Расширенный поиск
Постановление Администрации городского округа "Город Чита" от 09.02.2012 № 77

 
                              ПОСТАНОВЛЕНИЕ

                   Администрации городского округа
                             "Город Чита"

        09.02.2012 г.                                     N 77


Об утверждении положения об обеспечении
безопасности персональных данных при их обработке
в информационных системах персональных данных
администрации городского округа "Город Чита"

     В целях исполнения Федерального  закона  от  27  июля  2006  года
N 152-ФЗ "О персональных данных" в администрации городского округа

      ПОСТАНОВЛЯЮ:

     1. Утвердить прилагаемое Положение  об  обеспечении  безопасности
персональных   данных  при  их  обработке  в  информационных  системах
персональных данных администрации городского округа "Город Чита".
     2. Ответственность за выполнение требований настоящего  Положения
возложить    на    руководителей    отраслевых    (функциональных)   и
территориальных органов администрации городского округа "Город Чита".
     3.  Опубликовать  настоящее  постановление  в  газете  "Читинское
обозрение"  и разместить на официальном сайте администрации городского
округа "Город Чита", расположенном по адресу WWW.admin.chita.ru

     Мэр города Читы             А.Д. Михалёв


                                            Приложение к постановлению
                                              администрации городского
                                                   округа «Город Чита»
                                                 от 09.02.2012 г. N 77


                               ПОЛОЖЕНИЕ  
       об обеспечении безопасности персональных данных при их   
       обработке в информационных системах персональных данных 
            администрации городского округа «Город Чита»                    

                      Раздел 1. ОБЩИЕ ПОЛОЖЕНИЯ                       

     1.1. Настоящее Положение о защите персональных  данных  (далее  –
Положение),  обрабатываемых  в  информационных  системах  персональных
данных (далее – ИСПД), разработано в соответствии со статьями  23,  24
Конституции   Российской   Федерации,   главы   14  Трудового  кодекса
Российской Федерации, Федерального закона от 27.07.2006 N  149-ФЗ  «Об
информации,   информационных   технологиях  и  о  защите  информации»,
Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
     1.2.  Настоящее  Положение   разработано   в   целях   соблюдения
законодательства Российской Федерации в части обеспечения  защиты прав
и свобод человека и гражданина при обработке его персональных  данных,
в том  числе  защиты  прав на неприкосновенность частной жизни, личную
и семейную тайну.
     1.3. Настоящее Положение определяет состав  и  порядок  обработки
персональных данных (далее – ПД) субъектов ПД (далее Субъектов) в ИСПД
администрации городского округа «Город Чита» и  органах  администрации
городского  округа «Город Чита» (далее - Оператор), организацию работы
по обеспечению защиты ПД, закрепляет права и  обязанности  должностных
лиц администрации и Субъектов, возникающие в связи с обработкой ПД.

                    Раздел 2. ПОНЯТИЕ И СОСТАВ ПД                     

     2.1.  Для  целей  настоящего  Положения   ПД   признается   любая
информация, относящаяся к определенному или определяемому на основании
такой информации Субъекту, в том числе  его  фамилия,  имя,  отчество,
год,  месяц,  дата  и  место  рождения,  адрес,  семейное, социальное,
имущественное положение, образование, профессия,  доходы,  фотография,
индивидуальный номер налогоплательщика, номер страхового свидетельства
обязательного  пенсионного   страхования,   данные   квалификационного
аттестата, другая информация.
     2.2. Субъектами ПД в ИСПД администрации являются:
     муниципальные служащие;
     граждане, исполняющие  обязанности  по  техническому  обеспечению
деятельности администрации;
     граждане, выполняющие работы и оказывающие услуги в администрации
по гражданско-правовым договорам;
     граждане,  обратившиеся  в   администрацию   в   соответствии   с
Федеральным  законом  от  02.05.2006 N 59-ФЗ  «О  порядке рассмотрения
обращений граждан Российской Федерации».
     2.3. Документами, содержащими ПД, являются:
     а) паспорт или иной документ, удостоверяющий личность;
     б) трудовая книжка;
     в)   страховое   свидетельство    государственного    пенсионного
страхования;
     г) свидетельство  о  постановке  на  учёт  в  налоговый  орган  и
присвоения ИНН;
     д) документы воинского учёта;
     е)  документы  об  образовании,  о   квалификации   или   наличии
специальных знаний или специальной подготовки;
     ж) карточка Т-2;
     з) автобиография;
     и) квалификационный аттестат;
     к) страховой медицинский полис;
     л)  другие   документы,   содержащие   данные,   идентифицирующие
Субъекта.
     2.4. Документы, содержащие ПД, создаются путём:
     а)    копирования  подлинников  (например,  копии  документов  об
образовании, свидетельство ИНН, пенсионное свидетельство Субъектов);
     б)    заполнения  анкетных  данных  (на  бумажных  и  электронных
носителях);
     в)    предоставления  подлинников  документов  (трудовая  книжка,
личный листок по учёту кадров, автобиография Субъектов);
     г) внесения информации о  Субъекте  ПД  в  ИСПД  (на  бумажные  и
электронные носители);

