ПРИКАЗ о назначении администратора безопасности информационных систем персональных данных. о назначении ответственного за обеспечение​.

Содержание

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

Приказ ФСТЭК России от 15.01.2020 N 3 Об обработке персональных данных в Федеральной службе по техническому и экспортному контролю и ее территориальных органах (вместе с Правилами обработки персональных данных в федеральной службе по техническому и экспортному контролю и ее территориальных органах) (Зарегистрировано в Минюсте России 14.02.2020 N 57509)

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ПРИКАЗ

от 15 января 2020 г. N 3

ОБ ОБРАБОТКЕ

ПЕРСОНАЛЬНЫХ ДАННЫХ В ФЕДЕРАЛЬНОЙ СЛУЖБЕ ПО ТЕХНИЧЕСКОМУ

И ЭКСПОРТНОМУ КОНТРОЛЮ И ЕЕ ТЕРРИТОРИАЛЬНЫХ ОРГАНАХ

В соответствии со статьей 18.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2011, N 31, ст. 4701) и во исполнение подпункта «б» пункта 1 перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 (Собрание законодательства Российской Федерации, 2012, N 14, ст. 1626; 2014, N 37, ст. 4967), приказываю:

Утвердить:

правила обработки персональных данных в Федеральной службе по техническому и экспортному контролю и ее территориальных органах (приложение N 1 к настоящему приказу);

перечень должностей федеральной государственной гражданской службы Федеральной службы по техническому и экспортному контролю и ее территориальных органов, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (приложение N 2 к настоящему приказу);

перечень должностей федеральных государственных гражданских служащих Федеральной службы по техническому и экспортному контролю и ее территориальных органов, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных (приложение N 3 к настоящему приказу);

типовое обязательство федерального государственного гражданского служащего Федеральной службы по техническому и экспортному контролю, ее территориального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей (приложение N 4 к настоящему приказу);

типовую форму согласия на обработку персональных данных субъектов персональных данных (приложение N 5 к настоящему приказу);

типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные (приложение N 6 к настоящему приказу).

Директор Федеральной службы

по техническому и экспортному контролю

В.СЕЛИН

Приложение N 1

к приказу ФСТЭК России

от 15 января 2020 г. N 3

ПРАВИЛА

ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ФЕДЕРАЛЬНОЙ СЛУЖБЕ

ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

И ЕЕ ТЕРРИТОРИАЛЬНЫХ ОРГАНАХ

I. Общие положения

1. Правила обработки персональных данных в Федеральной службе по техническому и экспортному контролю и ее территориальных органах (далее — Правила, ФСТЭК России) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

2. Настоящие Правила определяют политику ФСТЭК России, ее территориального органа как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

3. Субъектами персональных данных в ФСТЭК России являются:

1) федеральные государственные гражданские служащие (далее — гражданские служащие) ФСТЭК России и члены их семей;

2) работники ФСТЭК России, замещающие должности, не являющиеся должностями федеральной государственной гражданской службы (далее соответственно — работники ФСТЭК России, гражданская служба), и члены их семей;

3) руководители территориальных органов ФСТЭК России (далее — территориальные органы), и члены их семей;

4) граждане, претендующие на замещение вакантных должностей в ФСТЭК России и члены их семей;

5) граждане, претендующие на замещение вакантных должностей руководителей территориальных органов, и члены их семей;

6) лица, представляемые к награждению, наградные материалы по которым представлены в ФСТЭК России.

4. Субъектами персональных данных в территориальных органах являются:

1) гражданские служащие территориальных органов и члены их семей;

2) работники территориальных органов, замещающие должности, не являющиеся должностями гражданской службы (далее — работники территориальных органов), и члены их семей;

3) граждане, претендующие на замещение вакантных должностей в территориальных органах, и члены их семей;

4) граждане, претендующие на замещение вакантных должностей руководителей территориальных органов, и члены их семей;

5) лица, представляемые к награждению, наградные материалы по которым представлены в территориальный орган.

5. Обработка персональных данных в ФСТЭК России, ее территориальных органах осуществляется с соблюдением принципов и условий, предусмотренных настоящими Правилами и законодательством Российской Федерации в области персональных данных.

II. Условия и порядок обработки персональных данных в связи

с реализацией служебных или трудовых отношений

6. Персональные данные субъектов персональных данных, указанных в пунктах 3 и 4 настоящих Правил, обрабатываются в целях обеспечения кадровой работы, в том числе в целях содействия в прохождении гражданской службы, содействия в выполнении осуществляемой работы, формирования кадрового резерва гражданской службы, обучения и должностного роста, учета результатов исполнения гражданскими служащими и работниками ФСТЭК России, ее территориальных органов должностных обязанностей, обеспечения личной безопасности гражданских служащих и работников ФСТЭК России и ее территориальных органов и членов их семей, обеспечения установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества, а также в целях противодействия коррупции.

7. В целях, указанных в пункте 6 настоящих Правил, обрабатываются следующие категории персональных данных гражданских служащих и работников ФСТЭК России, ее территориальных органов:

1) фамилия, имя, отчество (при наличии) (в том числе прежние фамилии, имена и (или) отчества (при наличии), дата, место и причина изменения в случае их изменения);

2) число, месяц, год рождения;

3) место рождения;

4) сведения о гражданстве (в том числе предыдущие гражданства, иные гражданства);

5) сведения об образовании (когда и какие образовательные, научные и иные организации окончил, номера документов об образовании, направление подготовки или специальность по документу об образовании, квалификация);

6) сведения об ученой степени, ученом звании;

7) сведения о профессиональной переподготовке и (или) повышении квалификации;

8) сведения о владении иностранными языками, степень владения;

9) сведения о классном чине гражданской службы Российской Федерации (дипломатическом ранге, классном чине юстиции, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации), квалификационном разряде гражданской службы (квалификационном разряде или классном чине муниципальной службы), кем и когда присвоены;

10) сведения о наличии или отсутствии судимости;

11) сведения об оформленных за период работы, службы, учебы допусках к государственной тайне;

12) сведения о трудовой деятельности (включая работу по совместительству, предпринимательскую и иную деятельность), военной службе;

13) сведения о государственных наградах, иных наградах и знаках отличия;

14) сведения о семейном положении, составе семьи и о близких родственниках (в том числе бывших);

15) сведения о близких родственниках (отец, мать, братья, сестры и дети), а также супругах, в том числе бывших, постоянно проживающих за границей и (или) оформляющих документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество (при наличии), с какого времени проживают за границей);

16) сведения о пребывании за границей (когда, где и с какой целью);

17) отношение к воинской обязанности, сведения о воинском учете и реквизиты документов воинского учета;

18) адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;

19) номер контактного телефона или сведения о других способах связи;

20) вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование органа, выдавшего его;

21) реквизиты паспорта гражданина Российской Федерации, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации (серия, номер, когда и кем выдан);

22) реквизиты страхового свидетельства обязательного пенсионного страхования;

23) идентификационный номер налогоплательщика;

24) реквизиты страхового медицинского полиса обязательного медицинского страхования;

25) реквизиты свидетельств государственной регистрации актов гражданского состояния;

26) сведения об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению;

27) сведения об отсутствии у гражданина медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну;

28) личная фотография;

29) сведения о прохождении гражданской службы (работы), в том числе: дата, основания поступления на гражданскую службу (работу) и назначения на должность гражданской службы, дата, основания назначения, перевода, перемещения на иную должность гражданской службы (работы), наименование замещаемых должностей гражданской службы с указанием структурных подразделений, размера денежного содержания (заработной платы), результатов аттестации на соответствие замещаемой должности гражданской службы, а также сведения о прежнем месте работы;

30) сведения, содержащиеся в служебном контракте (трудовом договоре), дополнительных соглашениях к служебному контракту (трудовому договору);

31) сведения о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;

32) сведения о доходах, расходах, об имуществе и обязательствах имущественного характера, а также о доходах, расходах, об имуществе и обязательствах имущественного характера супруги (супруга) и несовершеннолетних детей;

33) номер расчетного счета (номера расчетных счетов);

34) номер банковской карты (номера банковских карт);

35) иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 6 настоящих Правил.

