, без согласования с вышестоящим руководством, с целью получения высококвалифицированной консультации в кратчайшие сроки. 2.2. Уровни реагирования на инцидент При реагировании на инцидент, важно, чтобы пользователь правильно классифицировал критичность инцидента. Критичность оценивается на основе следующей классификации: Уровень 1 – Незначительный инцидент.
Незначительный инцидент определяется как локальное событие с ограниченным
разрушением, которое Уровень 2 – Авария. Любой инцидент, который
приводит или приведет к прерыванию работоспособности отдельных элементов ИСПДн К авариям относятся следующие инциденты: 1) Отказ элементов ИСПДн и средств защиты из-за: повреждения водой (прорыв системы водоснабжения, канализационных труб, систем охлаждения), а также подтопления в период паводка или проливных дождей; сбоя системы кондиционирования; 2) Отсутствие ответственного за обеспечение безопасности ПДн, Администратора ИСПДн более чем на сутки из-за: химического выброса в атмосферу; сбоев общественного транспорта; эпидемии; массового отравления персонала; сильного снегопада; сильных морозов. Уровень 3 – Катастрофа. Любой инцидент,
приводящий к полному прерыванию работоспособности всех элементов ИСПДн и
средств защиты, К катастрофам относятся следующие инциденты: пожар в здании; взрыв; просадка грунта с частичным обрушением здания; массовые беспорядки в непосредственной близости от ИСПДн.
3. Меры обеспечения непрерывности работы и восстановленияресурсов при возникновении аварийных ситуаций3.1. Технические мерыК техническим мерам обеспечения непрерывной работы и восстановления относятся программные, аппаратные и технические средства и системы, используемые для предотвращения возникновения аварийных ситуаций, такие как: системы жизнеобеспечения; системы обеспечения отказоустойчивости; системы резервного копирования и хранения данных; системы контроля физического доступа. Системы жизнеобеспечения ИСПДн включают: пожарные сигнализации и системы пожаротушения; системы вентиляции и кондиционирования; системы резервного питания. 3.2. Организационные меры Все сотрудники Местной администрации знакомятся с настоящей инструкцией под роспись. Новый сотрудник должен быть ознакомлен с настоящей инструкцией в срок, не превышающий 3-х рабочих дней с момента выхода его на работу. Должно быть проведено обучение сотрудников Местной администрации, имеющих доступ к ресурсам ИСПДн, порядку действий при возникновении аварийных ситуаций. Должностные лица должны получить базовые знания в следующих областях: оказание первой медицинской помощи; пожаротушение; эвакуация людей; защита материальных и информационных ресурсов; методы оперативной связи со службами спасения и лицами, ответственными за реагирование сотрудниками на аварийную ситуацию; выключение оборудования, электричества, водоснабжения, газоснабжения. Администратор ИСПДн должен быть дополнительно обучен методам частичного и полного восстановления работоспособности элементов ИСПДн. Навыки и знания должностных лиц по реагированию на аварийные ситуации должны регулярно проверяться. При необходимости должно проводиться дополнительное обучение должностных лиц порядку действий при возникновении аварийной ситуации.
к Инструкции пользователя по обеспечению безопасности обработки персональных данных при возникновении внештатных ситуаций в Местной администрации Внутригородского муниципального образования поселок Песочный Источники угроз
Приложение № 18 к постановлению Местной администрации МО п.Песочный от «18» апреля 2017 г. № 30
Положение о разрешительной системе допуска пользователей и обслуживающего персонала к информационным ресурсам и системе защиты персональных данных в Местной администрации Внутригородского муниципального образования поселок Песочный
Настоящее Положение о разрешительной системе допуска разработано на основании нормативно-методических документов ФСТЭК России и определяет порядок и правила доступа работников Местной администрации Внутригородского муниципального образования поселок Песочный (далее – Местная администрация) к информационным ресурсам информационной системы персональных данных (ИСПДн) Местной администрации. Перед предоставлением работнику доступа к
информационным ресурсам ИСПДн, условия предоставления доступа отражаются в
трудовом договоре работника в разделе о защите сведений ограниченного доступа, К работе в ИСПДн допускаются работники, ознакомившиеся
Учетная запись нового работника (пользователя) с соответствующими правами доступа создается Администратором ИСПДн по представлению начальника структурного подразделения данного работника, согласованного с курирующим данное структурное подразделение заместителем главы Местной администрации или главой Местной администрации. Сотрудники, допущенные к работе с персональными данными, несут дисциплинарную, гражданско-правовую, административную и уголовную ответственность в соответствии с требованиями законодательства Российской Федерации, нормативных правовых актов Местной администрации. Контроль доступа работников (пользователей)
структурных подразделений Местной администрации к информационным ресурсам
ИСПДн и обеспечение информационной безопасности при работе Логический алгоритм и настоящее Положение о
разрешительной системы допуска пользователей к ИСПДн распространяется на все
информационные системы Местной администрации.
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
