А К Т № _____

уничтожения документов  Администрации Сычевского сельсовета Муниципальное образование, содержащих персональные данные субъекта

Состав комиссии:

Председатель комиссии:

_________________________

Члены комиссии:

_________________________

_________________________

_________________________

Комиссия произвела отбор к уничтожению следующих документов, содержащих персональные данные субъекта ПДн:

№

п/п

Наименование

документа

Регистрационный номер документа

Дата

регистрации

Номер

экз.

Количество листов документа /приложения

1

2

3

4

5

6

Причина уничтожения:

□ достижение целей      □ решение   субъекта    □ недостоверные ПДн.

     обработки;                      ПДн;

Всего подлежит уничтожению ______ (_______________)

                                                               (цифрами)             (прописью)

наименований документов.

Документы уничтожены путем измельчения на бумагорезательной машине.

Председатель комиссии

____________

____________________________

Члены комиссии

____________

____________________________

____________

____________________________

____________

____________________________

А К Т № _____

уничтожения полей баз данных  Администрации Сычевского сельсовета Муниципальное образование, содержащих персональные данные субъекта

Состав комиссии:

Председатель комиссии:

_________________________

Члены комиссии:

_________________________

_________________________

_________________________

Комиссия произвела отбор к уничтожению следующих полей баз данных, содержащих персональные данные субъекта ПДн:

№

п/п

Наименование базы данных

Идентификационный номер поля данных

Наименование полей данных

1

2

3

4

Причина уничтожения:

□ достижение целей      □ решение субъекта    □ недостоверные ПДн.

     обработки;                      ПДн;

Всего подлежит уничтожению ______ (_______________)

                                                               (цифрами)             (прописью)

наименований полей базы данных.

Поля баз данных уничтожены путем затирания информации на носителях информации (в том числе и резервных копиях).

Председатель комиссии

____________

_________________________

Члены комиссии

____________

_________________________

Уведомление об удалении персональных данных

Уважаемый _________________________________________________.

                                                                        Ф.И.О. субъекта персональных данных

Обработка Ваших персональных данных прекращена.

Ваши персональные данные, которые обрабатывались, были уничтожены.

Приложение: копия акта об уничтожении на ____ листах.

Председатель комиссии    __________    _________________________

Администрация Сычевского сельсовета Муниципальное образование

Журнал регистрации письменных запросов граждан

на доступ к своим персональным данным

Журнал начат " 30 " апреля 2014 г.  Журнал завершен "____" ___________________ 20__ г.  

Главный специалист Администрации Сычевского сельсовета

_____________________Якушева Н.Г.

______________________ /______________________/

На 3  листах

№

п/п

Вх. №

письма

Дата получения запроса

Ф.И.О. гражданина

Отношения субъекта ПДн 

с оператором ПДн

Отметка о предоставлении доступа к ПДн

(отказе в доступе)

Исх. номер и дата письма с ответом

на запрос

Ф.И.О., должность, роспись сотрудника, выдавшего ответ

1

2

3

4

5

6

7

8

№

п/п

Вх. №

письма

Дата получения запроса

Ф.И.О. гражданина

Отношения субъекта ПДн

 с оператором ПДн

Отметка о предоставлении доступа к ПДн

(отказе в доступе)

Исх. номер и дата письма с ответом

на запрос

Ф.И.О., должность, роспись сотрудника, выдавшего ответ

1

2

3

4

5

6

7

8

Заявление-согласие

субъекта на обработку его персональных данных

Я, ____________________________________, проживающий (-ая) по адресу __________________________________________________, паспорт серии _________________, номер _________________, выдан ___________________________________________________________

"___"______________ ______ года, в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ "О персональных данных" даю согласие Администрации  сельсовета (далее – Администрация сельсовета), по адресу 641251, Варгашинский район  Курганская область, село Сычево, пер.Школьный, д. 2  на обработку моих персональных данных, а именно:

□ ФИО

□ Адрес

□ Образование

□ Дата рождения

□ Паспортные данные

□ ИНН

□ Место рождения

□ Семейное положение

□ Профессия

□ другие:

__________________________________________________________

                  (перечислить дополнительные категории персональных данных)

В целях ________________________________________________

___________________________________________________________ 

(указать цели обработки)

Перечень действий, осуществляемых с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование, уничтожение;

Администрация сельсовета осуществляет смешанную обработку персональных данных с применением ЭВМ, с передачей по внутренней сети и сети интернет.