8. Обработка персональных данных и биометрических персональных данных гражданских служащих и работников ФСТЭК России, ее территориальных органов и членов их семей, а также граждан, претендующих на замещение вакантных должностей гражданской службы, и членов их семей осуществляется без согласия указанных граждан в рамках целей, определенных пунктом 6 настоящих Правил, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2018, N 1, ст. 82) (далее — Федеральный закон «О персональных данных») и положениями Федерального закона от 27 июля 2004 г. N 79-ФЗ «О государственной гражданской службе Российской Федерации» (Собрание законодательства Российской Федерации, 2004, N 31, ст. 3215; 2019, N 18, ст. 2223) (далее — Федеральный закон «О государственной гражданской службе Российской Федерации»), Федерального закона от 25 декабря 2008 г. N 273-ФЗ «О противодействии коррупции» (Собрание законодательства Российской Федерации, 2008, N 52, ст. 6228; 2019, N 30, ст. 4153) (далее — Федеральный закон «О противодействии коррупции»), Трудовым кодексом Российской Федерации (Собрание законодательства Российской Федерации, 2002, N 1, ст. 3; 2019, N 31, ст. 4451), постановлением Правительства Российской Федерации от 6 февраля 2010 г. N 63 «Об утверждении Инструкции о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне» (Собрание законодательства Российской Федерации, 2010, N 7, ст. 762; 2019, N 17, ст. 2098).

9. Обработка специальных категорий персональных данных гражданских служащих и работников ФСТЭК России, ее территориальных органов и членов их семей, а также граждан, претендующих на замещение вакантных должностей, и членов их семей осуществляется без согласия указанных граждан в рамках целей, определенных пунктом 5 настоящих Правил, в случае, предусмотренном подпунктом 2.3 пункта 2 части 2 статьи 10 Федерального закона «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2014, N 30, ст. 4217) и положениями Трудового кодекса Российской Федерации, за исключением случаев получения персональных данных гражданского служащего, работника у третьей стороны.

10. Обработка персональных данных гражданских служащих и работников ФСТЭК России, ее территориальных органов и членов их семей, граждан, претендующих на замещение вакантных должностей, и членов их семей осуществляется при условии получения согласия указанных граждан в следующих случаях:

1) при передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации о государственной гражданской службе;

2) при трансграничной передаче персональных данных;

3) при принятии решений, порождающих юридические последствия в отношении указанных граждан или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.

11. В случаях, предусмотренных пунктом 10 настоящих Правил, согласие гражданских служащих и работников ФСТЭК России, ее территориальных органов, граждан, претендующих на замещение вакантных должностей гражданской службы, оформляется в письменной форме, если иное не установлено Федеральным законом «О персональных данных».

12. Обработка персональных данных гражданских служащих и работников ФСТЭК России, ее территориальных органов и членов их семей, граждан, претендующих на замещение вакантных должностей, и членов их семей, осуществляется кадровым подразделением ФСТЭК России, территориального органа, а также финансовым подразделением ФСТЭК России, территориального органа.

Обработка персональных данных в ФСТЭК России, территориальных органах включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

13. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных гражданских служащих и работников ФСТЭК России, территориальных органов и членов их семей, граждан, претендующих на замещение вакантных должностей, и членов их семей осуществляются путем:

1) непосредственного получения оригиналов необходимых документов (заявление, трудовая книжка, анкета, иные документы, предоставляемые в кадровое подразделение);

2) копирования оригиналов документов;

3) внесения сведений в учетные формы (на бумажных и электронных носителях);

4) формирования персональных данных в ходе кадровой работы;

5) формирования и обработки персональных данных в ходе реализации полномочий в сфере противодействия коррупции;

6) внесения персональных данных в информационные системы ФСТЭК России, территориальных органов.

14. В случае возникновения необходимости получения персональных данных гражданских служащих и работников ФСТЭК России, территориальных органов и членов их семей у третьей стороны следует известить об этом гражданских служащих и работников ФСТЭК России, ее территориальных органов заранее, получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения персональных данных, за исключением случаев, предусмотренных подпунктом 5 пункта 13 настоящих Правил.

15. Запрещается получать, обрабатывать и приобщать к личному делу гражданских служащих и работников ФСТЭК России, ее территориальных органов персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

16. При сборе персональных данных гражданский служащий кадрового подразделения ФСТЭК России, территориального органа, осуществляющий сбор (получение) персональных данных непосредственно от гражданских служащих и работников ФСТЭК России, территориального органа и членов их семей, граждан, претендующих на замещение вакантных должностей, и членов их семей обязаны разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.

17. Передача (распространение, предоставление) и использование персональных данных гражданских служащих и работников ФСТЭК России, территориальных органов и членов их семей, а также граждан, претендующих на замещение вакантных должностей, и членов их семей осуществляются только в случаях и порядке, предусмотренных законодательством Российской Федерации.

III. Условия и порядок обработки персональных данных

гражданских служащих ФСТЭК России, а также членов их семей

в связи с рассмотрением вопроса о предоставлении

единовременной субсидии на приобретение жилого помещения

18. В ФСТЭК России, территориальных органах осуществляется обработка персональных данных гражданских служащих ФСТЭК России, территориальных органов, а также членов их семей в связи с рассмотрением вопроса о предоставлении единовременной субсидии на приобретение жилого помещения (далее — субсидия) в соответствии с постановлением Правительства Российской Федерации от 27 января 2009 г. N 63 «О предоставлении федеральным государственным гражданским служащим единовременной субсидии на приобретение жилого помещения» (Собрание законодательства Российской Федерации, 2009, N 6, ст. 739; 2019, N 28, ст. 3777).

19. Перечень персональных данных, подлежащих обработке в связи с предоставлением субсидии, включает в себя:

1) фамилию, имя, отчество (при наличии);

2) вид, серию, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дату выдачи;

3) адрес и дату регистрации по месту жительства (месту пребывания), адрес фактического проживания;

4) сведения о составе семьи;

5) персональные данные, содержащиеся в выписке из домовой книги, копиях финансового лицевого счета, свидетельства о браке, свидетельства о рождении ребенка (детей), трудовой книжки, документов о наличии в собственности гражданского служащего и (или) членов его семьи жилых помещений, кроме жилого помещения, в котором они зарегистрированы (с предоставлением при необходимости их оригиналов), документа, подтверждающего право на дополнительную площадь жилого помещения;

6) иные сведения, содержащие персональные данные, необходимые в связи с предоставлением субсидии.

20. Обработка персональных данных гражданских служащих ФСТЭК России, территориальных органов, а также членов их семей в связи с предоставлением субсидии, в частности сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных, осуществляется гражданскими служащими ФСТЭК России, территориальных органов, входящими в состав комиссии ФСТЭК России, территориального органа, путем:

1) получения оригиналов необходимых документов;

2) предоставления заверенных в установленном порядке копий документов.

21. Передача (распространение, предоставление) и использование персональных данных гражданских служащих ФСТЭК России, территориальных органов, полученных в связи с предоставлением субсидии, осуществляются лишь в случаях и в порядке, предусмотренных законодательством Российской Федерации.

IV. Порядок обработки персональных данных

в автоматизированных информационных системах

22. Гражданским служащим ФСТЭК России, территориальных органов, имеющим право осуществлять обработку персональных данных в информационных системах ФСТЭК России, территориальных органов (далее — гражданские служащие, имеющие право осуществлять обработку персональных данных), предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными регламентами гражданских служащих, имеющих право осуществлять обработку персональных данных.

Информация может вноситься как в автоматическом режиме, так и в ручном режиме при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

23. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных ФСТЭК России, территориальных органов, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257), и Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21 (зарегистрирован Минюстом России 14 мая 2013 г., регистрационный номер N 28375), с изменениями, внесенными приказом ФСТЭК России от 23 марта 2017 г. N 49 (зарегистрирован Минюстом России 25 апреля 2017 г., регистрационный N 46487):

1) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных ФСТЭК России, территориальных органов;

2) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ФСТЭК России, территориальных органов;

3) применение прошедших в установленном законодательством Российской Федерации порядке процедур оценки соответствия средств защиты информации;

4) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учет машинных носителей персональных данных;

6) обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер по их предотвращению и недопущению таких фактов в дальнейшем;

7) восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;

8) установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных ФСТЭК России, территориальных органов, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных ФСТЭК России, территориальных органов;

9) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

V. Работа с обезличенными данными в случае обезличивания

персональных данных

24. Обезличивание персональных данных проводится с целью ведения статистического учета и отчетности, снижения уровня защищенности автоматизированных информационных систем, если иное не предусмотрено законодательством Российской Федерации.

