Последние объявления
 
Разделы сайта
 

Положение о порядке организации и проведения работ по обеспечению безопасности персональных данных

 
Утверждено
распоряжением администрации муниципального района
«Город Валуйки и Валуйский район»
от «15» августа 2013 года № 1759-р
 
 
ПОЛОЖЕНИЕ
о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации муниципального района
«Город Валуйки и Валуйский район»
 
Основные термины и определения
 
          Персональные данные (ПДн) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
          Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уточнение персональных данных.
          Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которых в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
          Оператор – государственный, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
          Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных)илинаознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных дынных в средствах массовой информации, размещение в информационно – телекоммуникационных сетях или предоставление доступа к персональным данным каким – либо иным способом.
          Использование персональных данных – действия (операции) с персональными данными, совершаемые работодателем в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц.
          Блокирование персональных данных – временное прекращение сбора, накопления, использования, распространения персональных данных, в том числе их передачи.
          Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
          Несанкционированный доступ (НСД) – получение защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации;
           - доступ к информации или её носителям с нарушением правил доступа к ним;
           - ознакомление с информацией, её обработка, в частности, копирование, модификация или уничтожение информации.
          Обезличивание персональных данных – действия,  в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
          Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
          Конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
          Служебные сведения (служебная тайна) – служебные сведения, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
          Уполномоченное оператором лицо – лицо, которому на основании договора оператор поручает обработку персональных данных.
          Трансграничная передача персональных данных – передача персональных данных оператором через государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.
 
1.    Общие положения
 
          1.1.   Настоящее Положение о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации муниципального района «Город Валуйки и Валуйский район» (далее - Положение) определяет порядок получения, хранения, передачи, автоматизированной обработки персональных данных в ИСПДн, а также без использования средств автоматизации в администрации муниципального района «Город Валуйки и Валуйский район»,  в самостоятельных отраслевых и функциональных структурных подразделениях администрации муниципального района «Город Валуйки и Валуйский район» (далее – исполнительно-распорядительные органы местного самоуправления муниципального района).
          1.2.  Цель разработки настоящего Положения – определение порядка защиты ПДн от несанкционированного доступа и их разглашения.
          1.3. Настоящее Положение разработано на основе и во исполнение:
          - части 1 статьи 23, статьи 24 Конституции Российской Федерации,
          - Кодекса Российской Федерации об административных правонарушениях,
          - положений главы 14 Трудового кодекса Российской Федерации,
           - Федерального закона от 27 июня 2006 года № 152 – ФЗ «О персональных данных»,
          - Федерального закона от 2 марта 2007 года № 25 – ФЗ «О муниципальной службе в Российской Федерации»,
           - Указа Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера»,
- Указа Президента Российской Федерации от 30 мая 2005 года  №609 «Об утверждении положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»,
          - постановления Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»,
          - постановления Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»,
          - приказа ФСТЭК от 14  мая 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
          1.4.  Положение определяет права и обязанности руководителей и муниципальных служащих, работников, занимающих должности, не являющиеся должностями муниципальной службы администрации муниципального района «Город Валуйки и Валуйский район», работников вспомогательного персонала в исполнительно-распорядительных органах местного самоуправления муниципального района, порядок использования указанных данных в служебных целях, а также порядок взаимодействия по сбору, документированию, хранению и уничтожению ПДн.
 
2. Состав персональных данных
 
          2.1. Документами, содержащими ПДн, являются:
          - паспорт или иной документ, удостоверяющий личность;
          - трудовая книжка;
          - страховое свидетельство государственного пенсионного страхования;
          - свидетельство о постановке на учет в налоговый орган и присвоение ИНН;
          - документы воинского учёта;
          - документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки;
           - личная карточка работника (форма Т - 2);
           - личный листок по учету кадров;
           - медицинское заключение о состоянии здоровья;
           - документы, содержащие сведения о заработной плате, а также о переводе на другую должность;
           - распоряжения о приеме лица на работу, об увольнении, а также о переводе на другую должность;
           - другие документы, содержащие сведения составляющие ПДн. 
          2.2. Перечень ПДн, обрабатываемых в исполнительно-распорядительных органах местного самоуправления муниципального района, и подлежащие защите от несанкционированного доступа, согласовывается с кадровым подразделением и утверждается руководителем.
          2.3. В целях информационного обеспечения могут создаваться общедоступные источники ПДн (в том числе справочники, адресные книги). В общедоступные источники ПДн с письменного согласия субъекта ПДн могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн, предоставленные субъектом ПДн.
          Сведения о субъекте ПДн могут быть в любое время исключены из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.
 
