Приказ Министерства по управлению имуществом и земельным отношениям Пермского края от 01.09.2014 N СЭД-31-02-2-02-792 "Об утверждении Политики Министерства по управлению имуществом и земельным отношениям Пермского края в отношении обработки и защиты персональных данных"
МИНИСТЕРСТВО ПО УПРАВЛЕНИЮ ИМУЩЕСТВОМ
И ЗЕМЕЛЬНЫМ ОТНОШЕНИЯМ ПЕРМСКОГО КРАЯ
ПРИКАЗ
от 1 сентября 2014 г. № СЭД-31-02-2-02-792
ОБ УТВЕРЖДЕНИИ ПОЛИТИКИ МИНИСТЕРСТВА ПО УПРАВЛЕНИЮ
ИМУЩЕСТВОМ И ЗЕМЕЛЬНЫМ ОТНОШЕНИЯМ ПЕРМСКОГО КРАЯ В ОТНОШЕНИИ
ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
В целях исполнения Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных", Постановления Правительства Российской Федерации от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" приказываю:
1. Утвердить прилагаемую Политику Министерства по управлению имуществом и земельным отношениям Пермского края в отношении обработки и защиты персональных данных.
2. Начальнику управления финансово-документационного обеспечения и кадров, главному бухгалтеру Е.М.Петуховой Министерства по управлению имуществом и земельным отношениям Пермского края (далее - Министерство) обеспечить опубликование настоящего Приказа в Бюллетене законов Пермского края, правовых актов губернатора Пермского края, Правительства Пермского края, размещение на официальном сайте Министерства и направление настоящего Приказа в органы и структурные подразделения согласно Приказу Министерства от 21 мая 2013 г. № СЭД-31-02-2-02-440.
3. Контроль за исполнением настоящего Приказа оставляю за собой.
Министр
А.В.ШАГАП
Утверждена
Приказом
Министерства по управлению
имуществом и земельным
отношениям Пермского края
от 01.09.2014 № СЭД-31-02-2-02-792
ПОЛИТИКА
МИНИСТЕРСТВА ПО УПРАВЛЕНИЮ ИМУЩЕСТВОМ И ЗЕМЕЛЬНЫМ ОТНОШЕНИЯМ
ПЕРМСКОГО КРАЯ В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ
ДАННЫХ
1. Общие положения
Настоящая Политика принята в целях сохранения личной тайны и защиты персональных данных (далее - ПДн), обрабатываемых в Министерстве по управлению имуществом и земельным отношениям Пермского края (далее - Министерство).
Политика определяет права и обязанности руководителей и сотрудников Министерства, порядок использования указанных данных в служебных целях, а также порядок взаимодействия по поводу сбора, документирования, хранения и уничтожения ПДн.
Положения Политики распространяются на отношения по обработке и защите ПДн, полученных Министерством как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПДн, полученных до ее утверждения.
Министр по управлению имуществом и земельным отношениям Пермского края (далее - Министр) определяет лиц из числа сотрудников Министерства, уполномоченных на обработку ПДн, обеспечивающих обработку ПДн в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных", других нормативных правовых актов РФ и несущих ответственность в соответствии с законодательством РФ за нарушение режима защиты этих ПДн.
Если в отношениях с Министерством участвуют наследники (правопреемники) и (или) представители субъектов ПДн, то Министерство становится оператором ПДн лиц, представляющих указанных субъектов. Положения Политики и другие внутренние регулятивные документы Министерства распространяются на случаи обработки и защиты ПДн наследников (правопреемников) и (или) представителей субъектов ПДн, даже если эти лица во внутренних регулятивных документах прямо не упоминаются, но фактически участвуют в правоотношениях с Министерством.
1.1. Основные термины и определения
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор - государственный орган (Министерство), самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система - информационная система, содержащая персональные данные государственных гражданских служащих Министерства.
1.2. Основания обработки персональных данных в Министерстве
Обработка ПДн в Министерстве осуществляется в связи с выполнением законодательно возложенных на Министерство полномочий и функций, определяемых Положением о Министерстве, утвержденным Постановлением Правительства Пермского края от 15 декабря 2006 года № 88-п.