25. Обезличивание персональных данных осуществляется в соответствии с приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. N 996 «Об утверждении требований и методов по обезличиванию персональных данных» (зарегистрирован Минюстом России 10 сентября 2013 г., регистрационный N 29935).

26. Обезличенные персональные данные не подлежат разглашению.

27. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.

VI. Сроки обработки и хранения персональных данных

28. Обработка персональных данных гражданских служащих и работников ФСТЭК России, территориальных органов и членов их семей осуществляется в течение всего периода прохождения гражданской службы, осуществления трудовой деятельности в ФСТЭК России, территориальных органах.

29. Обработка персональных данных граждан, претендующих на замещение вакантных должностей, и членов их семей осуществляется в соответствии с Указом Президента Российской Федерации от 1 февраля 2005 г. N 112 «О конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации» (Собрание законодательства Российской Федерации, 2005, N 6, ст. 439; 2017, N 37, ст. 5506).

30. Сроки хранения документов на бумажных носителях, содержащих персональные данные гражданских служащих и работников ФСТЭК России, территориальных органов, и членов их семей, граждан, претендующих на замещение вакантных должностей, устанавливаются в соответствии с частью 7 статьи 5 Федерального закона «О персональных данных».

31. Срок хранения персональных данных, внесенных в федеральную государственную информационную систему «Единая информационная система управления кадровым составом государственной гражданской службы Российской Федерации», должен соответствовать сроку хранения персональных данных на бумажных носителях.

Передача (распространение, предоставление) и использование персональных данных граждан, обратившихся в ФСТЭК России, территориальные органы лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, осуществляется лишь в случаях и в порядке, предусмотренных законодательством Российской Федерации.

32. Персональные данные, полученные ФСТЭК России, территориальными органами на бумажном и/или электронном носителях в связи с осуществлением своих полномочий, хранятся в соответствующих структурных подразделениях ФСТЭК России, территориальных органов, к полномочиям которых относится обработка персональных данных в связи с осуществлением полномочий, в соответствии с утвержденными положениями о структурных подразделениях ФСТЭК России, территориальных органов.

33. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

34. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящими Правилами.

35. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений ФСТЭК России, территориальных органов.

36. Срок хранения персональных данных, внесенных в информационные системы, должен соответствовать сроку хранения бумажных оригиналов.

VII. Порядок уничтожения персональных данных при достижении

целей обработки или при наступлении иных законных оснований

37. Документы, содержащие персональные данные, сроки хранения которых истекли, подлежат уничтожению в порядке, предусмотренном нормативными правовыми актами Российской Федерации.

38. Структурным подразделением ФСТЭК России, территориального органа, ответственным за документооборот и архивирование, осуществляется систематический контроль и выделение документов, содержащих персональные данные с истекшими сроками хранения, подлежащих уничтожению.

39. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании экспертной комиссии ФСТЭК России, территориального органа, состав которой утверждается приказом ФСТЭК России, территориального органа.

По итогам заседания экспертной комиссии, на основании согласованных и утвержденных описей дел составляется протокол и акт о выделении к уничтожению документов, проверяется их комплектность, акт подписывается председателем и членами экспертной комиссии и утверждается директором ФСТЭК России, руководителем территориального органа. Документы, отобранные к уничтожению, передаются на утилизацию (переработку).

40. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации.

VIII. Рассмотрение запросов субъектов персональных данных

или их представителей

41. Субъекты персональных данных имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных ФСТЭК России, территориальных органах;

2) правовые основания и цели обработки персональных данных;

3) применяемые в ФСТЭК России, территориальных органах способы обработки персональных данных;

4) наименование и место нахождения ФСТЭК России, территориальных органов, сведения о гражданах (за исключением гражданских служащих ФСТЭК России, территориальных органов), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ФСТЭК России, территориальным органом или на основании законодательства Российской Федерации;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких персональных данных не предусмотрен законодательством Российской Федерации;

6) сроки обработки персональных данных, в том числе сроки их хранения в ФСТЭК России, территориальных органах;

7) порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;

8) информация об осуществленной или предполагаемой трансграничной передаче персональных данных;

9) наименование организации или фамилию, имя, отчество (при наличии) и адрес лица, осуществляющего обработку персональных данных по поручению ФСТЭК России, территориального органа, если обработка поручена или будет поручена такой организации или лицу;

10) иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.

42. Субъекты персональных данных вправе требовать от ФСТЭК России, территориальных органов уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

43. Информация, предусмотренная пунктом 41 настоящих Правил, должна быть предоставлена субъекту персональных данных оператором в доступной форме, и в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

44. Информация, предусмотренная пунктом 41 настоящих Правил, предоставляется субъекту персональных данных или его представителю гражданским служащим структурного подразделения ФСТЭК России, территориального органа, осуществляющего обработку соответствующих персональных данных, при обращении либо при получении запроса субъекта персональных данных или его представителя, содержащего:

1) номер, серию документа, удостоверяющего личность субъекта персональных данных или его представителя, дату выдачи, наименование органа, выдавшего его;

2) сведения, подтверждающие участие субъекта персональных данных в правоотношениях с ФСТЭК России, территориальным органом (документ, подтверждающий прием документов на замещение вакантных должностей в ФСТЭК России, территориальном органе, документов, представляемых в целях предоставления государственных услуг, осуществления государственных функций и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных в ФСТЭК России, территориальном органе.

Запрос должен быть подписан субъектом персональных данных или его представителем.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

45. В случае если информация, предусмотренная пунктом 41 настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных, субъект персональных данных вправе повторно обратиться в ФСТЭК России, территориальный орган лично или направить повторный запрос, в целях получения указанной информации и ознакомления с персональными данными, не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен законодательством Российской Федерации или договором, стороной которого либо выгодоприобретателем, либо поручителем по которому является субъект персональных данных.

46. Субъект персональных данных вправе повторно обратиться в ФСТЭК России, территориальный орган лично или направить повторный запрос в целях получения информации, предусмотренной пунктом 41 настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 45 настоящих Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 41 настоящих Правил, должен содержать обоснование направления повторного запроса.

47. ФСТЭК России, территориальный орган вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 45 и 46 настоящих Правил. Такой отказ должен быть мотивированным.

48. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством Российской Федерации, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

IX. Порядок доступа в помещения, в которых ведется

обработка персональных данных

49. Нахождение в помещениях, в которых ведется обработка персональных данных, лиц, не являющихся гражданскими служащими ФСТЭК России, территориальных органов, уполномоченными на обработку персональных данных, возможно только в присутствии гражданского служащего ФСТЭК России, территориального органа, уполномоченного на обработку персональных данных, на время, ограниченное необходимостью решения вопросов, связанных с предоставлением персональных данных.

50. Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на гражданского служащего ФСТЭК России, территориального органа, ответственного за организацию обработки персональных данных в ФСТЭК России, территориальном органе.

X. Лицо, ответственное за организацию обработки

персональных данных

51. Лицо, ответственное за организацию обработки персональных данных в ФСТЭК России, территориальном органе (далее — ответственный за обработку персональных данных), назначается приказом ФСТЭК России, территориального органа из числа гражданских служащих ФСТЭК России, территориального органа в соответствии с распределением обязанностей.

52. Ответственный за обработку персональных данных в своей работе руководствуется законодательством Российской Федерации в области персональных данных и настоящими Правилами.

53. Ответственный за обработку персональных данных обязан:

1) организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в ФСТЭК России, территориальном органе, от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;

2) осуществлять внутренний контроль за соблюдением гражданскими служащими, уполномоченными на обработку персональных данных, требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;

3) доводить до сведения гражданских служащих, уполномоченных на обработку персональных данных, положения законодательства Российской Федерации в области персональных данных, локальные акты по вопросам обработки персональных данных, требования к защите персональных данных;

4) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов в ФСТЭК России, территориальном органе;

5) в случае нарушения в ФСТЭК России, территориальном органе требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.

54. Ответственный за обработку персональных данных вправе:

1), иметь доступ к информации, касающейся обработки персональных данных в ФСТЭК России, территориальном органе и включающей:

цели обработки персональных данных;

категории обрабатываемых персональных данных;

категории субъектов персональных данных, персональные данные которых обрабатываются;

правовые основания обработки персональных данных;

перечень действий с персональными данными, общее описание используемых в ФСТЭК России, территориальном органе способов обработки персональных данных;

описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

дату начала обработки персональных данных;

срок или условия прекращения обработки персональных данных;

сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

сведения об обеспечении безопасности персональных данных в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257);

2) привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в ФСТЭК России, территориальном органе, иных гражданских служащих ФСТЭК России, территориального органа с возложением на них соответствующих обязанностей и закреплением ответственности.