3.    Основные условия безопасности при
проведении обработки персональных данных
 
          3.1. Обеспечение безопасности при проведении обработки ПДн в информационных системах ПДн исполнительно-распорядительных органов местного самоуправления муниципального района с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказа ФСТЭК от 14  мая 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.
          Оператор до начала обработки ПДн обязан уведомить уполномоченный Правительством Российской Федерации орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн.
          Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов ПДн обработку ПДн:
1) относящихся к субъектам ПДн, которых связывают с оператором трудовые отношения;
2) полученные оператором в связи с заключением договора, стороной которого является субъект ПДн, если ПДн не распространяются, а также не предоставляются третьим лицам без согласия субъекта ПДн и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПДн;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением и религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что ПДн не будут распространяться без согласия в письменной форме субъектов ПДн;
4)являющихся общедоступными ПДн;
5)включающих в себя только фамилии, имена и отчества субъектов ПДн;
6)необходимых в целях однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
7)включенных в ИСПДн, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные ИСПДн, созданные в целях защиты безопасности государства и общественного порядка;
8)обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов ПДн.
 3.2.  Обработка ПДн осуществляется:
 - после получения согласия субъекта ПДн, составленного по форме согласно приложению № 1 к настоящему Положению, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона от 27 июня 2006 года № 152 – ФЗ «О персональных данных»;
 - после направления уведомления об обработке ПДн, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона от 27 июня 2006 года № 152 – ФЗ «О персональных данных»;
 - после приятия необходимых мер по защите ПДн.
3.3. В исполнительно-распорядительных органах местного самоуправления муниципального района решением руководителя назначается ответственный за обеспечение защиты ПДн (далее специалист по обеспечению безопасности ПДн) и определяется перечень лиц, допущенных к обработке ПДн. Типовая форма  регламента специалиста по обеспечению безопасности персональных данных приведена в приложении № 3.
3.4. Лица, допущенные  к обработке ПДн, в обязательном порядке под роспись должны ознакомиться с настоящим Положением и подписать обязательство о неразглашении информации, содержащей ПДн, по форме согласно приложению № 2 к настоящему Положению.
3.5. Запрещается:
 - обрабатывать ПДн в присутствии лиц, не допущенных к их обработке;
 - осуществлять ввод ПДн под диктовку.
3.6. Не допускается обработка ПДн в ИСПДн с использованием средств автоматизации:
 - при отсутствии установленных и настроенных сертифицированных средств защиты информации;
 - при отсутствии утвержденных организационных документов о порядке эксплуатации ИСПДн.
 