      Раздел 3. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ       

     3.1. Обработка ПД Субъектов осуществляется в следующих целях:
     соблюдения законов и иных нормативных правовых актов, в том числе
в целях реализации прав Субъекта ПД;
     содействия Субъекту ПД в трудоустройстве, обучении и повышении  в
должности;
     обеспечения личной безопасности Субъекта ПД;
     обеспечения сохранности имущества Субъекта ПД;
     в иных целях, предусмотренных действующим законодательством.
     3.2. Обработка  ПД  Субъектов  должна  осуществляться  на  основе
принципов:
     - законности целей и способов обработки ПД и добросовестности;
     - соответствия целей обработки ПД целям, заранее  определенным  и
заявленным при сборе ПД, а также полномочиям Оператора;
     -  достоверности  ПД,  их  достаточности  для  целей   обработки,
недопустимости   обработки   ПД,  избыточных  по  отношению  к  целям,
заявленным при сборе ПД;
     - недопустимости объединения созданных  для  несовместимых  между
собой целей баз данных ИСПД;
     - соответствия объема и  характера  обрабатываемых  ПД,  способов
обработки ПД целям обработки ПД.
     При определении объема и содержания обрабатываемых  ПД  Субъекта,
Оператор ПД должен руководствоваться Конституцией Российской Федерации
и федеральными законами.
     3.3.  Оператор  при  обработке  ПД  Субъекта   обязан   соблюдать
следующие требования:
     3.3.1.    все ПД Субъекта  следует  получать  у  него  самого.  В
случае  возникновения  необходимости  получения  ПД Субъекта у третьей
стороны Оператор обязан известить об этом Субъекта  ПД,  получить  его
письменное  согласие  и  сообщить  Субъекту  о  целях,  предполагаемых
источниках и способах получения ПД, а  также  о  характере  подлежащих
получению  ПД  и последствиях отказа Субъекта дать письменное согласие
на их получение;
     3.3.2.    обеспечения конфиденциальности ПД не требуется:
     - в случае обезличивания ПД Субъекта;
     - в отношении общедоступных  ПД  Субъекта,  которые  создаются  в
целях  информационного  обеспечения  деятельности администрации (в том
числе справочники,  адресные  книги).  В  общедоступные  источники  ПД
Субъекта с письменного согласия Субъекта могут включаться его фамилия,
имя, отчество, год и место рождения, адрес и иные ПД,  предоставленные
Субъектом;
     - сведения о Субъекте могут  быть  в  любое  время  исключены  из
общедоступных  источников  ПД  по требованию Субъекта, либо по решению
суда или иных уполномоченных государственных органов;
     3.3.3.    за исключением  случаев,  предусмотренных  федеральными
законами, Оператор не имеет права обрабатывать следующие ПД Субъекта:
     - о политических, религиозных, философских и  иных  убеждениях  и
частной жизни;
     - о расовой и национальной принадлежности;
     - о  членстве  в   общественных  объединениях   или   профсоюзной
деятельности;
     - о состоянии здоровья;
     - об иных ПД, предусмотренных федеральными законами;
     - оператор не вправе запрашивать информацию о состоянии  здоровья
Субъекта,  за  исключением тех сведений, которые относятся к вопросу о
возможности выполнения работником трудовой функции.
     3.3.4.    оператор  осуществляет  обработку  ПД  Субъекта  как  в
автоматизированной,  так  и  в неавтоматизированной форме. Особенности
способов обработки  ПД  (автоматизированная/  неавтоматизированная)  и