Кроме того, в Министерстве осуществляется обработка ПДн, связанных с поступлением на государственную гражданскую службу Пермского края и ее прохождением, реализацией трудовых отношений, формированием кадрового резерва на государственную гражданскую службу Пермского края в Министерстве.
1.3. Документы, которыми руководствуется Министерство
при работе с персональными данными
Министерство при работе с ПДн руководствуется следующими документами:
- Конституция Российской Федерации от 12.12.1993;
- Федеральный закон № 152-ФЗ от 27.07.2006 "О персональных данных";
- Федеральный закон № 160-ФЗ от 19.12.2005 "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных";
- Федеральный закон № 149-ФЗ от 27.07.2006 "Об информации, информационных технологиях и о защите информации";
- Федеральный закон № 63-ФЗ от 06.04.2011 "Об электронной подписи";
- Трудовой кодекс Российской Федерации;
- Уголовный кодекс Российской Федерации;
- Кодекс Российской Федерации об административных правонарушениях;
- Указ Президента Российской Федерации № 188 от 06.03.1997 "Об утверждении Перечня сведений конфиденциального характера";
- Указ Президента Российской Федерации № 351 от 17.03.2008 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена";
- распоряжение Президента Российской Федерации № 366-рп от 10.07.2001 "О подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных";
- Постановление Правительства Российской Федерации № 1119 от 01.11.2012 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
- Постановление Правительства РФ № 211 от 21.03.2012 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами";
- Приказ ФСТЭК России от 18 февраля 2013 г. № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные руководством 8 Центра ФСБ России 21.02.2008 № 149/6/6-622;
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная ФСТЭК России от 15.02.2008;
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная ФСТЭК России от 12.02.2008.
1.4. Принципы обработки персональных данных
Обработка ПДн должна осуществляться на законной и справедливой основе.
Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
Обработке подлежат только ПДн, которые отвечают целям их обработки.
Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Министерство принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению или обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
1.5. Круг субъектов, персональные данные которых подлежат
обработке
Субъектами ПДн являются:
физические лица - получатели государственных услуг, предоставляемых Министерством;
лица, поступающие на государственную гражданскую службу Пермского края и ее проходящие в Министерстве.
1.6. Источники получения персональных данных
Источниками ПДн являются субъекты ПДн, а также их законные представители.
ПДн могут быть получены Министерством в электронном виде или в бумажном виде. При передаче своих ПДн в электронном виде субъект ПДн дает свое согласие на их обработку, соглашаясь с правилами пользования информационным ресурсом Министерства.
1.7. Состав, порядок и цели обработки персональных данных
Состав, порядок и цели обработки ПДн в Министерстве в отношении:
физических лиц - получателей государственных услуг, предоставляемых Министерством, определены в Административных регламентах по оказанию государственных услуг Министерством;
лиц, поступающих на государственную гражданскую службу Пермского края и ее проходящих в Министерстве, установлены положением об обработке и защите персональных данных в Министерстве, утверждаемым приказом Министерства.
Запрещено обрабатывать дополнительные ПДн.
1.8. Способы обработки персональных данных
Обработка ПДн в Министерстве осуществляется как с применением информационных технологий и технических средств в информационных системах (далее - ИС), так и без средств автоматизации. Под техническими средствами, позволяющими осуществлять обработку ПДн, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн, программные средства (операционные системы, системы управления базами данных и прочее), средства защиты информации, применяемые в информационных системах.
1.9. Носители персональных данных
Носителями ПДн являются:
- электронные носители - магнитные и оптические (CD и DVD) накопители, съемные жесткие диски и флеш-накопители, применяемые для получения информации;
- бумажные носители информации о ПДн.
2. Порядок организации делопроизводства документов,
содержащих персональные данные
Документы, содержащие ПДн, относятся к защищаемой информации и требуют организации отдельного делопроизводства и хранения.
ПДн при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн (далее - материальные носители).
При фиксации ПДн на материальных носителях не допускается фиксация на одном материальном носителе ПДн, цели обработки которых заведомо несовместимы.
Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн должен использоваться отдельный материальный носитель.
При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн, должны быть приняты меры по обеспечению раздельной обработки ПДн, в частности:
а) при необходимости использования или распространения определенных ПДн отдельно от находящихся на том же материальном носителе других ПДн осуществляется копирование ПДн, подлежащих распространению или использованию, способом, исключающим одновременное копирование ПДн, не подлежащих распространению и использованию, и используется (распространяется) копия ПДн;
б) при необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию.
Уничтожение или обезличивание части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
Уничтожение ПДн на материальном носителе производится комиссией, созданной приказом Министерства, состоящей из сотрудников Министерства. При этом заполняется акт об уничтожении материальных носителей, содержащих ПДн, приведенный в приложении 1 к настоящей Политике.
Уточнение ПДн при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными ПДн.
3. Требования к типовым формам документов
При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее - типовая форма), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПДн;
б) типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку ПДн;
в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, указанных в типовой форме, имел возможность ознакомиться со своими ПДн, содержащимися в форме, не нарушая прав и законных интересов иных субъектов ПДн;
г) типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо несовместимы.
4. Меры по обеспечению безопасности персональных данных
при их обработке, осуществляемой без использования средств
автоматизации
Обработка ПДн, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.
Необходимо обеспечивать раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях.
При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ.
5. Требования к сотрудникам Министерства
Приказом Министерства назначается сотрудник Министерства, ответственный за обеспечение безопасности ПДн, при их обработке в ИС. В должностном регламенте ответственного за обеспечение безопасности ПДн должна быть отражена обязанность по обеспечению конфиденциальности ПДн и их безопасности при их обработке в ИС.
Для осуществления мероприятий по обработке ПДн в ИС назначается администратор безопасности, ответственный за обеспечение безопасности ПДн в процессе их обработки и передачи по каналам связи. Функции администратора безопасности для осуществления мероприятий по обработке ПДн в ИС могут выполняться как сотрудником Министерства, назначенным приказом Министерства, так и с привлечением сторонней организации по государственному контракту на условиях аутсорсинга.
Приказом Министерства утверждается перечень сотрудников Министерства, которым необходим доступ к ПДн, обрабатываемых в ИС, для выполнения своих должностных обязанностей.
При работе с ПДн в ИС лица, допущенные к обработке этих данных в процессе выполнения служебных обязанностей, должны обеспечивать:
а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
б) своевременное обнаружение фактов несанкционированного доступа к ПДн;
в) недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование и целостность данных;
г) возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
д) постоянный контроль за обеспечением уровня защищенности ПДн.
Требования к должностным лицам, работающим с ПДн в Министерстве, включаются в их должностные регламенты.
6. Порядок взаимодействия с субъектами персональных данных
Субъект ПДн имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора ПДн, относящихся к соответствующему субъекту ПДн, а также на ознакомление с такими ПДн. Субъект ПДн вправе требовать от оператора уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Сведения о наличии ПДн должны предоставляться субъекту ПДн оператором в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн.
Доступ к своим ПДн предоставляется субъекту ПДн или его законному представителю оператором при обращении либо при получении запроса субъекта ПДн или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта ПДн или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
1) подтверждение факта обработки ПДн оператором;
2) правовые основания и цели обработки ПДн;
3) цели и применяемые оператором способы обработки ПДн;
4) наименование и место нахождения оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;
5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки ПДн, в том числе сроки их хранения;
7) порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом № 152-ФЗ от 27.07.2006 "О персональных данных";
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом № 152-ФЗ от 27.07.2006 "О персональных данных".
Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе если:
1) обработка ПДн, включая ПДн, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка ПДн осуществляется органами, осуществившими задержание субъекта ПДн по подозрению в совершении преступления, либо предъявившими субъекту ПДн обвинение по уголовному делу, либо применившими к субъекту ПДн меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими ПДн;
3) обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
4) доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц;
5) обработка ПДн осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его ПДн только при наличии согласия в письменной форме субъекта ПДн или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта ПДн.