4.    Сбор, обработка и хранение персональных данных
 
          4.1. Сбор ПДн муниципальных служащих, работников, занимающих должности, не являющиеся должностями муниципальной службы  администрации  муниципального района «Город Валуйки и Валуйский район», работников вспомогательного персонала в исполнительно-распорядительных органах местного самоуправления муниципального района.
          Документы, содержащие ПДн, создаются путем:
          а)  копирования оригиналов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и другие документы);
          б) внесение сведений в учетные формы (на бумажных и электронных носителях);
          в) получение оригиналов необходимых документов (трудовая книжка, личный листок по учету кадров, медицинское заключение).
          4.2.  Обработка ПДн муниципальных служащих, работников, занимающих должности, не являющиеся должностями муниципальной службы администрации муниципального района «Город Валуйки и Валуйский район», работников вспомогательного персонала в исполнительно-распорядительных органах местного самоуправления муниципального района, осуществляется исключительно в целях:
          а) обеспечения соблюдения законов и иных нормативных правовых актов;
          б) содействия в трудоустройстве;
          в) обеспечения личной безопасности;
          г) контроля  количества и качества выполняемой работы;
          д) обеспечения сохранности имущества.
          4.3. ПДн следует получать лично у муниципальных служащих, работников, занимающих должности, не являющиеся должностями муниципальной службы администрации муниципального района «Город Валуйки и Валуйский район», работников вспомогательного персонала, за исключением случаев, если получение возможно только третьей стороной.  Получение ПДн  от третьих лиц возможно только при уведомлении муниципальных служащих, работников, занимающих должности, не являющиеся должностями муниципальной службы  администрации муниципального района «Город Валуйки и Валуйский район» и работников вспомогательного персонала, об этом заранее и с их письменного согласия. В уведомлении получении ПДн у третьих лиц должна содержаться следующая информация:
          а) цели получения ПДн;
          б) предполагаемые источники и способы получения ПДн;
          в) характер подлежащих получению ПДн;
          г) последствия отказа муниципальных служащих, работников, занимающих должности, не являющиеся должностями муниципальной службы администрации муниципального района «Город Валуйки и Валуйский район» и работников вспомогательного персонала, дать письменное согласие на их получение.
          4.4.  Исполнительно-распорядительные органы местного самоуправления муниципального района не имеют права получать и обрабатывать ПДн муниципальных служащих, работников, занимающих должности, не являющиеся должностями муниципальной службы  администрации муниципального района «Город Валуйки и Валуйский район», и работников вспомогательного персонала, об их политических, религиозных и иных убеждениях и частной жизни, равно как ПДн об их членстве в общественных объединениях или профсоюзной деятельностью, за исключением случаев, предусмотренных федеральным законодательством.
          В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации исполнительно-распорядительные органы местного самоуправления муниципального района вправе получать и обрабатывать данные о частной жизни муниципальных служащих, работников, занимающих должности, не являющиеся должностями муниципальной службы администрации  муниципального района «Город Валуйки и Валуйский район» и работников  вспомогательного персонала, только с их письменного согласия.
          4.5. При принятии решений, затрагивающих интересы муниципальных служащих, работников, занимающих должности, не являющиеся должностями муниципальной службы администрации муниципального района «Город Валуйки и Валуйский район» и работников  вспомогательного персонала,  исполнительно-распорядительные органы местного самоуправления муниципального района не имеют права основываться на ПДн, полученных исключительно в результате их автоматизированной обработке без согласия муниципальных служащих, работников, занимающих должности, не являющиеся должностями муниципальной службы  муниципального района «Город Валуйки и Валуйский район» и работников  вспомогательного персонала.
          4.6. К сведениям, содержащим ПДн, как на бумажных, так и на электронных носителях информации, доступ разрешен лицам, которые непосредственно используют ПДн муниципальных служащих, работников, занимающих должности, не являющиеся должностями муниципальной службы  администрации муниципального района «Город Валуйки и Валуйский район» и работников  вспомогательного персонала, в служебных целях. Перечень должностных лиц в исполнительно-распорядительных органах местного самоуправления муниципального района, использующих ПДн в служебных целях:
           - начальник кадрового подразделения;
           - заместитель начальника кадрового подразделения;
           - специалисты кадрового подразделения;
           - начальник отдела бухгалтерского учета (главный бухгалтер);
           - заместитель главного бухгалтера отдела бухгалтерского учета;
           - специалист отдела бухгалтерского учета.
          Доступ к ПДн муниципальных служащих, работников, занимающих должности, не являющиеся должностями муниципальной службы  администрации муниципального района «Город Валуйки и Валуйский район» и работников  вспомогательного персонала, без специального разрешения имеют:
           - руководитель;
           - заместитель руководителя;
           - начальники структурных подразделений – в отношении ПДн муниципальных служащих, работников, занимающих должности, не являющиеся должностями муниципальной службы  муниципального района «Город Валуйки и Валуйский район» и работников  вспомогательного персонала, находящихся в их непосредственной подчиненности в соответствии с их должностными инструкциями;
           - начальник мобилизационного отдела.
          Кроме перечня лиц, допущенных к ПДн, в исполнительно-распорядительных органах местного самоуправления муниципального района разрабатывается разрешительная система доступа (матрица доступа) к информационным ресурсам, ИСПДн и связанным с её использованием работам, документам.
          4.7. Хранение ПДн в исполнительно-распорядительных органах местного самоуправления муниципального района:
          а) ПДн, содержащиеся на бумажных носителях, хранятся в запираемых шкафах, сейфах, установленных на рабочих местах лиц, ответственных за обработку ПДн;
          б) ПДн в электронном виде хранится на отдельных серверах, которые не имеют подключений к информационно – телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), либо на жестких дисках автоматизированных рабочих мест, к кторорым имеют доступ только лица, ответственные за обработку ПДн в исполнительно-распорядительных органах местного самоуправления муниципального района;
          4.8. ПДн, содержащиеся на бумажных носителях, сдаются в архив.
 