Согласие вступает в силу со дня его подписания и действует в течение __________________. Действие настоящего согласия прекращается досрочно в случае принятия оператором решения о прекращении обработки персональных данных и/или уничтожения документов содержащих персональные данные.

Согласие может быть отозвано мною в любое время на основании моего письменного заявления. 

 "___"__________ 2014г.                                _____________________

                                                                                         (подпись)

Обязательство о неразглашении персональных данных субъектов  Администрации Сычевского сельсовета Муниципальное образование

Я, _____________________________________, проживающий(-ая) по

Ф.И.О.

адресу _________________________________________________________,

паспорт серии ________, номер ___________, выдан ___________________

_______________________________________________________________

«___»_______________ _________ года,  работая в должности __________

________________________________________________ в  Администрации Сычевского сельсовета Муниципальное образование (далее – Администрация сельсовета), в период настоящих трудовых отношений и в течение 5 лет после их окончания, в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 г. № 152-ФЗ, обязуюсь:

- не раскрывать третьим лицам и не распространять персональные данные субъектов Администрации сельсовета, полученные при исполнении мной трудовых обязанностей;

- при работе с персональными данными соблюдать требования, описанные в «Положении о порядке обработки персональных данных субъектов Администрации сельсовета;

- выполнять относящиеся ко мне требования локальных нормативных актов, касающихся обработки персональных данных;

- в случае попытки посторонних лиц получить от меня сведения о персональных данных субъектов Администрации сельсовета, немедленно уведомить об этом руководителя своего структурного подразделения;

- в случае расторжения со мною трудового договора или контракта, прекратить обработку персональных данных, ставших известными мне в связи с исполнением должностных обязанностей, и передать все носители персональных данных субъектов Администрации сельсовета  (документы, накопители данных в электронном виде, кино и фотонегативы и позитивы, и пр.), Ответственному за обработку персональных данных Администрации сельсовета.

Я понимаю, что разглашение персональных данных субъектов Администрации сельсовета, может нанести ущерб субъектам персональных данных.

Я предупрежден(а) о том, что в случае разглашения или утраты мною сведений, относящихся к персональным данным субъектов Администрации сельсовета, я несу ответственность в соответствии с Трудовым Кодексом РФ ст. 90. и могу быть привлечён к материальной, гражданско-правовой, административной и уголовной ответственности в соответствие с действующим законодательством РФ.

Настоящим подтверждаю, что до моего сведения доведено «Положение о порядке обработки персональных данных субъектов Администрации сельсовета.

"____" ___________2014 г.              ______________________

Заявление

Прошу Вас прекратить обработку моих персональных данных в связи с

___________________________________________________________

(указать причину)

"___"____________ 2014г. 

   _______ ____________________

     (подпись)    (расшифровка подписи)

План

внутренних проверок состояния защиты персональных данных

 Администрации Сычевского сельсовета Муниципальное образование на 2014 год

№ п/п

Наименование структурного подразделения

 1.

сельсовет

Главный специалист Администрации Сычевского сельсовета

Н.Г. Якушева

План

мероприятий по защите персональных данных

в  Администрации Сычевского сельсовета Муниципальное образование

№ п/п

Наименование мероприятия

Срок выполнения

Ответственный за выполнение

Примечание

1

2

3

4

5

1.

Классификация информационных систем персональных данных (ИСПДн)

4 квартал 2013 года

Комиссия

(Председатель: Главный специалист сельсовета Якушева  Н.Г.)

Проводится при создании ИСПДн, при выявлении в информационных системах ПДн, при изменении состава, структуры самой ИСПДн или технических особенностей ее построения

2.

Выявление угроз безопасности и разработка моделей угроз и нарушителя

4 квартал 2013 года

Якушева Н.Г.

Разрабатывается после классификации ИСПДн

3.

Направление в уполномоченный орган (Роскомнадзор) уведомления о своем намерении осуществлять обработку ПДн с использованием средств автоматизации

4 квартал 2013 года

Якушева Н.Г.

Уведомление направляется при вводе в эксплуатацию новых ИСПДн, либо при внесении изменений в существующие

4.