защиты  ПД устанавливаются муниципальными правовыми актами Оператора в
соответствии с Федеральным законом от 27 июля  2006  года  N152-ФЗ  «О
персональных данных»;
     3.3.5.    при передаче ПД Оператор не вправе:
     - сообщать ПД Субъекта третьей стороне без  письменного  согласия
Субъекта,  за  исключением  случаев,  когда  это  необходимо  в  целях
предупреждения угрозы жизни и здоровью  Субъекта,  а  также  в  других
случаях, предусмотренных федеральными законами;
     - сообщать ПД Субъекта в коммерческих целях без  его  письменного
согласия;
     3.3.6.    при передаче ПД Оператор обязан:
     предупредить лиц, получающих ПД Субъекта, о том, что  эти  данные
могут  быть  использованы  лишь  в  целях, для которых они сообщены, и
требовать от этих лиц подтверждения того, что это  правило  соблюдено.
Лица,    получающие    ПД    Субъекта,    обязаны    соблюдать   режим
конфиденциальности. Данное  положение  не  распространяется  на  обмен
персональными  данными Субъектов в порядке, установленном федеральными
законами;
     -  за  счет  средств  бюджета  городского  округа  «Город   Чита»
обеспечить  защиту  ПД Субъекта от неправомерного их использования или
утраты в порядке, установленном федеральным законом;
     - ознакомить Субъектов, являющихся работниками  Оператора,  и  их
представителей  под  подпись с документами Оператора, устанавливающими
порядок обработки ПД Субъектов, а также об их правах и обязанностях  в
этой области;
     - разъяснить Субъекту, являющемуся работником  Оператора  (лицом,
принимаемым  на работу) юридические последствия отказа предоставить ПД
(например - невозможность осуществления работодателем  своих  функций,
указать нормы законодательства, требующие предоставления ПД);
     -  разрешать  доступ  к  персональным  данным   Субъекта   только
специально  уполномоченным лицам, при этом указанные лица должны иметь
право  получать  только  те  ПД  Субъекта,  которые   необходимы   для
выполнения конкретных функций;
     -  выполнять  иные  обязанности,   предусмотренные   федеральными
законами и настоящим Положением;
     - ПД  Субъекта  могут  быть  переданы  представителю  Субъекта  в
порядке,  установленном Трудовым Кодексом Российской Федерации и иными
федеральными законами, в  том  объеме,  в  каком  это  необходимо  для
выполнения указанными представителями их функций;
     3.3.7. предоставление сведений о ПД Субъекта без соответствующего
его  согласия  возможно только в случаях, предусмотренных федеральными
законами;
     3.3.8. трансграничная   передача  ПД  осуществляется  в  порядке,
предусмотренном действующим законодательством Российской Федерации;
     3.3.9.  в  случае  достижения  цели  обработки  ПД      Субъектов
Оператор  обязан  незамедлительно  прекратить  обработку ПД Субъекта и
уничтожить соответствующие ПД в срок, не превышающий трех рабочих дней
с  даты  достижения  цели  обработки  ПД,  если  иное не предусмотрено
федеральными законами и уведомить об этом Субъекта или  его  законного
представителя.
     Порядок хранения ПД Субъектов, являющихся работниками  Оператора,
устанавливается  Оператором  с соблюдением требований законодательства
Российской Федерации.
     3.4.  Иные  требования  к  обработке  ПД  Субъекта   определяются
действующим  трудовым  законодательством  и законодательством о защите
персональных данных.