5.    Доступ к персональным данным
      5.1.К ПДн муниципальных служащих, работников, занимающих должности, не являющиеся должностями муниципальной службы  администрации муниципального района «Город Валуйки и Валуйский район» и работников  вспомогательного персонала имеют доступ только те, кому ПДн необходимы в связи с исполнением ими трудовых обязанностей.
      5.2. В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией руководителя  исполнительно-распорядительного органа местного самоуправления муниципального района, доступ к ПДн может быть предоставлен иному муниципальному служащему  или работнику, занимающему должность, не являющуюся должностью муниципальной службы администрации муниципального района «Город Валуйки и Валуйский район», должность которого не включена в перечень должностных лиц, уполномоченных на обработку ПДн и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих ПДн.
          5.3.  Уполномоченные лица имеют право получать только те ПДн, которые необходимы им для выполнения конкретных функций в соответствии с их должностным регламентом (инструкцией).
          5.4. Муниципальные служащие, работники, занимающие должности, не являющиеся должностями муниципальной службы администрации муниципального района «Город Валуйки и Валуйский район» и работники  вспомогательного персонала, имеют право на свободный доступ к своим ПДн, включая право на получение копии любой записи (за исключением случаев предусмотренных федеральным законодательством), содержащей их ПДн. Муниципальные служащие, работники, занимающие должности, не являющиеся должностями муниципальной службы  администрации муниципального района «Город Валуйки и Валуйский район» и работники  вспомогательного персонала, имеют право вносить  изменения в свои данные в случае обнаружения в них неточностей.
          5.5. Муниципальные служащие и работники, занимающие должности, не являющиеся должностями муниципальной службы администрации муниципального района «Город Валуйки и Валуйский район», имеющие доступ к ПДн в исполнительно-распорядительных органах местного самоуправления муниципального района в связи с исполнением трудовых обязанностей, обеспечивают хранение информации, содержащей ПДн, исключающее доступ к ним третьих лиц.
          5.6. В период отпуска, служебной командировки и иных случаях длительного отсутствия на рабочем месте муниципального служащего или работника, занимающего должность, не являющуюся должностью муниципальной службы администрации муниципального района «Город Валуйки и Валуйский район», он обязан передать документы и иные носители, содержащие ПДн лицу, на которое приказом руководителя  исполнительно-распорядительного органа местного самоуправления муниципального района будет возложено исполнение его трудовых обязанностей.
          В случае если такое лицо не назначено, то документы и иные носители, содержащие ПДн, передают другому муниципальному служащему или работнику, занимающему должность, не являющуюся должностью муниципальной службы администрации муниципального района «Город Валуйки и Валуйский район», имеющему доступ к ПДн, по указанию руководителя структурного подразделения.
          При увольнении муниципального служащего или работника, занимающего должность, не являющуюся должностью муниципальной службы  администрации муниципального района «Город Валуйки и Валуйский район», имеющего доступ к ПДн, документы и иные носители, содержащие ПДн, передаются другому муниципальному служащему или работнику, занимающему должность, не являющуюся должностью муниципальной службы администрации муниципального района «Город Валуйки и Валуйский район», имеющему доступ к ПДн, по указанию руководителя структурного подразделения.
          5.7. Процедура оформления доступа к ПДн  уполномоченного муниципального служащего или работника, занимающего должность, не являющуюся должностью муниципальной службы администрации муниципального района «Город Валуйки и Валуйский район», включает в себя:
           - ознакомление под роспись с настоящим Положением, иными нормативными актами (приказами, распоряжениями, инструкциями и т.п.), регулирующими обработку и защиту ПДн в исполнительно-распорядительных органах местного самоуправления муниципального района;
           - истребование письменного обязательства о соблюдении конфиденциальности ПДн и соблюдении правил их обработки, подготовленного по установленной форме (приложение № 2).