Проверка сведений, содержащихся в уведомлении

ежеквартально

    Овчинникова Е.А.

По необходимости, в Роскомнадзор отправляется измененная версия уведомления

5.

Документальное регламентирование работы с ПДн

4 квартал 2013 года

Якушева Н.Г.

Необходимо разработать документы, распределяющие и закрепляющие ответственность за обработку ПДн

6.

Обучение сотрудников, непосредственно осуществляющих обработку персональных данных, правилам работы с персональными данными

Ежегодно

Якушева Н.Г.

Необходимо проводить отдельный инструктаж по обработке персональных данных с принимающимися на работу сотрудниками

7.

Заключение договора на проведение работ в области защиты персональных данных с организацией – лицензиатом ФСТЭК России

1 квартал 2014 года

Гаврилова Т.Б.

8.

Оценка соответствия ИСПДн Администрации сельсовета

2 квартал 2014 года

Проводится организацией – лицензиатом ФСТЭК России

9.

Разработка приказа о вводе ИСПДн в эксплуатацию

По завершении мероприятий по оценке соответствия

Гаврилова Т.Б.

10.

Заключение договора с компанией - лицензиатом ФСТЭК России (ФСБ) на аутсорсинг технической защиты персональных данных

По завершении мероприятий по оценке соответствия

Якушева Н.Г.

При необходимости

11.

Пересмотр договоров с субъектами и контрагентами в части обработки ПДн, получение письменного согласия субъекта на обработку ПДн

1 квартал 2014 года, в последующем – постоянно, при заключении новых договоров

Гаврилова Т.Б.

В договоры должны быть включены согласия субъекта на обработку и передачу его ПДн

12.

Уничтожение ПДн

При достижении целей обработки ПДн

Комиссия по уничтожению документов

13.

Сопровождение заявок на предоставление доступа к информационным ресурсам ИСПДн

Постоянно

Якушева Н.Г.

14.

Повышение квалификации сотрудников в области защиты ПДн

Якушева Н.Г.

Сотрудники ответственные за организацию обработки персональных данных и обеспечение безопасности ИСПДн – не менее одного раза в два года. Повышение осведомленности сотрудников, обрабатывающих персональные данные – постоянно (обучение может проводить ответственный за организацию обработки персональных данных)

15.

Контроль эффективности средств защиты персональных данных

Раз в год

Организация-лицензиат ФСТЭК России

Главный специалист Администрации Сычевского сельсовета                                                 Якушева Н.Г.

А.А. Осипова

Приложение 13

к постановлению

Администрации Сычевского

сельсовета

от 30 апреля 2014 года № 20

« Об утверждении документов определяющих политику в  отношении обработки персональных данных в Администрации

Сычевского сельсовета »

                                           УТВЕРЖДАЮ
 
                      Глава Сычевского сельсовета
                            Администрации  сельсовета
 
                             ______________Т.Б. Гаврилова
                                       "  30  " апреля 2014 года
 
 

ИНСТРУКЦИЯ

по допуску лиц в помещения  Администрации Сычевского сельсовета Муниципальное образование, в которых ведется обработка персональных данных

1. Общие положения

1.1. Настоящая инструкция разработана в целях обеспечения безопасности персональных данных, средств вычислительной техники информационных систем персональных данных, материальных носителей персональных данных, а так же обеспечения внутриобъектового режима.

Объектами охраны  Администрации Сычевского сельсовета Муниципальное образование (далее – Администрация сельсовета) являются:

- помещения, в которых происходит обработка персональных данных как с использованием средств автоматизации, так и без таковых;

- помещения, аттестованные по требованиям безопасности речевой информации (далее – защищаемые помещения (ЗП));

- помещения, в которых установлены компьютеры, сервера и коммутационное оборудование, участвующее в обработке персональных данных;

- помещения, в которых хранятся материальные носители персональных данных;

- помещения, в которых хранятся резервные копии персональных данных.

1.2. Бесконтрольный доступ посторонних лиц в указанные помещения должен быть исключен.

1.3. К следующим категориям объектов охраны Администрации сельсовета (далее – спецпомещения) предъявляются ужесточенные требования по безопасности: помещения, в которых установлены криптографические средства, предназначенные для шифрования персональных данных (в том числе носители ключевой информации).