Раздел 4. ОТВЕТСТВЕННОСТЬ ДОЛЖНОСТНЫХ ЛИЦ АДМИНИСТРАЦИИ ПО ОБЕСПЕЧЕНИЮ
                ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ  СУБЪЕКТОВ.                

     4.1. Руководители отраслевых (функциональных)  и  территориальных
органов администрации городского округа «Город Чита» отвечают за:
     обеспечение  защиты  ПД  Субъекта  в  соответствии  с   настоящим
положением и иными нормативными правовыми актами по защите ПД;
     контроль  за   подчиненными   в   части   выполнения   требований
нормативных правовых актов по вопросам защиты ПД.
     4.2.  Ответственный  за  эксплуатацию   объекта   информатизации,
содержащего    ИСПД,     назначается   правовым   актом   руководителя
соответствующего органа администрации и отвечает за:
     - разработку и согласование проектов методической документации по
защите ПД Субъектов в ИСПД администрации;
     - качественное и  своевременное  выполнение  должностными  лицами
установленных требований по защите ПД Субъектов;
     -  своевременную  разработку  и  реализацию  мер  по  защите   ПД
Субъектов;
      -  организацию  и  проведение  контроля  состояния   защиты   ПД
Субъектов в ИСПД администрации;
     -  определение  степени  опасности  технических  каналов   утечки
информации,  различных  способов  несанкционированного  доступа (далее
НСД) к ПД Субъектов, их разрушения (уничтожения) или искажения;
     - организацию проведения  расследований  по  фактам  нарушений  в
области  защиты  ПД  Субъектов  и разработку предложений по устранению
недостатков и предупреждению подобного рода нарушений;
     - анализ состояния работ по  защите  ПД  Субъектов  и  разработку
предложений   по   совершенствованию   системы   защиты   ПД   в  ИСПД
администрации;
     - организацию и  проведение  занятий  с  руководящим  составом  и
сотрудниками администрации по вопросам защиты ПД Субъектов;
     - планирование и организацию защиты ПД Субъектов в ИСПД;
     - выполнение  требований  действующих  нормативных  документов  и
защиты   сведений,   отнесенных  к  конфиденциальной  информации,  при
проведении работ в ИСПД;
     - определение необходимых мер по защите ПД Субъектов, организацию
их разработки и реализации;
     -  обеспечение  бесперебойного  функционирования  программных   и
аппаратных средств в ИСПД администрации;
     - ознакомление сотрудников администрации, которые  допускаются  к
обработке ПД, с настоящим Положением;
     - ознакомление сотрудников, которые участвуют в обработке  ПД,  с
должностными    инструкциями    по   работе   и   обеспечению   режима
информационной безопасности в ИСПД;
     -  соблюдение  пользователями   ИСПД   установленных   правил   и
параметров печати, регистрации и учета документов, а также регистрации
и учета бумажных и машинных носителей информации;
     - проведение анализа возможности решения  определенных  задач  на
ИСПД   и  уточнение  содержания  необходимых  для  этого  изменений  в
конфигурации аппаратных и программных средств;
     - взаимодействие с администратором безопасности ИСПД по  вопросам
обеспечения правильного использования пользователями средствами защиты
информации (далее СЗИ) от НСД и контроля доступа этих пользователей  к
работе в ИСПД;
     - ведение и хранение документации на ИСПД;
     - организацию технического обслуживания  (ремонта,  модернизации)
персонального компьютера (далее ПК) и других технических средств ИСПД.
     4.3. Администратор безопасности ИСПД назначается  правовым  актом
руководителя соответствующего органа администрации и отвечает за:
     -  установку  (развертывание,  обновление   версий)   программных
средств,  необходимых  для  решения  в  ИСПД  администрации конкретных
задач;
     - удаление программных  средств,  необходимость  в  использовании
которых отпала;
     -  установку   (развертывание)   новых   ИСПД   или   подключение
дополнительных  устройств  (узлов,  блоков),  необходимых  для решения
конкретных задач (по согласованию с руководителем Оператора);
     - установку, подключение и настройку технических средств  в  ИСПД
администрации   в   соответствии  с  документацией  к  ним  и  планами
организации  и  оснащения  ИСПД  по   согласованию   с   руководителем
структурного подразделения, к которому имеет отношение ИСПД;
     -  контроль  за  обеспечением  защиты   ПД   Субъектов   в   ИСПД
администрации;
     - своевременное обнаружение фактов несанкционированного доступа к
ПД Субъектов;
     - проводит работы по разработке, внедрению,  совершенствованию  и
эксплуатации системы защиты ПД Субъектов в ИСПД администрации;
     - организацию (при необходимости) контрольных проверок ИСПД;
     - установку и ввод в эксплуатацию средств защиты ПД  Субъектов  в
соответствии с эксплуатационной и технической документацией к ним;
     - организацию в  установленном  порядке  расследования  причин  и
условий   появления   нарушений  по  вопросам  технической  защиты  ПД
Субъектов,  разработку  предложений  по   устранению   недостатков   и
предупреждению подобного рода нарушений;
     - проведение анализа возможности  решения  (а  также  совмещения)
указанных   задач  в  конкретных  ИСПД  (с  точки  зрения  обеспечения
безопасности) и принятие решения об отнесении их к той или иной группе
по степени защищенности;
     проведение необходимых дополнительных специальных мероприятий  по
обеспечению безопасности ПД;
     внедрение средств контроля эффективности противодействия попыткам
НСД    к    информации   и   незаконного   вмешательства   в   процесс
функционирования ИСПД.