          5.8. Кадровое подразделение исполнительно-распорядительного органа местного самоуправления муниципального района вправе передавать ПДн муниципальных служащих, работников, занимающих должности, не являющиеся должностями муниципальной службы администрации муниципального района «Город Валуйки и Валуйский район» и работников  вспомогательного персонала, в отдел бухгалтерского учета и иные подразделения исполнительно-распорядительного органа местного самоуправления муниципального района, в случае если эти данные необходимы для исполнения уполномоченными муниципальными служащими и работниками, занимающими должности, не являющиеся должностями муниципальной службы администрации муниципального района «Город Валуйки и Валуйский район», соответствующих подразделений своих трудовых обязанностей.
          При передаче ПДн муниципальные служащие и работники, занимающие должности, не являющиеся должностями муниципальной службы администрации муниципального района «Город Валуйки и Валуйский район», отдела кадровой работы предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и истребуют  от этих лиц письменное обязательство в соответствии с пунктом 3.4 настоящего Положения.
          5.9. Передача (обмен и т.д.) ПДн между подразделениями исполнительно-распорядительных органов местного самоуправления муниципального района осуществляется только между муниципальными служащими и работниками, занимающими должности, не являющиеся должностями муниципальной службы администрации муниципального района «Город Валуйки и Валуйский район», которые имеют доступ к ПДн в рамках исполнения своих должностных инструкций.
          5.10.  Передача ПДн муниципальных служащих, работников, занимающих должности, не являющиеся должностями муниципальной службы  администрации муниципального района «Город Валуйки и Валуйский район» и работников  вспомогательного персонала третьим лицам осуществляется только с их письменного согласия, которое оформляется по установленной форме и должно включать в себя:
           - фамилию, имя, отчество, должность;
           - наименование и юридический адрес органа местного самоуправления, получающего согласие;
           - цель передачи ПДн;  
           - перечень ПДн, на передачу которых дается согласие;
           - срок, в течение которого действует согласие, а также порядок его отзыва.
          Согласие муниципальных служащих, работников, занимающих должности, не являющиеся должностями муниципальной службы администрации муниципального района «Город Валуйки и Валуйский район» и работников  вспомогательного персонала на передачу их ПДн третьим лицам не требуется  в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью; когда третьи лица оказывают услуги органам местного самоуправления на основании заключенных договоров, а также в случаях установленных Федеральным законом от 27 июня 2006 года № 152 – ФЗ «О персональных данных» и настоящим Положением.
          5.11. Не допускается передача ПДн муниципальных служащих, работников, занимающих должности, не являющиеся должностями муниципальной службы  администрации муниципального района «Город Валуйки и Валуйский район» и работников  вспомогательного персонала, в коммерческих целях без их письменного согласия.
          5.12. Муниципальные служащие и работники, занимающие должности, не являющиеся должностями муниципальной службы администрации муниципального района «Город Валуйки и Валуйский район», передающие ПДн третьим лицам, должны передавать их с обязательным составлением акта приема – передачи документов (иных материальных носителей), содержащих ПДн. Акт должен содержать следующие условия:
           - уведомление лица, получающего данные  документы, об обязанности использования полученной конфиденциальной информации лишь в целях, для которых она сообщена;
           - предупреждение об ответственности за незаконное использование данной конфиденциальной информации в соответствии с федеральным законодательством.
          Передача документов (иных материальных носителей), содержащих ПДн, осуществляется при наличии у лица, уполномоченного на их получение:
           - договора на оказание услуг органу местного самоуправления;
           - соглашения о неразглашении конфиденциальной информации либо наличия в договоре с третьим лицом пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту ПДн;