1.4. Ответственность за соблюдение положений настоящей инструкции несут сотрудники структурных подразделений, обрабатывающих персональные данные, а так же руководители структурных подразделений.

1.5. Контроль за соблюдением требований настоящей инструкции обеспечивает Ответственный за организацию обработки персональных данных.

1.6. Некоторые положения данной инструкции могут не применяться в зависимости от специфики обработки персональных данных структурными подразделениями Администрации сельсовета по согласованию с Ответственным за организацию обработки персональных данных.

1.7. Все объекты охраны Администрации сельсовета должны быть оборудованы охранной сигнализацией, либо предусматривать круглосуточное дежурство.

1.8. Ограждающие конструкции объектов охраны должны предполагать существенные трудности для нарушителя по их преодолению. Пример: металлические решетки на окнах, металлическая дверь, СКУД и т.д.

2. Допуск в помещения, в которых ведется обработка персональных данных

2.1. Доступ посторонних лиц в помещения, в которых ведется обработка персональных данных, должен осуществляется только ввиду служебной необходимости.

2.2. При этом на момент присутствия посторонних лиц в помещении должны быть приняты меры по недопущению ознакомления посторонних лиц с персональными данными. Пример: мониторы повернуты в сторону от посетителей, документы убраны в стол, либо находятся в непрозрачной папке (накрыты чистыми листами бумаги).

2.3. Допуск сотрудников в помещения, в которых ведется обработка персональных данных, оформляется после подписания сотрудником обязательства о неразглашении и инструктажа Ответственного за организацию обработки персональных данных, либо Ответственного за обеспечение безопасности информационных систем персональных данных.

2.4. В нерабочее время помещения, в которых ведется обработка персональных данных, должны ставиться на охрану. При этом все окна и двери в смежные помещения должны быть надежно закрыты, материальные носители персональных данных должны быть убраны в запираемые шкафы (сейфы), компьютеры выключены либо заблокированы.

3. Допуск в серверные помещения

3.1. Доступ в серверные помещения разрешен только Ответственному за техническое обслуживание ИСПДн, Ответственному за обеспечение безопасности информационных систем персональных данных и Ответственному за организацию обработки персональных данных. Уборка серверных помещений происходит только при строгом контроле указанных лиц.

3.2. Серверное помещение в обязательном порядке оснащается охранной сигнализацией, системой видеонаблюдения и системой автономного питания средств охраны.

3.3. Доступ в серверные помещения посторонних лиц допускается строго по согласованию с Ответственным за организацию обработки персональных данных.

3.4. Нахождение в серверных помещениях посторонних лиц без сопровождающего не допустимо.

4. Допуск лиц в спецпомещения

4.1. Спецпомещения выделяют с учетом размеров контролируемых зон, регламентированных эксплуатационной и технической документацией к криптосредствам. Помещения должны иметь прочные входные двери с замками, гарантирующими надежное закрытие помещений в нерабочее время. Окна помещений, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в спецпомещения посторонних лиц, необходимо оборудовать металлическими решетками, или ставнями, или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в спецпомещения.

4.2. Размещение, специальное оборудование, охрана и организация режима в спецпомещениях должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.

4.3. Для предотвращения просмотра извне спецпомещений их окна должны быть защищены.

4.4. Спецпомещения, как правило, должны быть оснащены охранной сигнализацией, связанной со службой охраны здания или дежурным по организации. Исправность сигнализации периодически необходимо проверять Ответственному за организацию обработки персональных данных совместно с представителем службы охраны или дежурным по организации с отметкой в соответствующих журналах.

4.5. Для хранения ключевых документов, эксплуатационной и технической документации, инсталлирующих криптосредства носителей должно быть предусмотрено необходимое количество надежных металлических хранилищ, оборудованных внутренними замками с двумя экземплярами ключей и кодовыми замками или приспособлениями для опечатывания замочных скважин. Один экземпляр ключа от хранилища должен находиться у Ответственного за организацию обработки персональных данных.

4.6. По окончании рабочего дня спецпомещение и установленные в нем хранилища должны быть закрыты, хранилища опечатаны.

