ПОЛОЖЕНИЕ Об организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных и при обработке без средств автоматизации в Местной Администрации муниципального образования муниципальный округ Морские ворота

УТВЕРЖДЕНО Распоряжением Главы Местной Администрации муниципального образования муниципальный округ Морские ворота № 32-ОД от 28.11.2012г.

ПОЛОЖЕНИЕ
Об организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных и при обработке без средств автоматизации

в Местной Администрации муниципального образования

муниципальный округ Морские ворота

Санкт-Петербург

2012

1. Термины и определения

1.1. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

1.2. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

1.3. Информационная система персональных данных (далее – ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

1.4. Обработка персональных данных без использования средств автоматизации (неавтоматизированная) – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

1.5. Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных.

1.6. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

1.7. Уполномоченное оператором лицо – лицо, которому на основании договора оператор поручает обработку персональных данных.

2. Общие положения

2.1. Настоящее положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в ИСПДн, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием и без использования средств автоматизации, в Местной Администрации муниципального образования муниципальный округ Морские ворота (далее – Местная Администрация).

2.2. Настоящее Положение разработано в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

2.3. Обработка персональных данных в Местной Администрации осуществляется на основе принципов:

– законности целей и способов обработки персональных данных;

– соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

– соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

– достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

– недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

3. Порядок определения защищаемой информации

3.1. Местная Администрация создает в пределах своих полномочий, установленных в соответствии с федеральными законами, муниципальные ИСПДн, в целях обеспечения реализации прав объектов персональных данных.

3.2. В Местной Администрации на основании «Перечня сведений конфиденциального характера», утвержденного Указом Президента Российской Федерации 6 марта 1997 года № 188, определяется и утверждается перечень сведений ограниченного доступа, не относящихся к государственной тайне (далее – конфиденциальной информации) и перечень информационных систем персональных данных. Определяется и утверждается список структурных подразделений и секторов Местной Администрации, в которых осуществляется обработка конфиденциальной информации и персональных данных.

3.3. На стадии проектирования каждой ИСПДн определяются цели и содержание обработки персональных данных, утверждается перечень обрабатываемых персональных данных.

4. Основные условия проведения обработки персональных данных

4.1. Обработка персональных данных осуществляется:

– после получения согласия субъекта персональных данных, составленного по форме согласно приложению 1 к настоящему Положению или сформированного в информационной системе персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

– после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Санкт-Петербургу и Ленинградской области за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

4.2 Оператором ИСПДн, организующим и осуществляющим обработку персональных данных, а также определяющим цели и содержание обработки персональных данных является Местная Администрация.

4.3. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

4.4. Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в ИСПДн оператором назначается должностное лицо, ответственное за обеспечение безопасности персональных данных.

4.5. Местная Администрация, в ведении которой находится ИСПДн, определяет служащих, допущенных к обработке персональных данных.

4.6. Муниципальные служащие, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашении информации, содержащей персональные данные, по форме согласно приложения 2 к настоящему Положению. Должностные инструкции муниципальных служащих, допущенных к обработке персональных данных, должны содержать сведения о допуске к персональным данным и основания, на котором данный допуск осуществлен (наименование, дата и номер соответствующего федерального закона).

4.7. Оператором и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных. Оператор или иное получившее доступ к персональным данным лицо обязано не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

4.8. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

5. Правила обработки и защиты персональных данных в информационных системах с использованием и без использования средств автоматизации

5.1. Обработка персональных данных в ИСПДн с использованием средств автоматизации осуществляется в соответствии с требованиями «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного постановлением Правительства Российской Федерации от 17.11.2007 № 781, нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.

5.2. Обработка персональных данных без использования средств автоматизации (в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации) осуществляется в соответствии с «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденным Постановлением Правительства Российской Федерации 15.09.2008 № 687.

5.3. Оператором осуществляется классификация информационных систем персональных данных в соответствии с Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 “Об утверждении Порядка проведения классификации информационных систем персональных данных” в зависимости от категории обрабатываемых данных и их количества.

5.4. Мероприятия по обеспечению безопасности персональных данных на стадиях проектирования и ввода в эксплуатацию объектов информатизации проводятся в соответствии с «Основными мероприятиями по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в ИСПДн», утвержденными ФСТЭК Росси от 15.02.2008.

5.5. На стадии ввода в эксплуатацию ИСПДн проводится ее оценка соответствия требованиям безопасности информации:

– для ИСПДн 1 и 2 классов – обязательная сертификация (аттестация) требованиям безопасности информации;

– для ИСПДн 3 класса декларирование соответствия или обязательная сертификация (аттестация) по требованиям безопасности информации (по решению оператора);

– для ИСПДн 4 класса оценка соответствия проводится по решению оператора.

5.6. Не допускается обработка персональных данных в ИСПДн с использованием средств автоматизации при отсутствии:

– утвержденных организационно-технических документов о порядке эксплуатации информационных систем персональных данных, включающих акт классификации ИСПДн, инструкции пользователя, администратора по организации антивирусной защиты, парольной защиты автоматизированных систем, и других нормативных и методических документов;

– настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, резервного копирования информации и других программных и технических средств в соответствии с требованиями безопасности информации;

– аттестата (декларации) о соответствии требованиям безопасности информации.