  Раздел 5. ПРАВА СУБЪЕКТОВ В ЦЕЛЯХ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ   
               ДАННЫХ, ОБРАБАТЫВАЕМЫХ В АДМИНИСТРАЦИИ.                

     5.1. Обработка  персональных  данных  осуществляется  с  согласия
Субъекта персональных данных на обработку его персональных данных.
     5.2.  Оператор,   Субъекты   или   их   представители   совместно
вырабатывают меры защиты ПД Субъектов.
     5.3.  В   целях   обеспечения   защиты   ПД,   обрабатываемых   в
администрации, Субъекты, являющиеся работниками Оператора, имеют право
на:
     - полную информацию об их персональных данных  и  обработке  этих
данных;
     -  свободный  бесплатный  доступ  к  своим  персональным  данным,
включая право на получение копий любой записи, содержащей ПД Субъекта,
за исключением случаев, предусмотренных федеральным законом;
     - определение своих Представителей для защиты своих ПД;
     - доступ  к  относящимся  к  ним  медицинским  данным  с  помощью
медицинского специалиста по их выбору;
     - требование об исключении или исправлении неверных или  неполных
ПД,  а  также  данных,  обработанных с нарушением требований Трудового
кодекса Российской Федерации или иного федерального закона;
     Субъекты пользуются и иными правами, предусмотренными действующим
законодательством в области ПД.
     5.4. При отказе Оператора исключить или  исправить  ПД  Субъекта,
являющегося работником Оператора,  он имеет право:
     - заявить в письменной  форме  Оператору  о  своем  несогласии  с
соответствующим   обоснованием  такого  несогласия  или  обратиться  в
Федеральную службу по надзору в сфере связи, информационных технологий
и массовых коммуникаций;
     - требовать об извещении Оператором всех лиц, которым ранее  были
сообщены  неверные  или неполные ПД Субъекта, обо всех произведенных в
них  исключениях,  исправлениях  или  дополнениях.   (составляется   в
произвольной   форме  со  ссылкой  на  требование  об  исключении  или
исправлении ПД Субъекта);
     - обжаловать в суде любые неправомерные действия или  бездействия
Оператора при обработке и защите его ПД в ИСПД.
     5.5. Субъекты, не являющиеся  работниками  Оператора,  пользуются
правами   в   целях   обеспечения   защиты   их  персональных  данных,
обрабатываемых   в   администрации,    предусмотренными    действующим
законодательством.