4.7. Ключи от спецпомещений, а также ключ от хранилища, в котором находятся ключи от всех других хранилищ спецпомещения, в опечатанном виде должны быть сданы под расписку в соответствующем журнале службы охраны или дежурному по организации одновременно с передачей под охрану самих спецпомещений. Печати, предназначенные для опечатывания хранилищ, должны находиться у пользователей криптосредств, ответственных за эти хранилища.

4.8. При утрате ключа от хранилища или от входной двери в спецпомещение замок необходимо заменить или переделать его секрет с изготовлением к нему новых ключей с документальным оформлением. Если замок от хранилища переделать невозможно, то такое хранилище необходимо заменить. Порядок хранения ключевых и других документов в хранилище, от которого утрачен ключ, до изменения секрета замка устанавливает Ответственный за организацию обработки персональных данных.

4.9. В обычных условиях спецпомещения, находящиеся в них опечатанные хранилища могут быть вскрыты только пользователями криптосредств или Ответственным за организацию обработку персональных данных.

При обнаружении признаков, указывающих на возможное несанкционированное проникновение в эти помещения или хранилища посторонних лиц, о случившемся должно быть немедленно сообщено Ответственному за организацию обработки персональных данных. Прибывший Ответственный за организацию обработки персональных данных должен оценить возможность компрометации хранящихся ключевых и других документов, составить акт и принять, при необходимости, меры к локализации последствий компрометации персональных данных и к замене скомпрометированных криптоключей.

4.10. Размещение и монтаж криптосредств, а также другого оборудования, функционирующего с криптосредствами, в спецпомещениях должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными криптосредствами.

4.11. На время отсутствия пользователей криптосредств указанное оборудование, при наличии технической возможности, должно быть выключено, отключено от линии связи и убрано в опечатываемые хранилища. В противном случае по согласованию с Ответственным за организацию обработки персональных данных необходимо предусмотреть организационно-технические меры, исключающие возможность использования криптосредств посторонними лицами.

Главный специалист Администрации Сычевского сельсовета

Н.Г. Якушева

ИНСТРУКЦИЯ

об осуществлении контроля выполнения требований по защите персональных данных в  Администрации Сычевского сельсовета Муниципальное образование

Настоящая инструкция определяет порядок организации и осуществления контроля выполнения требований по защите персональных данных в структурных подразделениях  Администрации Сычевского сельсовета Муниципальное образование (далее – Администрация сельсовета).

Требования инструкции обязательны для исполнения всеми должностными лицами Администрации сельсовета, осуществляющими контроль состояния защиты персональных данных.

I. Общие положения

Контроль выполнения требований по защите персональных данных в структурных подразделениях Администрации сельсовета  осуществляется с целью определения наличия несоответствий между требуемым уровнем защиты персональных данных и его фактическим состоянием, а также выработать меры по их устранению и недопущению в дальнейшем.

Контроль осуществляет Ответственный за организацию обработки персональных данных Администрации сельсовета. Для участия в проведении контроля решением Ответственного за организацию обработки персональных данных могут также привлекаться другие специалисты подразделений Администрации сельсовета (по согласованию с их руководителями). В таких случаях контроль носит комплексный характер.

Контроль проводится в форме плановых и внеплановых проверок. Внеплановые проверки могут быть контрольными и по частным вопросам.

Контрольные проверки проводятся для установления полноты выполнения рекомендаций плановых проверок.

Проверки по частным вопросам охватывают отдельные направления по защите персональных данных и могут проводиться в случаях, когда стали известны факты несанкционированного доступа, утечки либо утраты персональных данных субъектов Администрации сельсовета или нарушения требований по защите персональных данных.

Сроки проведения контрольных проверок доводятся руководителям проверяемых подразделений не позднее, чем за 24 часа до начала проверки.

Проверки по частным вопросам могут проводиться без уведомления руководителей проверяемых подразделений.

Периодичность и сроки проведения плановых проверок подразделений Администрации сельсовета устанавливаются графиком проверок на календарный год. План утверждает Глава Медвежьевского сельсовета Администрации сельсовета. Сроки проведения плановых проверок доводятся руководителям проверяемых подразделений не позднее, чем за 10 суток до начала проверки. 

II. Порядок подготовки к проверке

Для участия в проведении проверки Ответственным за организацию обработки персональных данных заблаговременно назначаются соответствующие компетентные специалисты (далее – проверяющие лица). В случае проведения проверки комиссией также назначается ее председатель.