6. Требования к обработке и защите персональных данных без использования средств автоматизации

6.1 Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных были:

– определены места хранения персональных данных (материальных носителей) и установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;

– обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;

– соблюдены условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

6.2. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовые формы), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, – при необходимости получения письменного согласия на обработку персональных данных;

6.3. При использовании внешних электронных носителей информации с персональными данными, к ним предъявляются следующие требования:

а) электронные носители информации, содержащие персональные данные, учитываются в журнале учета, выдачи и уничтожения машинных носителей данных, предназначенных для обработки и хранения информации ограниченного доступа, не относящейся к государственной тайне, персональных данных, в Местной Администрации;

б) к каждому электронному носителю оформляется опись файлов, содержащихся на нем, с указанием цели обработки и категории персональных данных.

6.4. Все документы, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы условия, обеспечивающие их сохранность.

7. Порядок привлечения специализированных сторонних организаций к разработке ИСПДн и средств защиты информации Местной Администрации

7.1. Порядок привлечения специализированных сторонних организаций к разработке и эксплуатации новых ИСПДн, их задачи и функции на различных стадиях создания и эксплуатации ИСПДн определяются Главой Местной Администрации, в чем ведении находится создаваемая ИСПДн, исходя из особенностей автоматизированных систем.

7.2. Разработка систем защиты персональных данных в ИСПДн Местной Администрации, а также контроль за эксплуатацией ИСПДн осуществляется уполномоченным специалистом. При необходимости привлекаются специалисты по технической защите информации организаций, имеющих лицензию на осуществлении деятельности по технической защите конфиденциальной информации в соответствии с Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 15 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации».

7.3. Для проведения мероприятий по обеспечению безопасности персональных данных для ИСПДн первого и второго класса и распределенных систем третьего класса специализированные сторонние организации должны иметь лицензии ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации.

7.4. Без наличия соответствующих лицензий проведение мероприятий по защите персональных данных возможно только для нераспределенных информационных систем третьего класса, а также для информационных систем четвертого класса.

8. Ответственность должностных лиц

Муниципальные служащие, допущенные к персональным данным, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.

Приложение 1
к Положению «Об организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в Местной Администрации»

СОГЛАСИЕ
на обработку персональных данных

Я, ________________________________________________ (паспорт _____________ выдан ______________________________________________________________________), в соответствии с требованиями статьи 9 Федерального закона от 27.07.06 «О персональных данных» № 152-ФЗ подтверждаю свое согласие на обработку Местной Администрацией муниципального образования муниципальный округ Морские ворота (далее – Оператор) моих персональных данных в связи с ___________________________

_____________________________________________________________________________.

К персональным данным на обработку которых дается согласие, относятся:

– фамилия, имя, отчество;

– год, месяц, дата и место рождения;

– адрес;

– семейное, социальное положение;

– образование;

– профессия;

– группа инвалидности;

– паспортные данные;

– сведения о доходах и имуществе;

– сведения, содержащие информацию о номере домашнего телефона, мобильного телефона, личной электронной почте.

Предоставляю Оператору право осуществлять все действия (операции) с моими персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение. Оператор вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных (документов), и передавать их уполномоченным органам.

Настоящее согласие действует бессрочно. Я подтверждаю, что мне известно о праве отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Оператора.

Об ответственности за достоверность представленных сведений предупрежден (а).

Подтверждаю, что ознакомлен с положениями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», права и обязанности в области защиты персональных данных мне разъяснены.

Подпись: Дата заполнения: «_____» __________ 20____

Приложение 2
к Положению «Об организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в Местной Администрации»

ОБЯЗАТЕЛЬСТВО
о неразглашении информации, содержащей персональные данные

Я,_____________________________________________________________________ ,

(Ф.И.О.)

 исполняющий (ая) должностные обязанности по замещаемой должности

_______________________________________________________________________

______________________________________________________________________ ,

(должность, наименование структурного подразделения)

предупрежден (а) о том, что на период исполнения должностных обязанностей в соответствии с должностной инструкцией мне будет предоставлен допуск к информации, содержащей персональные данные. Настоящим добровольно принимаю на себя обязательства:

1. Не передавать и не разглашать третьим лицам информацию, содержащую персональные данные, которая мне доверена (будет доверена) или станет известной в связи с исполнением должностных обязанностей.

2. В случае попытки третьих лиц получить от меня информацию, содержащую персональные данные, сообщать непосредственному руководителю.

3. Не использовать информацию, содержащую персональные данные, с целью получения выгоды.

4. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты персональных данных.

5. После прекращения права на допуск к информации, содержащей персональные данные, не разглашать и не передавать третьим лицам известную мне информацию, содержащую персональные данные.

Я предупрежден (а) о том, что в случае нарушения данного обязательства буду привлечен (а) к ответственности в соответствии с законодательством Российской Федерации.

 

  

_____________________________                                   ____________________

                          (фамилия, инициалы)                                                                                                                    (подпись)

  

«_____»_________________ __________г.

ЛИСТ ОЗНАКОМЛЕНИЙ

с Положением по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в Местной Администрации

№ п/п	Ф.И.О.	Должность	Дата	Подпись