Оператор обязан разъяснить субъекту ПДн порядок принятия решения на основании исключительно автоматизированной обработки его ПДн и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом ПДн своих прав и законных интересов.
Оператор обязан разъяснить цели обработки ПДн субъекту ПДн. Оператор обязан рассмотреть возражение против автоматизированной обработки в течение тридцати дней со дня его получения и уведомить субъекта ПДн о результатах рассмотрения такого возражения.
Если субъект ПДн считает, что оператор осуществляет обработку его ПДн с нарушением требований Федерального закона № 152-ФЗ от 27.07.2006 "О персональных данных" или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.
Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
7. Реализация Политики
Министерство принимает необходимые и достаточные меры для защиты обрабатываемых ПДн от неправомерного или случайного доступа к ним, от уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ними со стороны третьих лиц.
Ответственность за организацию обработки ПДн в Министерстве несет должностное лицо Министерства, назначаемое приказом Министерства.
Ответственный за организацию обработки ПДн в Министерстве, в частности, обязан:
1) осуществлять внутренний контроль за соблюдением в Министерстве требований нормативных правовых актов и внутренних регулятивных документов Министерства в области обработки и защиты ПДн;
2) доводить до сведения должностных лиц Министерства положения нормативных правовых актов и внутренних регулятивных документов Министерства в области обработки и защиты ПДн;
3) организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
При обработке ПДн без использования средств автоматизации Министерство в соответствии с положениями нормативных правовых актов в области обработки и защиты ПДн реализует комплекс организационных и технических мер, обеспечивающих:
1) обособление ПДн от информации, не содержащей ПДн;
2) раздельную обработку и хранение каждой категории ПДн (фиксация на отдельных материальных носителях ПДн, цели обработки которых заведомо несовместимы);
3) соответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн, установленным требованиям;
4) соблюдение установленных требований при ведении журналов (реестров, книг), содержащих ПДн, необходимые для однократного пропуска субъекта ПДн в помещения, занимаемые Министерством, или в иных аналогичных целях;
5) сохранность материальных носителей ПДн;
6) условия хранения, исключающие несанкционированный доступ к ПДн, а также смешение ПДн (материальных носителей), обработка которых осуществляется в различных целях;
7) надлежащее уточнение, уничтожение или обезличивание ПДн.
В соответствии с требованиями нормативных правовых актов в области обработки и защиты ПДн, обработки ПДн с использованием средств автоматизации в Министерстве создаются ИС.
ИС проходят классификацию и аттестацию в соответствии с требованиями нормативных правовых актов в области обеспечения безопасности ПДн.
Для ИС формируется модель угроз безопасности ПДн и на ее основе проводятся мероприятия по обеспечению безопасности информации в соответствии с требованиями, предъявляемыми к установленному классу ИС.
Пересмотр моделей угроз для ИС осуществляется:
а) в плановом порядке для существующих ИС - при изменении условий использования ИС;
б) в случае существенных изменений в инфраструктуре или порядке обработки ПДн в ИС - в течение трех месяцев с даты фиксации изменений;
в) в случае создания новой ИС (выделения части из существующей ИС) - в течение двух месяцев с даты создания (выделения) ИС.
Обработка ПДн в Министерстве с использованием средств автоматизации ведется только в ИС. В Министерстве запрещается обработка ПДн с целями, не соответствующими целям создания ИС, эксплуатация ИС в составе, отличном от указанного при создании ИС.
Ввод в эксплуатацию ИС оформляется актом ввода в эксплуатацию и сопровождается аттестацией ИС или декларированием соответствия ИС требованиям по безопасности ПДн в соответствии с нормативными правовыми актами в области обеспечения безопасности ПДн.
В целях обеспечения управления информационной безопасностью ПДн в Министерстве создается система защиты ПДн (далее - СЗПДн).
Объектами защиты СЗПДн являются информация, обрабатываемая Министерством и содержащая ПДн, а также инфраструктура, содержащая и поддерживающая указанную информацию.