           Раздел 6. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ СУБЪЕКТА            

     6.1.  Доступ  к  ПД  Субъекта  ограничивается  в  соответствии  с
федеральными законами и настоящим Положением.
     6.2. Доступ в администрации (внутренний доступ):
     6.2.1   доступ   к   ПД   Субъектов   имеют   только   сотрудники
администрации,   перечисленные  в  «Разрешительной  системе  допуска»,
утверждаемой руководителем органа администрации для каждой из ИСПД,  в
соответствии   с   «Матрицей   разграничения   доступа   к  защищаемым
ресурсам»;
     6.2.2  разрешительная  система  допуска   лиц   (должностей),   в
обязанности которых входит обработка ПД или которые по должности имеют
доступ к  персональным  данным  с  правом  просмотра,  разрабатывается
ответственным  за  эксплуатацию  объекта  информатизации,  содержащего
ИСПД;
     6.2.3. представители Оператора имеют право получать только те  ПД
Субъекта,  которые  необходимы  для  выполнения  конкретных  функций в
соответствии с должностной инструкцией указанных  лиц  и  утвержденной
«Разрешительной  системой допуска». Все остальные работники Оператора,
являющиеся Субъектами ПД, имеют право на полную  информацию  только  о
своих ПД.
     6.3.  Внешний  доступ  (лиц,   не   являющимися   представителями
Оператора и Субъектами ПД):
     6.3.1.  получение  сведений  о  ПД  Субъектов  третьей   стороной
разрешается  только  при  наличии заявления с указанием конкретных ПД,
целей, для которых они будут использованы,  способов  обработки,  иных
сведений,   установленных   действующим   законодательством,  а  также
письменного согласия Субъекта,  ПД  которого  затребованы  в  порядке,
предусмотренном  Трудовым  кодексом Российской Федерации и Федеральным
законом от 27.07.2006 N 152-ФЗ «О персональных данных».

        Раздел 7. МЕРЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТА         

     7.1. Документы, содержащие ПД Субъекта, должны передаваться между
подразделениями  администрации и на доклад руководителю в запечатанном
конверте с пометкой «ПЕРСОНАЛЬНЫЕ ДАННЫЕ».
     7.2. Оператор определяет перечень своих  представителей,  имеющих
право  доступа  и  обработки информации о ПД, и соответствующие уровни
доступа к этой информации.
     7.3. Оператор утверждает формы ведения учета  выданных  ПД  (если
соответствующие  формы  не определены действующим законодательством) и
уполномочивает своих представителей на их ведение.
     7.4. При  автоматизированной  обработке  ПД  Оператор  использует
специальное    программное    обеспечение   и   аппаратные   средства,
соответствующее    предусмотренным    действующим    законодательством
требованиям.
     7.5. Оператор  в  предусмотренном  Трудовым  кодексом  Российской
Федерации   порядке   проводит   ознакомление   Субъектов,  являющихся
работниками   Оператора,   с   нормативными   правовыми    актами    и
муниципальными  правовыми  актами администрации в области защиты ПД, в
том числе в случае  их  изменения,  разъясняет  права,  обязанности  и
ответственность Субъектов за нарушение норм в данной области.
     7.6. Оператор устанавливает особый режим хранения для документов,
содержащих  ПД  Субъектов.  ПД  Субъектов,  содержащиеся  на  бумажных
носителях, должны храниться в запираемом шкафу или в сейфе.
     7.7. Доступ к персональным данным Субъекта, содержащимся в  ИСПД,
ограничивается определенными Оператором сотрудниками.
     7.8.  Сроки  хранения   документов   устанавливаются   Оператором
соответствующим правовым актом в соответствии с Федеральным законом от
27 июля 2006 года N 152-ФЗ «О персональных данных».

Раздел 8. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ, 
               СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ СУБЪЕКТОВ               

     Лица,  виновные  в   нарушении   действующего   законодательства,
муниципальных  правовых  актов,  регулирующих  обработку  и  защиту ПД
Субъекта,  могут  быть  привлечены  к  дисциплинарной,   материальной,
гражданско-правовой,  административной  и  уголовной ответственности в
порядке, установленном федеральными законами.