Для авторизации на текущем портале в Вашем профиле ЕСИА должно быть заполнено поле "Электронная почта"

Республиканские порталы Карта сайта Вход

Муниципальный район Баймакский район Республики Башкортостан

Об утверждении Положения об организации и обеспечении защиты персональных данных в Администрации

19 ноября 2018
Тип документа: Распоряжение
Уровень: Муниципальный
Скачать (загружено 4 раза)

В соответствии с Федеральным законом  от 27.07.2006 № 152-ФЗ «О персональных данных»,  Постановлением Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами операторами, являющимися государственными или муниципальными органами, Указом Президента  Республики Башкортостан от 21.09.2012 № УП-365 «Об утверждении Основ организации защиты информации в Республике Башкортостан»

 

                                            РАСПОРЯЖАЮСЬ:

 

 

1. Утвердить Положение об организации и обеспечении защиты персональных данных план внутренних в Администрации муниципального района Баймакский район. (Приложение).

 

 

 

 

 

 

 

          Глава Администрации                                                                    И.Х.Ситдиков

 

 

 

 

 

 

 

 

 

Приложение

                                                                                             к распоряжению Администрации

                                                                              муниципального района

                                                                                               Баймакский район РБ

                                                                                                 ____ от _________2014 года.

 

 

ПОЛОЖЕНИЕ

об организации и обеспечении защиты персональных данных в Администрации  муниципального района Баймакский район Республики Башкортостан

 

Назначение и область применения

Положение об организации и обеспечении защиты персональных данных предназначено для организации и проведения мероприятий по обеспечению защиты персональных данных  в Администрации  муниципального района Баймакский район Республики Башкортостан (далее – Администрация) в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Положение определяет порядок организации работ, требования, правила и рекомендации по обеспечению защиты персональных данных в Администрации.

Положение является локальным правовым актом Администрации. Требования Положения обязательны для выполнения всеми работниками, которые допущены к обработке персональных данных.

 

Термины и сокращения

 

АРМ

Автоматизированное рабочее место

БД

База данных

ВП

Вредоносная программа

ИС

Информационная система

ИСПДн

Информационная система персональных данных

ЛВС

Локальная вычислительная сеть

МЭ

Межсетевой экран

НСД

Несанкционированный доступ

ПДн

Персональные данные

ПО

Программное обеспечение

ПЭВМ

Персональная электронно-вычислительная машина

СВТ

Средство вычислительной техники

СЗИ

Средство защиты информации

СЗПДн

Система (подсистема) защиты персональных данных

ФЗ

Федеральный закон

 

Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.

Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.

Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.

Доступ к информации – возможность получения информации и ее использования.

Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с Перечнем присвоенных идентификаторов.

Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Контролируемая зона – пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.

 Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Программное (программно-математическое) воздействие – несанкционированное воздействие на ресурсы информационной системы, осуществляемое с использованием вредоносных программ.

Ресурс информационной системы – именованный элемент системного прикладного или аппаратного обеспечения функционирования информационной системы.

Средство вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Субъект доступа (субъект) – лицо или процесс, действия которого регламентируются правилами разграничения доступа.

Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Целостность информации – способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

                                         Общие положения

Необходимость проведения мероприятий по защите персональных данных в Администрации определяется:

-        Федеральным Законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;

-        Постановлением Правительства Российской Федерации  от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

-        Постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

-        Постановлением Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Целью защиты ПДн является предотвращение возможной утечки информации и (или) несанкционированного и непреднамеренного изменения или разрушения ПДн.

Выполнение мероприятий по защите ПДн позволяет обеспечить защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну.

Защита ПДн достигается выполнением комплекса организационных мероприятий и применением средств защиты информации от несанкционированного доступа, программно-математических воздействий с целью нарушения целостности (модификации, уничтожения) и доступности информации в процессе ее обработки, передачи и хранения, а также работоспособности технических средств.

Все работники, обрабатывающие ПДн и обеспечивающие защиту ПДн, должны быть ознакомлены с настоящим Положением под роспись.