55. Ответственный за обработку персональных данных несет ответственность за ненадлежащее выполнение функций по организации обработки персональных данных в ФСТЭК России, территориальном органе в соответствии с законодательством Российской Федерации в области персональных данных.

Приложение N 2

к приказу ФСТЭК России

от 15 января 2020 г. N 3

ПЕРЕЧЕНЬ

ДОЛЖНОСТЕЙ ФЕДЕРАЛЬНОЙ ГОСУДАРСТВЕННОЙ ГРАЖДАНСКОЙ СЛУЖБЫ

ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

И ЕЕ ТЕРРИТОРИАЛЬНЫХ ОРГАНОВ, ЗАМЕЩЕНИЕ КОТОРЫХ

ПРЕДУСМАТРИВАЕТ ОСУЩЕСТВЛЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ

ДАННЫХ ЛИБО ОСУЩЕСТВЛЕНИЕ ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ

В Федеральной службе по техническому и экспортному контролю и ее территориальных органах предусмотрены следующие должности федеральной государственной гражданской службы, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, в случае если в должностные обязанности федеральных государственных гражданских служащих, замещающих эти должности, входит обработка персональных данных либо осуществление доступа к персональным данным, либо если федеральные государственные гражданские служащие, замещающие эти должности, реализуют права субъектов персональных данных в соответствии со статьей 14 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных»:

в центральном аппарате ФСТЭК России

Директор ФСТЭК России

Первый заместитель директора ФСТЭК России

Заместитель директора ФСТЭК России

Начальник управления

Заместитель начальника управления

Начальник отдела в управлении

Заместитель начальника отдела в управлении

Начальник отдела

Заместитель начальника отдела

Ведущий советник

Советник

Консультант

в управлениях ФСТЭК России по федеральным округам

Руководитель управления

Заместитель руководителя управления

Начальник отдела

Заместитель начальника отдела

Консультант

Приложение N 3

к приказу ФСТЭК России

от 15 января 2020 г. N 3

ПЕРЕЧЕНЬ

ДОЛЖНОСТЕЙ ФЕДЕРАЛЬНЫХ ГОСУДАРСТВЕННЫХ ГРАЖДАНСКИХ СЛУЖАЩИХ

ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

И ЕЕ ТЕРРИТОРИАЛЬНЫХ ОРГАНОВ, ОТВЕТСТВЕННЫХ ЗА ПРОВЕДЕНИЕ

МЕРОПРИЯТИЙ ПО ОБЕЗЛИЧИВАНИЮ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ

ДАННЫХ, В СЛУЧАЕ ОБЕЗЛИЧИВАНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

В Федеральной службе по техническому и экспортному контролю и ее территориальных органах предусмотрены следующие должности федеральных государственных гражданских служащих, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае если в должностные обязанности федеральных государственных гражданских служащих, замещающих данные должности, входит проведение мероприятий по обезличиванию обрабатываемых персональных данных в случае обезличивания персональных данных:

в центральном аппарате ФСТЭК России

Начальник управления

Заместитель начальника управления

Начальник отдела в управлении

Заместитель начальника отдела в управлении

Начальник отдела

Заместитель начальника отдела

Ведущий советник

Советник

Консультант

в управлениях ФСТЭК России по федеральным округам

Начальник отдела

Заместитель начальника отдела

Консультант

Приложение N 4

к приказу ФСТЭК России

от 15 января 2020 г. N 3

ТИПОВОЕ ОБЯЗАТЕЛЬСТВО

федерального государственного гражданского служащего Федеральной службы по техническому и экспортному контролю, ее территориального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей

Я, _____________________________________________________________________,

фамилия, имя, отчество (при наличии)

обязуюсь прекратить обработку персональных данных, ставших мне известными в связи с исполнением должностных обязанностей, в случае расторжения со мной служебного контракта.

В соответствии со статьей 7 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2011, N 31, ст. 4701) я уведомлен(а) о том, что персональные данные являются конфиденциальной информацией, и я обязан(а) не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных.

Положения законодательства Российской Федерации, предусматривающие ответственность за нарушение требований Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных», мне разъяснены.

дата

подпись

Приложение N 5

к приказу ФСТЭК России

от 15 января 2020 г. N 3

ТИПОВАЯ ФОРМА

согласия на обработку персональных данных

субъектов персональных данных

1) фамилия, имя, отчество (при наличии) (в том числе прежние фамилии, имена и (или) отчества (при наличии), дата, место и причина изменения в случае их изменения);

2) число, месяц, год рождения;

3) место рождения;

4) сведения о гражданстве (в том числе предыдущие гражданства, иные гражданства);

5) сведения об образовании (когда и какие образовательные, научные и иные организации окончил, номера документов об образовании, направление подготовки или специальность по документу об образовании, квалификация);

6) сведения об ученой степени, ученом звании;

7) сведения о профессиональной переподготовке и (или) повышении квалификации;

8) сведения о владении иностранными языками, степень владения;

9) сведения о классном чине гражданской службы Российской Федерации (дипломатическом ранге, классном чине юстиции, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации), квалификационном разряде гражданской службы (квалификационном разряде или классном чине муниципальной службы), кем и когда присвоены;

10) сведения о наличии или отсутствии судимости;

11) сведения об оформленных за период работы, службы, учебы допусках к государственной тайне;

12) сведения о трудовой деятельности (включая работу по совместительству, предпринимательскую и иную деятельность), военной службе;

13) сведения о государственных наградах, иных наградах и знаках отличия;

14) сведения о семейном положении, составе семьи и о близких родственниках (в том числе бывших);

15) сведения о близких родственниках (отец, мать, братья, сестры и дети), а также супругах, в том числе бывших, постоянно проживающих за границей и (или) оформляющих документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество (при наличии), с какого времени проживают за границей);

16) сведения о пребывании за границей (когда, где и с какой целью);

17) отношение к воинской обязанности, сведения о воинском учете и реквизиты документов воинского учета;

18) адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;

19) номер контактного телефона или сведения о других способах связи;

20) вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование органа, выдавшего его;

21) реквизиты паспорта гражданина Российской Федерации, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации (серия, номер, когда и кем выдан);

22) реквизиты страхового свидетельства обязательного пенсионного страхования;

23) идентификационный номер налогоплательщика;

24) реквизиты страхового медицинского полиса обязательного медицинского страхования;

25) реквизиты свидетельств государственной регистрации актов гражданского состояния;

26) сведения об отсутствии заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению;

27) сведения об отсутствии медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну;

28) личная фотография;

29) сведения о прохождении гражданской службы (работы), в том числе: дата, основания поступления на гражданскую службу (работу) и назначения на должность гражданской службы, дата, основания назначения, перевода, перемещения на иную должность гражданской службы (работы), наименование замещаемых должностей гражданской службы с указанием структурных подразделений, размера денежного содержания (заработной платы), результатов аттестации на соответствие замещаемой должности гражданской службы, а также сведения о прежнем месте работы;

30) сведения, содержащиеся в служебном контракте (трудовом договоре), дополнительных соглашениях к служебному контракту (трудовому договору);

31) сведения о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;

32) сведения о доходах, расходах, об имуществе и обязательствах имущественного характера, а также о доходах, расходах, об имуществе и обязательствах имущественного характера супруги (супруга) и несовершеннолетних детей;

33) номер расчетного счета (номера расчетных счетов);

34) номер банковской карты (номера банковских карт);

35) иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 6 Правил обработки персональных данных в Федеральной службе по техническому и экспортному контролю и ее территориальных органах (приложение N 1 к настоящему приказу).

Вышеуказанные персональные данные предоставляю для обработки в целях обеспечения соблюдения в отношении меня законодательства Российской Федерации в сфере отношений, связанных с поступлением на государственную гражданскую службу (трудовых и непосредственно связанных с ними отношений), для реализации полномочий, возложенных на Федеральную службу по техническому и экспортному контролю и ее территориальные органы законодательством Российской Федерации.