           - письма – запроса от третьего  лица, которое должно включать в себя указание на основания получения доступа к запрашиваемой информации, содержащей ПДн, её  перечень, цель использования, Ф.И.О. и должность лица, которому поручается получить данную информацию.
          Ответственность за соблюдение вышеуказанного порядка предоставления ПДн муниципальных служащих, работников, занимающих должности, не являющиеся должностями муниципальной службы администрации муниципального района «Город Валуйки и Валуйский район» и работников  вспомогательного персонала, несет ответственное лицо, а также руководитель структурного подразделения, осуществляющего передачу ПДн третьим лицам.
          5.13.  Представителю (в том числе адвокату) муниципального служащего,  работника, занимающего должность, не являющуюся должностью муниципальной службы администрации муниципального района «Город Валуйки и Валуйский район» или работника  вспомогательного персонала, ПДн передаются в порядке, установленном действующим законодательством и настоящим Положением.
          Информация передается при наличии одного из документов:
           - нотариально заверенной доверенности представителя;
           - письменного заявления муниципального служащего,  работника, занимающего должность, не являющуюся должностью муниципальной службы администрации муниципального района «Город Валуйки и Валуйский район» или работника  вспомогательного персонала, написанного в присутствии ответственного лица, допущенного к обработке ПДн в исполнительно-распорядительных органах местного самоуправления муниципального района (если заявление написано не в присутствии ответственного лица, допущенного к обработке ПДн, то оно должно быть нотариально заверено).
          Доверенности и заявления хранятся в отделе  исполнительно-распорядительных органов местного самоуправления муниципального района, где обрабатываются запрашиваемые ПДн муниципального служащего,  работника, занимающего должность, не являющуюся должностью муниципальной службы администрации муниципального района «Город Валуйки и Валуйский район» или работника  вспомогательного персонала.
          5.14. Предоставление ПДн государственным органам производится в соответствии с требованиями действующего законодательства и настоящим Положением.
          5.15. ПДн могут быть предоставлены родственникам или членам семьи муниципального служащего, работника, занимающего должность, не являющуюся должностью муниципальной службы администрации муниципального района «Город Валуйки и Валуйский район» или работника  вспомогательного персонала исполнительно-распорядительных органов местного самоуправления муниципального района, только с их письменного разрешения, за исключением случаев, когда передача ПДн без согласия допускается действующим законодательством Российской Федерации.
          5.16. Доступ к электронным базам данных, содержащим ПДн муниципальных служащих, работников, занимающих должности, не являющиеся должностями муниципальной службы администрации муниципального района «Город Валуйки и Валуйский район» и работников вспомогательного персонала,  обеспечиваются системой паролей. Пароли устанавливаются начальниками или лицом, назначенным ответственным за обеспечение безопасности ПДн в исполнительно-распорядительных органах местного самоуправления муниципального района, и сообщаются индивидуально муниципальным служащим или работникам, занимающим должности, не являющиеся должностями муниципальной службы  администрации муниципального района «Город Валуйки и Валуйский район», имеющим доступ к ПДн.
          5.17. Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений.  Содержание электронного журнала обращений проверяется не реже 1 раза в месяц соответствующими должностными лицами или ответственным, который назначается руководителем исполнительно-распорядительного органа местного самоуправления муниципального района
          5.18. Статьей 12 Федерального закона от 27 июня 2006 года № 152 – ФЗ «О персональных данных» предусмотрена трансграничная передача ПДн, которая может осуществляться на территории иностранных государств в следующих случаях:
1) наличие согласия в письменной форме субъекта персональных данных;
2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, международными договорами Российской  Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам,  также международными договорами Российской Федерации о реадмиссии;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
 