Действие Положения не распространяется на устанавливаемый государственными органами режим защиты сведений, составляющих государственную тайну Российской Федерации.

Нормативные ссылки

Настоящее Положение разработано в соответствии с правовыми актами РФ:

-        Федеральным Законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».

-        Федеральным Законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

-        Постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

-        Постановлением Правительства Российской Федерации от 15.09.2008г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

-        Приказ ФСТЭК России, ФСБ России и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

-        «Базовой моделью угроз безопасности ПДн при их обработке в ИСПДн», утвержденной заместителем директора ФСТЭК России 15.02.2008 г.

-        «Методикой определения актуальных угроз безопасности ПДн при их обработке в ИСПДн», утвержденной заместителем директора ФСТЭК России 15.02.2008 г.

-        Приказом ФСТЭК России от 5.02.2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».

-        «Методическими рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденными руководством 8 Центра ФСБ России 21.02.2008 г.

-        «Типовыми требованиями по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденными руководством 8 Центра ФСБ России 21.02.2008 г.

                    Персональные данные, подлежащие защите

Персональные данные, подлежащие защите, утверждаются распоряжением Администрации в виде «Перечня персональных данных, обрабатываемых в Администрации муниципального района Баймакский район Республики Башкортостан.

Изменение, дополнение перечня персональных данных, обрабатываемых в Администрации, осуществляются на основании информации, предоставляемой руководителями подразделений, сотрудники которых обрабатывают ПДн при выполнении должностных обязанностей.

Персональные данные, подлежащие защите в Администрации, обрабатываются без использования средств автоматизации, а также в информационных системах персональных данных (ИСПДн).

          Организационная система обеспечения безопасности ПДн

В состав организационной системы обеспечения безопасности ПДн Администрации входят:

-        Глава Администрации;

-        Управляющий делами Администрации;

-        руководители подразделений, сотрудникам которых предоставлен доступ к ПДн;

-        сотрудники, которым предоставлен доступ к ПДн (пользователи ИСПДн).

Общее руководство организацией работ по защите ПДн осуществляет Глава Администрации.

Руководство и контроль за обеспечением безопасности ПДн при обработке в ИСПДн, организацию работ по разработке документации по защите ПДн, разработке СЗПДн, по проведению организационных и технических мероприятий по защите ПДн осуществляет ответственный за организацию обработки персональных данных.

Из состава сотрудников Администрации назначается администратор безопасности. Права и обязанности работника, ответственного за защиту информации (администратора безопасности), включаются в его должностные обязанности.

Сотрудники, которым предоставлен доступ к ПДн в рамках обработки без использования средств автоматизации, непосредственно реализуют организационные меры по обеспечению сохранности носителей ПДн и выполнения процедур по соблюдению требований законодательства.

Пользователи ИСПДн непосредственно реализуют требования безопасности информации, принятые для ИСПДн, исполняют установленные режимы защиты ПДн, обеспечивают строгое исполнение предписанных правил безопасности информации.

Защита ПДн при обработке без использования средств автоматизации

Требования к обеспечению безопасности персональных данных при их обработке без использования средств автоматизации установлены Постановлением Правительства РФ от 15.09.2008г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Данный вид обработки ПДн (а также состав ПДн и перечень лиц, допущенных к обработке) указывается в Перечне обрабатываемых персональных данных и Перечне подразделений и должностных лиц, допущенных к работе с персональными данными.

Защита ПДн, обрабатываемых без использования средств автоматизации, обеспечивается выполнением следующих мероприятий:

-        определением мест хранения персональных;

-        обеспечением раздельного хранения персональных данных;

-        соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним.

Носители ПДн подлежат уничтожению по достижении целей обработки и/или в случае утраты необходимости в их хранении. Уничтожение носителей осуществляется подразделением, в котором осуществлялось хранение носителя с участием сотрудников подразделения, из которого поступил носитель.

В случаях истечения срока хранения (архивного хранения) носителей ПДн осуществляется уничтожение и/или обезличивание ПДн при наличии такой возможности в порядке, предусмотренном Правилами обработки, хранения и уничтожения персональных данных в Администрации.