Я ознакомлен(а) с тем, что:

1) согласие на обработку персональных данных действует с даты подписания настоящего согласия в течение всего срока прохождения федеральной государственной гражданской службы (трудовых и непосредственно связанных с ними отношений) в Федеральной службе по техническому и экспортному контролю, ее территориальном органе;

2) согласие на обработку персональных данных может быть отозвано на основании письменного заявления в произвольной форме;

3) в случае отзыва согласия на обработку персональных данных Федеральная служба по техническому и экспортному контролю, ее территориальный орган вправе продолжить обработку персональных данных без согласия при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных»;

4) после увольнения с федеральной государственной гражданской службы (прекращения трудовых и непосредственно связанных с ними отношений) персональные данные будут храниться в Федеральной службе по техническому и экспортному контролю, ее территориальном органе в течение предусмотренного законодательством Российской Федерации и иными нормативными правовыми актами Российской Федерации срока хранения документов;

5) персональные данные, предоставляемые в отношении третьих лиц, будут обрабатываться только в целях осуществления и выполнения возложенных законодательством Российской Федерации на Федеральную службу по техническому и экспортному контролю, ее территориальный орган функций, полномочий и обязанностей.

Дата начала обработки персональных данных:

число, месяц, год

подпись

Приложение N 6

к приказу ФСТЭК России

от 15 января 2020 г. N 3

ТИПОВАЯ ФОРМА

разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные

Мне, ____________________________________________________________________,

фамилия, имя, отчество (при наличии)

разъяснены юридические последствия отказа предоставить свои персональные данные уполномоченным лицам Федеральной службы по техническому и экспортному контролю (ее территориального органа).

В соответствии со статьями 26 и 42 Федерального закона от 27 июля 2004 г. N 79-ФЗ «О государственной гражданской службе Российской Федерации» (Собрание законодательства Российской Федерации 2004, N 31, ст. 3215; 2016, N 27, ст. 4157), Положением о персональных данных федерального государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденным Указом Президента Российской Федерации от 30 мая 2005 г. N 609 (Собрание законодательства Российской Федерации, 2005, N 23, ст. 2242; 2019, N 30, ст. 4291), статьями 65 и 86 Трудового кодекса Российской Федерации Федеральной (Собрание законодательства Российской Федерации, 2002, N 1, ст. 3; 2019, N 51, ст. 7491) службой по техническому и экспортному контролю определен перечень персональных данных, которые субъект персональных данных обязан предоставить уполномоченным лицам Федеральной службой по техническому и экспортному контролю (ее территориального органа) в связи с поступлением, прохождением и увольнением с государственной гражданской службы Российской Федерации (работы). Без представления субъектом персональных данных обязательных для заключения служебного контракта (трудового договора) сведений служебный контракт (трудовой договор) не может быть заключен.

дата

подпись

Еще документы:

Приказ Минстроя России от 02.12.2019 N 743/пр

«Об утверждении порядка составления и утверждения отчета о результатах деятельности государственных учреждений, функции и полномочия учредителя которых осуществляет Министерство строительства и жилищно-коммунального хозяйства Российской Федерации, и об использовании закрепленного за ними государственного имущества» (Зарегистрировано в Минюсте России 13.02.2020 N 57491)

Приказ СК России от 26.12.2019 N 151

«О внесении изменений в приказ Следственного комитета Российской Федерации от 23.06.2014 N 53 «О наградах и поощрениях Следственного комитета Российской Федерации и мерах по совершенствованию практики применения поощрений в системе Следственного комитета Российской Федерации» (Зарегистрировано в Минюсте России 14.02.2020 N 57506)

Приказ МВД России от 08.11.2019 N 827

«О признании утратившими силу отдельных нормативных предписаний Положения о Министерстве внутренних дел по Республике Коми, утвержденного приказом МВД России от 24 июля 2017 г. N 518»

Приказ МВД России от 08.11.2019 N 806

«О признании утратившими силу отдельных нормативных предписаний Положения об Управлении Министерства внутренних дел Российской Федерации по Костромской области, утвержденного приказом МВД России от 21 июля 2017 г. N 498»

Порядок разработан в соответствии с требованиями Приказа ФСТЭК России от мер по обеспечению безопасности персональных данных при их.

ВИДЕО ПО ТЕМЕ: ВЕБИНАР: ПРАКТИЧЕСКАЯ РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ ПО ОБРАБОТКЕ И ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ 152-ФЗ

Назначениe лица, ответственного за организацию обработки персональных данных

Об организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

____________________________________________________________________
Утратил силу на основании Приказа Министерства труда и занятости населения Оренбургской области от 28.11.2019 N 281.
____________________________________________________________________

В целях распределения ответственности при обеспечении безопасности персональных данных при обработке в информационной системе и защищаемых помещениях, в соответствии с требованиями Федерального закона от 27.07.2006 г. N 152-ФЗ "О персональных данных" п. 22.1, Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного Постановлением Правительства РФ от 01.11.2012 г. N 1119, руководящих документов ФСТЭК России по технической защите информации, внутренних документов по организации защиты персональных данных приказываю:

1. Назначить ответственным за организацию обработки персональных данных в министерстве труда и занятости населения Оренбургской области Исхакову Наилю Бисингалеевну, заместителя министра с возложением следующих обязанностей:

— организация работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;

— проведение разбирательств по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных;

— приостановка предоставления персональных данных пользователям информационной системы при обнаружении нарушений порядка предоставления персональных данных.

2. Определить в качестве администратора безопасности, ответственного за выполнение работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в министерстве труда и занятости населения Оренбургской области начальника отдела информационных технологий и автоматизации Новичкова Игоря Анатольевича. В рамках проведения данных работ возложить на Новичкова И.А. исполнение следующих функций:

— администрирование информационных систем персональных данных;

— администрирование средств антивирусной защиты информационных систем персональных данных;

— администрирование средств защиты персональных данных в информационных системах персональных данных.

3. Назначить ответственного за эксплуатацию информационных систем персональных данных:

— "Катарсис" Новичкова И. А., начальника отдела ИТ и автоматизации;

— "Бухгалтерия" Белову Е. В., заместителя начальника отдела финансово-бухгалтерского учета;

— "Ветеран" Гришину Г.Н., начальника отдела трудоустройства и специальных программ;

— "Учет граждан, обратившихся в рамках антикризисной программы" Гришину Г.Н., начальника отдела трудоустройства и специальных программ.

4. Назначить ответственных за резервное копирование в автоматизированных системах:

— начальника отдела информационных технологий и автоматизации Новичкова Игоря Анатольевича;

— главного специалиста отдела информационных технологий и автоматизации Светлейшую Наталью Михайловну.

5. Администратору безопасности Новичкову И.А. организовать учет носителей персональных данных в соответствии с правилами ведения делопроизводства.

6. С целью проведения классификации информационных систем персональных данных создать комиссию в составе согласно приложению N 1.

7. Утвердить и ввести в действие:

7.1. Перечень персональных данных, обрабатываемых в информационных системах министерства труда и занятости населения Оренбургской области (Приложение N 2);

7.2. Соглашение о допуске к конфиденциальной информации (Приложение N 3);

7.3. Положение о порядке организации и проведения работ по защите конфиденциальной информации в министерстве труда и занятости населения Оренбургской области (Приложение N 4).

7.4. Положение по обеспечению безопасности конфиденциальной информации при ее обработке в автоматизированных системах и защищаемых помещениях министерства труда и занятости населения Оренбургской области (Приложение N 5).

7.5. Инструкция пользователю автоматизированной системы (Приложение N 6);

7.6. Инструкция администратора безопасности автоматизированных систем (Приложение N 7);

7.7. Инструкция по парольной защите в автоматизированных системах (Приложение N 8);

7.8. Инструкция по антивирусной защите автоматизированной системы объекта вычислительной техники (Приложение N 9);

7.9. Инструкцию по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты конфиденциальной информации, при их обработке в информационных системах персональных данных в министерстве труда и занятости населения Оренбургской области (Приложение N 10).

7.10. Порядок доступа в помещения, в которых ведется обработка персональных данных (Приложение N 11).

7.11. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (Приложение N 12).

7.12. Правила обработки персональных данных, направленные на выявление и предо твращение нарушений законодательства РФ в сфере ПДн в министерстве труда и занятости населения Оренбургской области (Приложение N 13).

7.13. Правила рассмотрения запросов субъектов персональных данных или их представителей (Приложение N 14).

8. Признать утратившими силу приказы министра труда и занятости населения Оренбургской области:

— от 30.12.2010 N 155 "Об организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

— от 02.08.2012 N 146 "О внесении изменений в приказ министерства труда и занятости населения Оренбургской области от 30.12.2010 N 155".