СЗПДн реализуется комплексом правовых, режимных, организационных и программно-технических мер, которые включают:
1) подготовку внутренних регулятивных документов Министерства по вопросам обработки и защиты ПДн, контроль за исполнением в Министерстве требований нормативных правовых актов и внутренних регулятивных документов Министерства в области обработки и защиты ПДн, а также внесение соответствующих изменений в имеющиеся внутренние регулятивные документы;
2) оформление письменных обязательств должностных лиц о неразглашении ПДн;
3) доведение до сведения должностных лиц информации об установленных законодательством Российской Федерации санкциях за нарушения, связанные с обработкой и защитой ПДн;
4) обеспечение наличия в положениях о структурных подразделениях Министерства и должностных регламентах сотрудников Министерства требований по соблюдению установленного порядка обработки и защиты ПДн;
5) разработку и введение в действие внутренних регулятивных документов Министерства по обеспечению информационной безопасности ИС;
6) регламентацию процедур создания и осуществление документирования действующих инженерных и информационных систем, программных комплексов, порядка внесения в них изменений и своевременной актуализации эксплуатационной документации;
7) ознакомление должностных лиц Министерства с положениями нормативных правовых актов и внутренних регулятивных документов Министерства в области обработки и защиты ПДн и (или) организация обучения их правилам обработки и защиты ПДн;
8) проведение мероприятий по регламентации, установлению, поддержанию и осуществлению контроля за состоянием:
а) физической охраны, контрольно-пропускного режима, перемещением технических средств и носителей информации;
б) защиты технологических процессов, информационных ресурсов, информации и поддерживающей их инфраструктуры от угроз техногенного характера и внешних неинформационных воздействий;
9) регламентацию обработки ПДн, в том числе хранения и передачи информации как внутри Министерства, так и при взаимодействии с контрагентами Министерства, государственными органами и организациями, обращения с документами (включая электронные документы) и носителями, порядка их учета, хранения и уничтожения;
10) установление правил доступа на объекты, в помещения, в ИС, применение в этих целях систем охраны и управления доступом;
11) формирование участков (выделение в отдельные VLA№ (виртуальные локальные компьютерные сети) технических средств) администрирования безопасности, мониторинга и аудита, управления доступом к защищаемым ресурсам;
12) организацию технического оснащения объектов и ИС в соответствии с существующими требованиями к информационной безопасности;
13) формирование условий и технологических процессов обработки, хранения и передачи информации в Министерстве (включая условия хранения документов в архивах), обеспечивающих реализацию требований нормативных правовых актов, методических документов уполномоченных государственных органов и внутренних регулятивных документов Министерства в области обработки и защиты ПДн;
14) установление полномочий пользователей и форм представления информации пользователям ИС;
15) организацию непрерывного процесса контроля (мониторинга) событий безопасности для своевременного выявления и пресечения попыток несанкционированного доступа к защищаемой информации;
16) организацию необходимых мероприятий с должностными лицами, а также собеседование с лицами, претендующими на работу в Министерстве, изучение их биографии и проверку предоставляемых сведений; обучение должностных лиц требованиям информационной безопасности;
17) осуществление контроля эффективности организационных мер защиты;
18) разработку защитных технических решений:
а) при стратегическом планировании архитектуры ИС;
б) выборе технических средств обработки информации;
в) разработке и (или) приобретении программного обеспечения;
19) применение следующих компонентов программно-технических мер защиты:
а) защищенных средств (систем) обработки информации, содержащей ПДн;
б) системы криптографической защиты информации при ее передаче по каналам связи;
в) межсетевых экранов для логического разделения подсетей и защиты от несанкционированного доступа из внешних (открытых) информационных систем;
г) аппаратных и программных средств защиты и контроля, устройств, технических систем и средств, используемых для обеспечения информационной безопасности, в том числе для обнаружения и нейтрализации попыток несанкционированного доступа к информации.
Для всех критичных в отношении обеспечения целостности и доступности ПДн функций ИС разрабатываются соответствующие планы обеспечения непрерывной работы и восстановления при авариях и стихийных бедствиях. Должностные лица проходят обучение необходимым действиям по обеспечению целостности и доступности ПДн в нештатных ситуациях.