6.    Защита персональных данных в
администрации муниципального района
«Город Валуйки и Валуйский район»
 
          6.1. Защита ПДн муниципальных служащих, работников, занимающих должности, не являющиеся должностями муниципальной службы  администрации муниципального района «Город Валуйки и Валуйский район» и работников вспомогательного персонала, от неправомерного их использования или утраты обеспечивается исполнительно-распорядительными органами местного самоуправления муниципального района в порядке,  установленном федеральным законодательством.
          6.2. Общую организацию защиты ПДн муниципальных служащих, работников, занимающих должности, не являющиеся должностями муниципальной службы  муниципального района «Город Валуйки и Валуйский район» или работников вспомогательного персонала, осуществляет руководитель исполнительно-распорядительного органа местного самоуправления муниципального района.
          6.3. Начальник кадрового подразделения и/или лицо, назначенное ответственным за обеспечение безопасности информации в кадровом подразделении, организует:
           - ознакомление с настоящим Положением под роспись муниципальных служащих, работников, занимающих должности, не являющиеся должностями муниципальной службы администрации муниципального района «Город Валуйки и Валуйский район» и работников вспомогательного персонала;
           - в случае вступления иных нормативных актов (постановления, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных муниципальных служащих, работников, занимающих должности, не являющиеся должностями муниципальной службы  администрации муниципального района «Город Валуйки и Валуйский район» и работников вспомогательного персонала, также производится ознакомление под роспись;
           - истребование с муниципальных служащих, работников, занимающих должности, не являющиеся должностями муниципальной службы  администрации муниципального района «Город Валуйки и Валуйский район», письменного обязательства о соблюдении конфиденциальности ПДн в исполнительно-распорядительных органах местного самоуправления муниципального района и соблюдении правил их обработки;
           - общий контроль за соблюдением муниципальными служащими и работниками, занимающими должности, не являющиеся должностями муниципальной службы администрации муниципального района «Город Валуйки и Валуйский район», мер по защите ПДН.
          6.4. Организацию и контроль за защитой ПДн осуществляют непосредственно руководители муниципальных служащих и работников, занимающих должности, не являющиеся должностями муниципальной службы администрации муниципального района «Город Валуйки и Валуйский район», которые имеют доступ к ПДн.
          Методическое руководство по защите ПДн осуществляет лицо, ответственное за обеспечение безопасности информации.
          6.5. В целях обеспечения защиты сведений, хранящихся в электронных базах данных исполнительно-распорядительных органов местного самоуправления муниципального района, от НСД, искажения и уничтожения информации, а также от иных неправомерных действий применяются следующие основные методы и способы защиты информации:
           - реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам (матрица доступа), информационной системе и связанным с её использованием работам, документами;
            - ограничение доступа пользователей в помещения, где расположены технические средства, позволяющие осуществлять обработку ПДн, а также хранятся носители информации, постоянная проверка элементов системы на наличие следов взлома;
           - разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
           - регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
           - учет и хранение съемных носителей информации, их обращение, исключающее хищение, подмену и уничтожение;
           - резервирование технических средств, дублирование массивов и носителей информации, учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета съемных носителей информации;
           - использование средств защиты информации, прошедших процедуру оценки соответствия;
           - использование защищенных каналов связи;
           - размещение технических средств, позволяющих осуществлять обработку ПДн, в пределах охраняемой территории;
           - организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку  ПДн;
           - контроль доступа в помещения информационной системы посторонних лиц;
           - предотвращение внедрения в информационные системы вредоносных программ (программ - вирусов) и программных закладок.
          6.6. При взаимодействии ИСПДн с информационно – телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования) наряду с методами и способами, указанными в пункте 6.5. настоящего Положения, применяются следующие методы и способы защиты информации от НСД:
           - межсетевое сканирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;
           - обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
           - анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);
           - защита информации при ее передаче по каналам связи;
           - использование смарт – карт, электронных замков и других носителей информации для надежной  идентификации и аутентификации пользователей;
           - использование средств антивирусной защиты;
           - централизованное управление системой защиты персональных данных информационной системы.
          6.7. С целью получения общедоступной информации кроме методов и способов, указанных в пунктах 6.5, 6.6 настоящего Положения, применяются следующие методы и способы защиты информации;
           - фильтрация входящих (исходящих) сетевых пакетов по правилам, заданным оператором (уполномоченным лицом);
           - периодический анализ безопасности установленных межсетевых экранов на основе имитации внешних атак на информационные системы;
           - активный аудит безопасности информационной системы на предмет обнаружения в режиме реального времени несанкционированной сетевой активности;
           - анализ принимаемой по информационно – телекоммуникационным сетям международного информационного обмена (сеть связи общего пользования) информации, в том числе на наличие компьютерных вирусов.
          6.8. При удаленном доступе к информационной системе через информационно – телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) кроме методов и способов, указанных в пунктах 6.5, 6.6 настоящего Положения, применяются следующие методы и способы защиты информации:
           - проверка длительности отправителя (удаленного пользователя) и целостности передаваемых по информационно – телекоммуникационной сети международного информационного обмена (сети связи общего пользования) данных;
           - управление доступом к защищаемым персональным  данным информационной сети;
          Использование атрибутов безопасности.
          6.9. При межсетевом взаимодействии отдельных информационных систем через информационно – телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) кроме методов и способов, указанных в пунктах 6.5, 6.6 настоящего Положения, применяются следующие методы и способы защиты информации:
           - создание защищенного канала связи, обеспечивающего защиту передаваемой информации;
           - осуществление аутентификации взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных (использование цифровой электронной подписи и шифрования информации).
          6.10. При межсетевом взаимодействии отдельных информационных систем разных операторов через информационно – телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) кроме методов и способов, указанных  в пунктах 6.5, 6.6 настоящего Положения, применяются следующие методы и способы защиты информации:
           - создание защищенного канала связи, обеспечивающего защиту передаваемой информации;
            - аутентификация взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных;
           - обеспечение предотвращения возможности отрицания пользователем факта отправки персональных данных другому пользователю;
           - обеспечение предотвращения возможности отрицания пользователем факта отправки персональных данных от другого пользователя.
          6.11. Для исключения утечки персональных данных за счет побочных электромагнитных излучений и наводок в ИСПДн применяются следующие методы и способы защиты информации:
            - использование технических средств в защищенном исполнении;
           - использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
           - размещение объектов защиты информации в соответствии с предписанием на эксплуатацию;
           - размещение понижающих трансформаторных подстанций электропитания и контуров заземления технических средств в пределах охраняемой территории;
           - обеспечение развязки цепей электропитания технических средств с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
           - обеспечение электромагнитной развязки между линиями связи и другими цепями вспомогательных технических средств и систем, выходящими за пределы охраняемой территории, и информационными цепями, по которым циркулирует защищаемая информация.
          6.12. Если имеется функция воспроизведения информации акустическими средствами в ИСПДн, то используются методы и способы защиты акустической (речевой) информации. Методы и способы защиты акустической (речевой) информации заключаются в реализации организационных и технических мер для обеспечения звукоизоляции ограждающих конструкций помещений, в которых расположена ИСПДн, их систем вентиляции и кондиционирования, не позволяющей вести прослушивание акустической (речевой) информации при воспроизведении информации акустическими средствами. Величина звукоизоляции определяется оператором исходя из характеристик помещения, его расположения и особенно обработки ПДн в информационной системе.
          6.13. Размещение устройств вывода информации средств вычислительной техники, информационно – вычислительных комплексов, технический средств обработки графической, видео – и буквенно – цифровой информации, входящих в состав информационной системы, в помещениях, в которых они установлены, осуществляется таким образом, чтобы была исключена возможность просмотра посторонними лицами текстовой и графической видовой информации, содержащей персональные данные.
          6.14. Для защиты персональных данных в ИСПДн и выполнения пунктов 6.5 – 6.13 настоящего Положения исполнительно-распорядительными органами местного самоуправления муниципального района привлекаются для выполнения специальных, аналитических и экспертных работ по защите информации специализированные  организации – лиценциаты ФСТЭК и ФСБ России.
          Специализированные организации, привлекаемые органами власти для оказания услуг по защите ПДн, должны иметь лицензии ФСТЭК и (или) ФСБ России на деятельность по защите информации (проведение контроля отсутствия недекларированных возможностей), аттестации технических средств, установки необходимых средств защиты информации.
          6.15. При обработке ПДн в информационной системе пользователями должно быть обеспечено:
          а) использование предназначенных для этого разделов (каталогов), носителей информации, встроенных в технические средства, или съемных маркированных носителей;
          б) недопущение физического воздействия на технические средства  автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
          в) постоянное использование антивирусного обеспечения для обнаружения зараженных файлов и незамедлительное восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
          г) недопущение несанкционированного выноса из помещений, установки, подключения оборудования, а также удаления, инсталляции или настройки программного обеспечения.
          6.16. При обработке ПДн в информационной системе руководителем органа местного самоуправления и лицами, ответственными за обеспечение безопасности в структурных подразделениях органов местного самоуправления, должны обеспечиваться:
          а) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилами работы с ними;
          б) учет лиц, допущенных к работе с ПДн в информационной системе, прав и паролей доступа;
          в) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;
          г) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
          д) описание системы защиты ПДн.
          6.17. Каждый съемный носитель, с записанными на нем ПДн, должен иметь маркировку, на которой указывается его уникальный учетный номер. Учет и выдачу съемных носителей ПДн осуществляют ответственные за обеспечение безопасности ПДн или делопроизводитель конфиденциальной информации в журнале учета.
          6.18. В случае выхода из строя техники, на которой проводилась обработка ПДн, вынос за пределы территории исполнительно-распорядительных органов местного самоуправления муниципального района с целью ремонта, замены и т.п. без согласования с руководителем или ответственным за обеспечение безопасности ПДн в подразделении исполнительно-распорядительных органов местного самоуправления муниципального района запрещается.
          6.19. Съемные носители ПДн, пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению. Уничтожение съемных носителей с утвержденной информацией осуществляется уполномоченной комиссией. По результатам уничтожения носителей составляется акт, при необходимости уничтожения информации с носителей ПДн также составляется акт.
 
7. Ответственность за разглашение конфиденциальной
информации, связанной с персональными данными
 
          7.1. Права, обязанности, действия муниципальных служащих и работников, занимающих должности, не являющиеся должностями муниципальной службы администрации муниципального района «Город Валуйки и Валуйский район», в исполнительно-распорядительных органах местного самоуправления муниципального района, в трудовые обязанности которых входит обработка ПДн работников, занимающих должности, не являющиеся должностями муниципальной службы администрации муниципального района «Город Валуйки и Валуйский район», работников вспомогательного персонала, определяются их должностными инструкциями.
          7.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, несут ответственность в порядке, установленном законодательством. 
  
Голосования отсутствуют