9. Контроль за исполнением настоящего приказа оставляю за собой.

Министр В.П.Кузьмин

Приложение N 1

к приказу министра труда и

занятости населения

Оренбургской области

от 27.02.2013 N 45

Состав комиссии для проведения классификации

информационных систем персональных данных

Исхакова Наиля Бисингалеевна, заместитель министра — председатель Комиссии;

Члены Комиссии:

Новичков Игорь Анатольевич — начальник отдела информационных технологий и автоматизации;

Семина Ольга Юрьевна — начальник кадрово-правового отдела;

Светлейшая Наталья Михайловна — главный специалист отдела информационных технологий и автоматизации.

и
о

Перечень персональных данных, обрабатываемых в информационных системах министерства труда и занятости населения Оренбургской области

N п/п

Основание для обработки

Содержание сведений

Срок хранения, условия прекращения обработки

1.

— Глава 14 Трудового кодекса РФ;

— Федеральный закон "О внесении изменений в трудовой кодекс Российской Федерации, признании недействующими на территории Российской Федерации некоторых нормативных правовых актов СССР и утратившими силу некоторых законодательных актов (положений Законодательных актов) Российской Федерации" от 30 июня 2006 года N 90-ФЗ
— Федеральный закон N 173-ФЗ от 17.12.2001 г. "О трудовых пенсиях в Российской Федерации"

— фамилия, имя, отчество;

— пол;

— дата и место рождения, возраст;

— гражданство;

— семейное положение;

— адрес места жительства (пребывания);

— номер контактного телефона;

— сведения о документах, удостоверяющих личность работника;

— данные документов о профессиональном образовании, профессиональной переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания;

— данные трудовой книжки (назначения, перемещения, должность);

— данные служебного контракта, а также дополнительные соглашения, к нему;

— данные документов воинского учета (категория годности к военной службе, личный номер, военный билет, воинское звание, военно-учебная специальность, удостоверение, команда, название военкомата по месту жительства);

— д анные страхового свидетельства обязательного пенсионного страхования;

— д анные свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации;

— д анные страхового медицинского полиса обязательного медицинского страхования граждан;

— данные о зарплате (сумма за месяц, год)

75 лет ЭПК
Приказ Министерства культуры РФ от 25 августа 2010 г. N 558
" Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения "

2.

— Закон РФ от 19 апреля 1991 г. N 1032-1 "О занятости населения в Российской Федерации";

— приказы Министерства здравоохранения и социального развития РФ
от 3 июля 2006 г. N 513;

от 30 ноября 2006 г. N 819;

от 18 января 2007 г. N 18н;

от 7 июня 2007 г. N 400;

от 7 июня 2007 г. N 401;

от 13 июня 2007 г. N 415;

от 28 июня 2007 г. N 449;

от 1 ноября 2007 г. N 680;

от 27 ноября 2007 г. N 726;

от 7 марта 2008 г. N 125н;

от 16 июня 2008 г. N 281н ;

— Федеральный закон N 173-ФЗ от 17.12.2001 г. " О трудовых пенсиях в Российской Федерации " .

— ф амилия, имя, отчество;

— пол;

— д ата рождения;

— гражданство ;

— а дрес места жительства;

— номер контактного телефона;

— семейное положение;

— с ерия и номер паспорта или удостоверения личности, дата выдачи указанных документов, наименование выдавшего их органа;

— данные трудовой книжки (последнее место работы, назначения, перемещения, должность);

— данные документов о профессиональном образовании, профессиональной переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания;

— наименование учебного заведения, год окончания;

— дополнительные навыки (знание иностранных языков, знание и умение пользоваться ПЭВМ и др.);

— данные о зарплате (сумма за месяц, 3 месяца, год);

— индивидуальная программа реабилитации инвалида, справка МСЭ и КЭК;

— категория, к которой относится гражданин и документы, подтверждающие данную категорию.

75 лет -"В"
Приказ Министерства культуры РФ от 25 августа 2010г. N 558
" Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения "

Приложение N 3

к приказу министра труда и

занятости населения

Оренбургской области от 27.02.2013 N 45

Приложение

Приложение N ______

к служебному контракту

СОГЛАШЕНИЕ о допуске к конфиденциальной информации

Министерство труда и занятости населения Оренбургской области в лице министра Кузьмина Вячеслава Петровича, действующего на основании Положения (далее — Работодатель), и работник Ф.И.О. ___________________________________________________________________ служебный контракт "__" __________ 20___ г. N ____ (далее — Работник), (при совместном упоминании – Стороны), договорились о нижеследующем:

1. Предмет соглашения и основные понятия

1.1. Работодатель предоставляет Работнику для исполнения последним его трудовых обязанностей доступ к конфиденциальной информации, обладателями которой являются Работодатель или его контрагенты, а Работник обязуется соблюдать в соответствии со служебным контрактом режим защиты конфиденциальной информации, установленный Работодателем в отношении данной информации.

1.2. Для целей настоящего Соглашения используются следующие основные понятия:

1.2.1. Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

1.2.2. Конфиденциальная информация — информация, которая имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим защиты конфиденциальной информации.

1.2.3. Режим защиты конфиденциальной информации — правовые, организационные, технические и иные принимаемые обладателем конфиденциальной информации, меры по охране ее конфиденциальности.

1.2.4. Обладатель конфиденциальной информации — лицо, которое владеет конфиденциальной информацией и на законном основании ограничило доступ к этой информации и установило в отношении нее режим коммерческой тайны (Работодатель и его контрагенты).

1.2.5. Доступ к конфиденциальной информации — ознакомление Работника с конфиденциальной информацией с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации.

1.2.6. Разглашение конфиденциальной информации — действие или бездействие, в результате которых конфиденциальная информация в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки служебному котракту.

2. Права и обязанности сторон

2.1. В целях охраны конфиденциальности информации Работодатель обязан:

2.1.1. Ознакомить под роспись Работника, доступ которого к конфиденциальной информации необходим для выполнения им своих трудовых обязанностей, с Перечнем конфиденциальной информации.

2.1.3. Создать Работнику необходимые условия для соблюдения им установленного Работодателем режима защиты конфиденциальной информации.

2.2. В целях охраны конфиденциальности информации Работник обязан:

2.2.1. Выполнять установленный Работодателем режим защиты конфиденциальной информации.

2.2.2. Не разглашать конфиденциальную информацию, обладателями которой являются Работодатель и его контрагенты, и без их согласия не использовать эту информацию в личных целях и для занятий любой деятельностью, которая в качестве конкурентного действия может нанести ущерб организации.

2.2.3. Не разглашать конфиденциальную информацию, обладателями которой являются Работодатель и его контрагенты, после прекращения служебного контракта в течение 3 (трех) лет.

2.2.4. В случае попытки посторонних лиц получить конфиденциальную информацию, обладателями которой являются Работодатель и его контрагенты, немедленно сообщать Работодателю.

2.2.5. Об утрате или недостаче материальных носителей информации, содержащих конфиденциальную информацию (рукописи, черновики, чертежи, диски, дискеты, распечатки на принтерах и др.), удостоверений, пропусков, ключей от режимных помещений, хранилищ, сейфов (металлических шкафов), личных печатей и о других фактах, которые могут привести к разглашению конфиденциальной информации, обладателями которой являются Работодатель и его контрагенты, а также о причинах и условиях возможной утечки соответствующей информации немедленно сообщать Работодателю.

2.2.6. Передать Работодателю при прекращении или расторжении служебного контракта имеющиеся в пользовании Работника материальные носители информации, содержащие конфиденциальную информацию (рукописи, черновики, чертежи, диски, дискеты, распечатки на принтерах, материалы, изделия и др.), обладателями которой являются Работодатель и его контрагенты.

2.2.7. Возместить причиненный Работодателю ущерб, если Работник виновен в разглашении конфиденциальной информации, обладателями которой являются Работодатель и его контрагенты, ставшей ему известной в связи с исполнением им служебных обязанностей.

2.3. Работодатель вправе потребовать возмещения причиненных убытков Работником либо лицом, прекратившим с Работодателем трудовые отношения, в случае, если они виновны в разглашении конфиденциальной информации, обладателями которой являются Работодатель и его контрагенты, доступ к которой они получили в связи с исполнением ими служебных обязанностей.

2.4. Работодатель вправе в случае невыполнения Работником любого из пунктов 2.2.1- 2.2.5 настоящего соглашения привлечь Работника к ответственности в соответствии с действующим законодательством.