По окончании сроков обработки ПДн в ИС приказом Министерства создается комиссия из сотрудников Министерства для уничтожения ПДн. Данные ПДн уничтожаются и составляется акт об уничтожении, приведенный в приложении 2 к настоящей Политике.
8. Правила допуска, хранения и пересылки персональных данных
Допуск лиц к обработке ПДн в информационной системе осуществляется на основании соответствующих разрешительных документов и ключей (паролей) доступа.
Пересылка ПДн без использования специальных средств защиты по общедоступным сетям связи, в том числе Интернета, запрещается.
9. Ответственность за нарушение норм, регулирующих обработку персональных данных
Сотрудники Министерства, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РФ.
Неправомерный отказ исключить или исправить ПДн субъекта, а также любое иное нарушение прав субъекта на защиту ПДн влечет возникновение у субъекта права требовать устранения нарушения его прав и компенсации причиненного таким нарушением морального вреда.
Приложение 1
Утверждаю
________________________
"___" _________ 201__ г.
АКТ № ____
уничтожения персональных данных, находящихся на материальных
носителях Министерства по управлению имуществом и земельным
отношениям Пермского края
_______________________________________________ "__" ______________ 20__ г.
Место уничтожения Дата уничтожения
Комиссия в составе:
Председатель комиссии:
_______________________________________________ ________________________
Должность ФИО
Члены комиссии:
_______________________________________________ ________________________
Должность ФИО
_______________________________________________ ________________________
Должность ФИО
_______________________________________________ ________________________
Должность ФИО
_______________________________________________ ________________________
Должность ФИО
составили настоящий акт о том, что "____" ____________ 20___ г. произведено
уничтожение персональных данных, находящихся на бумажном носителе.
Уничтожены персональные данные в соответствии с таблицей 1.
Таблица 1
№ п/п
Информация (наименование документа)
Учетный номер документа
Количество
Срок хранения
Подписи членов комиссии:
Председатель комиссии:
____________________ _______________________ "__" ____________ 201__ г.
Подпись ФИО Дата
Члены комиссии:
____________________ _______________________ "__" ____________ 201__ г.
Подпись ФИО Дата
____________________ _______________________ "__" ____________ 201__ г.
Подпись ФИО Дата
____________________ _______________________ "__" ____________ 201__ г.
Подпись ФИО Дата
____________________ _______________________ "__" ____________ 201__ г.
Подпись ФИО Дата
Приложение 2
Утверждаю
________________________
"___" _________ 201__ г.
АКТ № ____
уничтожения персональных данных, находящихся
в информационной системе
_______________________________________________ "__" ______________ 20__ г.
Место уничтожения Дата уничтожения
Комиссия в составе:
Председатель комиссии:
_______________________________________________ ________________________
Должность ФИО
Члены комиссии:
_______________________________________________ ________________________
Должность ФИО
_______________________________________________ ________________________
Должность ФИО
_______________________________________________ ________________________
Должность ФИО
_______________________________________________ ________________________
Должность ФИО
составили настоящий акт о том, что "____" ____________ 20___ г. произведено
уничтожение персональных данных, находящихся на:
___________________________________________________________________________
(наименование АРМ по утвержденной конфигурации, ФИО ответственного
пользователя АРМ, заводской или учетный номер системного блока ПЭВМ,
носителя информации, способ уничтожения информации)
Уничтожены персональные данные в соответствии с таблицей 1.
Таблица 1
№ п/п
Информация (наименование документа)
Учетный номер
Вид носителя
Количество
Срок хранения
Подписи членов комиссии:
Председатель комиссии:
____________________ _______________________ "__" ____________ 201__ г.
Подпись ФИО Дата
Члены комиссии:
____________________ _______________________ "__" ____________ 201__ г.
Подпись ФИО Дата
____________________ _______________________ "__" ____________ 201__ г.
Подпись ФИО Дата
____________________ _______________________ "__" ____________ 201__ г.
Подпись ФИО Дата
____________________ _______________________ "__" ____________ 201__ г.
Подпись ФИО Дата
------------------------------------------------------------------