3. Ответственность сторон

3.1. За нарушение настоящего Соглашения Стороны несут ответственность в соответствии с действующим законодательством Российской Федерации.

4. Прочие положения

4.1. Настоящее Соглашение вступает в силу со дня подписания его Сторонами и может быть расторгнуто только по инициативе Работодателя посредством письменного уведомления Работника (лица, прекратившего с Работодателем трудовые отношения).

4.2. По вопросам, которые не нашли отражение в настоящем Соглашении, стороны руководствуются действующим законодательством Российской Федерации.

4.3. Соглашение составлено в двух имеющих одинаковую юридическую силу экземплярах, по одному для каждой из сторон.

5. Реквизиты сторон

Работодатель

Работник

Министерство труда и занятости населения Оренбургской области
Юридический и фактический адрес: 460000, г.Оренбург, ул.Пушкинская,
д.14, ИНН 5610112265
КПП 561001001
р/сч.40201810300000100005
в ГРКЦ ГУ Банка России по Оренбургской области г. Оренбурга

паспорт: серия_____ N __________, выдан ________________________
_____________________________, зарегистрированный по адресу:
_____________________________________________________________________________________________

Министр ______________В.П. Кузьмин
М.П.

_________________ ___________
(инициалы, фамилия) (подпись)

Приложение N 4

к приказу министра труда и

занятости населения

Оренбургской области от 27.02.2013 N 45

ПОЛОЖЕНИЕ о порядке организации и проведения работ по защите конфиденциальной информации в министерстве труда и занятости населения Оренбургской области

1. Общие положения

1.1. Данное "Положение о порядке организации и проведении работ по защите конфиденциальной информации в Министерстве труда и занятости населения Оренбургской области" (далее — Положение) разработано в соответствии с национальным стандартом РФ ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью, с учетом "Специальных требований и рекомендаций по технической защите конфиденциальной информации", утвержденных приказом Гостехкомиссии России от 30.08.2002 г. N 282, методическими рекомендациями ФСТЭК России, ФСБ России в целях обеспечения безопасности конфиденциальной информации.

1.2. Положение определяет порядок работы гражданских служащих министерства труда и занятости населения Оренбургской области (далее — министерство) в части обеспечения безопасности конфиденциальной информации при ее обработке, хранении и передаче в автоматизированных системах; использования средств защиты информации; разработку и принятие мер по предотвращению возможных опасных последствий таких нарушений, порядок обучения персонала практике работы с конфиденциальной информацией, предусмотренные эксплуатационной и технической документацией, порядок проверки электронного журнала обращений к АС, порядок контроля соблюдения условий использования средств защиты информации, предусмотренные эксплуатационной и технической документацией, правила обновления общесистемного и прикладного программного обеспечения, правила организации антивирусной защиты и парольной защиты, порядок охраны и допуска посторонних лиц в защищаемые помещения.

2. Термины и определения

В настоящем Положении применены следующие термины с соответствующими определениями:

Информационная безопасность — защита конфиденциальности, целостности и доступности информации.

Конфиденциальность — обеспечение доступа к информации только авторизованным пользователям.

Целостность — обеспечение достоверности и полноты информации и методов ее обработки.

Доступность — обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Администратор автоматизированной системы — лицо, ответственное за функционирование автоматизированной системы в установленном штатном режиме работы.

Администратор защиты (безопасности) информации — лицо, ответственное за защиту АС от несанкционированного доступа к информации.

Безопасность информации — состояние защищенности информации, характеризуемое способностью гражданских служащих, технических средств и информационных технологий обеспечивать конфиденциальность, т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней, целостность и доступность информации при ее обработке техническими средствами.

Доступ к информации (доступ) — ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение информации.

Автоматизированная система (АС) — система, состоящая из гражданских служащих и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций

Защита информации от несанкционированного доступа (защита от НСД) или воздействия — деятельность, направленная на предотвращение или существенное затруднение несанкционированного доступа к информации (или воздействия на информацию).

Защищаемые помещения (ЗП) — помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).

Контролируемая зона (КЗ) — это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание гражданских служащих и посетителей организации, а также транспортных, технических и иных материальных средств. Границей КЗ могут являться:

— периметр охраняемой территории организации;

— ограждающие конструкции охраняемого здания или охраняемой части здания, если оно размещено на неохраняемой территории.

Конфиденциальная информация — информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Несанкционированный доступ (НСД) — доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых СВТ или АС.

Техническая защита конфиденциальной информации (ТЗКИ) — защита информации некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и от специальных воздействий на информацию в целях ее уничтожения, искажения или блокирования.

Вспомогательные технические средства и системы (ВТСС) — технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, размещаемые совместно с основными техническими средствами и системами или в защищаемых помещениях.

Доступность информации — состояние информации, характеризуемое способностью АС обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия.

Конфиденциальная информация — информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Локальная вычислительная сеть (ЛВС) — совокупность основных технических средств и систем, осуществляющих обмен информацией между собой и с другими информационными системами, в том числе с ЛВС, через определенные точки входа/выхода информации, которые являются границей ЛВС.

Межсетевой экран (МЭ) — это локальное (однокомпонентное) или функционально распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в АС и (или) выходящей из АС.

Основные технические средства и системы (ОТСС) — технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации.

Система защиты информации от НСД (СЗИ НСД) — комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации (несанкционированных действий с ней) в АС.

3. Организационные вопросы безопасности

3.1 Организационная инфраструктура информационной безопасности

3.1.1.Ответственным за разработку и реализацию политики информационной безопасности является начальник отдела информационных технологий и автоматизации министерства, который отвечает за ее реализацию и пересмотр в соответствии с установленной процедурой. Указанная процедура обеспечивает осуществление пересмотра политики информационной безопасности в соответствии с изменениями, влияющими на основу первоначальной оценки риска, появление новых уязвимостей или изменения организационной или технологической инфраструктуры. Периодические пересмотры должны осуществляться ежегодно и включать:

— проверку эффективности политики, исходя из характера, числа и последствий зарегистрированных инцидентов нарушения информационной безопасности;

— определение стоимости мероприятий по управлению информационной безопасностью и их влияние на эффективность бизнеса;

— оценку влияния изменений в технологиях.

3.1.2. Распределение обязанностей по обеспечению информационной безопасности.

Ответственность за организацию разработки и внедрения системы информационной безопасности, а также за оказание содействия в определении мероприятий по управлению информационной безопасностью возлагается на заместителя министра труда и занятости населения Оренбургской области.

Руководители структурных подразделений министерства несут ответственность за определение подлежащих защите ресурсов и реализацию мероприятий по управлению информационной безопасностью в подразделениях министерства. В каждом структурном подразделении назначается ответственное лицо (администратор) для каждого информационного актива, в чьи повседневные обязанности входит обеспечение безопасности данного актива.

Приказом министра труда и занятости населения Оренбургской области (далее — министр) определяются:

— информационные активы и процессы (процедуры) безопасности, связанные с каждой отдельной автоматизированной системой;

— ответственные за эксплуатацию и обеспечение безопасности каждой автоматизированной системы;

— уровни полномочий (авторизации) пользователей автоматизированных систем.

3.2. Учет информационных активов

Все основные информационные активы должны быть учтены и закреплены за ответственными лицами приказом министра. Приказ должен идентифицировать владельцев всех основных активов и определить их ответственность за поддержание соответствующих мероприятий по управлению информационной безопасностью. Каждый актив должен быть четко идентифицирован и классифицирован с точки зрения безопасности, его владельцы должны быть авторизованы, а данные о них документированы. Кроме того, должно быть указано фактическое местоположение актива.

Информационными активами, связанными с информационными системами, являются:

— информационные активы: базы данных и файлы данных, системная документация, руководства пользователя, учебные материалы, процедуры эксплуатации или поддержки (обслуживания), планы по обеспечению непрерывности функционирования информационного обеспечения, процедуры действий при сбоях, архивированная информация;

— активы программного обеспечения: прикладное программное обеспечение, системное программное обеспечение, инструментальные средства разработки и утилиты;

— физические активы: компьютерное оборудование (процессоры, мониторы, переносные компьютеры, модемы), оборудование связи (маршрутизаторы, частные автоматические телефонные станции с выходом в сеть общего пользования, факсы, автоответчики), магнитные носители (ленты и диски), другое техническое оборудование (электропитание, кондиционеры), мебель, помещения;

— услуги: вычислительные услуги и услуги связи, основные коммунальные услуги (отопление, освещение, электроэнергия, кондиционирование).

3.3. Классификация информации

С целью обеспечения защиты на надлежащем уровне информационных активов информацию следует классифицировать, чтобы определить ее приоритетность, необходимость и степень ее защиты. Конфиденциальная информация требует дополнительного уровня защиты или специальных методов обработки. Классификация информации позволяет определить, как эта информация должна быть обработана и защищена. Система классификации информации используется для определения соответствующего множества уровней защиты и потребности в специальных методах обработки.

Для проведения классификации автоматизированных систем министерства приказом министра создается комиссия. Результатом работы комиссии является Акт классификации автоматизированной системы.

При проведении классификации и категорирования автоматизированных систем комиссия пользуется руководящими документами:

— руководящим документом ФСТЭК России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации";

— "Порядком классификации информационных систем персональных данных", утвержденный приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20;

— "Специальными требованиями и рекомендациями по технической защите конфиденциальной информации по технической защите конфиденциальной информации (СТР-К)";

— другими действующими нормативными документами в области информационной безопасности

3.4. Учет вопросов безопасности в должностных регламентах гражданских служащих и при поступлении граждан на должности государственной гражданской службы в министерстве.

3.4.1. Доступ к конфиденциальной информации.

Система доступа представляет собой совокупность норм и правил, определяющих, кто из руководителей, кому из пользователей и с какими категориями документов может давать разрешение на ознакомление.

Система доступа должна отвечать следующим требованиям:

— доступ к конфиденциальным документам может предоставляться гражданским служащим, письменно оформившим с представителем нанимателя отношения о неразглашении ставших им известными конфиденциальных сведений. Письменное оформление отношений о неразглашении конфиденциальной информации (соблюдения режима конфиденциальности) является обязательным условием для доступа исполнителей к документам;

— доступ к конфиденциальным документам должен быть обоснованным, т.е. базироваться на служебной необходимости ознакомления с конкретным документом именно данного исполнителя;

— система доступа должна давать возможность обеспечивать исполнителей всеми необходимыми им в силу служебных обязанностей документами, но только теми, которые действительно необходимы для выполнения конкретного вида работ;

— доступ к документам должен быть санкционированным, т.е. осуществляться только по соответствующему разрешению уполномоченного на то должностного лица. При этом соответствующее должностное лицо может давать разрешение на ознакомление с документами только входящими в сферу его деятельности и только установленному кругу лиц;

— доступ должен оформляться письменно по каждому конкретному конфиденциальному документу. При необходимости ознакомления исполнителя только с частью документа в разрешении на ознакомление должны быть указаны разделы (пункты или страницы), с которыми можно знакомить исполнителя.

Доступ гражданских служащих министерства к конфиденциальной информации осуществляется на добровольной основе. Эти отношения устанавливаются при поступлении гражданина на гражданскую службу или уже в ходе прохождения гражданской службы. При этом необходимо выполнить следующие условия:

— ознакомить гражданского служащего под роспись с перечнем конфиденциальной информации;

— ознакомить гражданского служащего под роспись с установленным в организации режимом по охране конфиденциальности и с мерами ответственности за его нарушение;

— создать гражданскому служащему необходимые условия для соблюдения им установленного режима по охране конфиденциальности.

Права гражданских служащих на доступ к конфиденциальной информации и работу с ее носителями регулируются разрешениями полномочных должностных лиц, оформленными в письменном (документальном) виде.

Оформление таких разрешений осуществляется:

1. Министром в виде приказа о допуске к конфиденциальной информации;

2. Руководителями структурных подразделений министерства в отношении непосредственно подчиненных им гражданских служащих.

Именные (должностные) списки гражданских служащих, допускаемых к конфиденциальной информации, в обязательном порядке содержат должности и фамилии, а также категории сведений (документов), к которым они допускаются.

Разрешение может оформляться непосредственно на документе (носителе информации) в виде резолюции (поручения), адресованного конкретному гражданскому служащему; либо посредством указания (перечисления) в организационно-плановых и иных документах министерства гражданских служащих (их фамилий), которые при решении конкретных служебных и иных задач должны быть допущены к конфиденциальной информации.

Функции (роли) и ответственность в области информационной безопасности, должны быть документированы. В должностные регламенты включаются как общие обязанности по внедрению или соблюдению политики безопасности, так и специфические особенности по защите определенных активов или действий, касающихся безопасности.

Руководители структурных подразделений обязаны:

— ознакомить под расписку гражданского служащего, которому для выполнения его служебных обязанностей нужен доступ к информации, распространение которой в Российской Федерации ограничивается или запрещается, с перечнем информации, составляющей конфиденциальную информацию, обладателем которой является министерство;

— ознакомить под расписку гражданского служащего с настоящим Положением и с мерами ответственности за его нарушение;

— создать гражданскому служащему необходимые условия для соблюдения им установленного настоящим Положением порядка организации и проведения работ по защите конфиденциальной информации в министерстве.

3.4.2. Проверка граждан при поступлении на должности гражданской службы министерства и соответствующая политика.

Проверка достоверности представляемых гражданином персональных данных и иных сведений при поступлении на гражданскую службу осуществляется кадрово-правовым отделом министерства в соответствии с законодательством о прохождении гражданской службы Оренбургской области.

3.4.3. Соглашения о конфиденциальности.

Все гражданские служащие министерства и представители третьей стороны, использующие средства обработки информации министерства, должны подписывать соглашение о конфиденциальности (неразглашении).

Соглашения о конфиденциальности или соглашения о неразглашении используются для уведомления гражданских служащих о том, что информация является конфиденциальной. Гражданские служащие должны подписывать такое соглашение как неотъемлемую часть условий служебного контракта.

Условия соглашения должны определять ответственность служащего в отношении информационной безопасности. Эта ответственность должна сохраняться и в течение определенного срока (три года) после увольнения со службы. В соглашении указываются меры дисциплинарного воздействия, которые будут применимы в случае нарушения гражданским служащим требований безопасности.

ВИДЕО ПО ТЕМЕ: Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите персональных данных

персональных данных», а также в целях организации работ по обеспечению безопасности персональных данных при их обработке в информационных.

Приказ о назначении администратора безопасности информационных систем персональных данных

Об организации работ

по защите информации,

содержащей персональные данные

В целях обеспечения режима конфиденциальности проводимых работ и в соответствии с требованиями руководящих документов ФСТЭК России по защите информации, содержащей персональные данные, обрабатываемой на объектах информатизации наименование органа исполнительной власти Смоленской области

п р и к а з ы в а ю:

1. Назначить ответственным за защиту информации, содержащей персональные данные на объектах информатизации наименование органа исполнительной власти Смоленской области должность ФИО.

2. Ответственному за защиту информации, содержащей персональные данные:

— организовать проведение работ по защите информации. В своей работе ответственному руководствоваться методическими документами “Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных”, “Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”, “Базовая модель угроз безопасности персональных данных”, “Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных”, другими руководящими и нормативными документами ФСТЭК России по защите информации.

3. Ответственному за защиту информации, содержащей персональные данные, в срок до ______________ 200_ г. организовать проведение работ по защите персональных данных в соответствие требованиями ФСТЭК России объектов вычислительной техники в составе автоматизированных рабочих мест на базе автономной ПЭВМ (инв. № 000) наименование органа исполнительной власти Смоленской области (далее — объект ВТ) и представить на утверждение организационно-распорядительные документы на объекты ВТ.

4. Назначить ответственным за обеспечение безопасности информации на объекте ВТ – администратором информационной безопасности должность ФИО.

6. Назначить ответственным за эксплуатацию объекта ВТ должность ФИО.

6. Обработку информации, отнесенной законами Российской Федерации к персональным данным, производить на объектах информатизации, удовлетворяющих соответствующим требованиям защиты персональных данных, в соответствии с Приказом о вводе в эксплуатацию и списком допущенных лиц.

7. Приказ довести до ответственных лиц в части касающейся.

8. Контроль за исполнением приказа оставляю за собой.

Руководитель органа исполнительной

власти Смоленской области

ВИДЕО ПО ТЕМЕ: Методика разработки частной модели угроз для информационной системы персональных данных

ПРИКАЗ. «__» ______ _ г. № ___. Об обеспечении безопасности персональных данных, обрабатываемых в <Название.[/stextbox]