Председатель комиссии (старший по проверке) подготавливает в адрес руководителя проверяемого подразделения распоряжение о проверке за подписью Ответственного за организацию обработки персональных данных Администрации сельсовета и перечень вопросов проверки (при необходимости). Председатель комиссии (старший по проверке) распределяет обязанности по проверке конкретных участков работы между проверяющими лицами.

Проверяющие лица инструктируются непосредственным начальником об особенностях работы в конкретном подразделении Администрации сельсовета. За 3 – 4 дня до начала проверки они должны изучить материалы предыдущих проверок данного подразделения, уточнить наличие в нем защищаемых ресурсов, сил и средств защиты персональных данных, а также особенности их функционирования.

В случае проведения проверки удаленных структурных подразделений с выездом в служебную командировку лица, направляемые на проверку, должны оформить в установленном порядке необходимые командировочные документы.

III. Порядок проведения проверки

По прибытию в подразделение для проведения проверки председатель комиссии (старший по проверке) прибывает к руководителю проверяемого подразделения Администрации сельсовета, представляется ему и представляет других прибывших на проверку лиц. При этом согласовываются конкретные вопросы по объему, содержанию, срокам проверки, а также каких должностных лиц подразделения необходимо привлечь к проверке и какие объекты следует посетить. Допуск лиц, прибывших на проверку, к конкретным информационным ресурсам, охраняемым сведениям и техническим средствам производится руководителем подразделения на основании распоряжения о проверке. Подобный допуск должен исключать ознакомление проверяющих лиц с конкретными персональными данными.

На период проведения контрольных мероприятий обработку персональных данных необходимо по возможности прекращать.

Руководителем подразделения принимаются необходимые меры для обеспечения работы комиссии по проверке и определяется должностное лицо подразделения, ответственное за обеспечение работы комиссии.

В ходе осуществления контроля выполнения требований по защите персональных данных в подразделении Администрации сельсовета проверке подлежат следующие показатели:

1. В части общей организации работ по защите персональных данных:

- соответствие информации, указанной в уведомлении об обработке персональных данных, реальному положению дел;

- наличие нормативных документов по защите персональных данных;

- знание нормативных документов сотрудниками, имеющими доступ к персональным данным;

- полнота и правильность выполнения требований нормативных документов сотрудниками, имеющими доступ к персональным данным;

- наличие лиц, назначенные Ответственным за организацию обработки персональных данных в подразделении, уровень их профессиональной подготовки и способность выполнить возложенные обязанности;

- наличие согласий на обработку персональных данных субъектов персональных данных. Соответствие объема персональных данных и сроков обработки целям обработки персональных данных;

- соответствие схемы контролируемой зоны, перечня мест хранения материальных носителей, перечня лиц, допущенных к обработке персональных данных фактическому состоянию.

2. В части защиты персональных данных в информационных системах персональных данных (ИСПДн):

- соответствие средств вычислительной техники ИСПДн показателям, указанным в документации на ИСПДн;- структура и состав локальных вычислительных сетей, организация разграничения доступа пользователей к сетевым информационным ресурсам, порядок защиты охраняемых сведений при передаче (обмене) персональных данных в сети передачи данных (СПД);

- контроль целостности пломб на аппаратных средствах, с которыми осуществляется штатное функционирование средств криптографической защиты информации;

- соблюдение установленного порядка использования средств вычислительной техники ИСПДн;

- наличие и эффективность применения средств и методов защиты персональных данных, обрабатываемых на средствах ЭВТ;

- соблюдение требований, предъявляемых к паролям на информационные ресурсы;

- соблюдение требований и правил антивирусной защиты ПЭВМ и программ;

- контроль журналов учета носителей персональных данных. Сверка основного журнала с дублирующим (если требуется ведение дублирующего учета носителей);

-  тестирование реализации правил фильтрации межсетевого экрана, процесса регистрации, процесса идентификации и аутентификации запросов, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления настроек межсетевого экрана.

3. В части защиты информационных ресурсов и помещений:

- правильность отнесения обрабатываемой информации к персональным данным;

- правильность классификации информационной системы;

- закрепление гражданско-правовой ответственности в сфере информационной безопасности и соблюдения режима конфиденциальности персональных данных в правилах внутреннего трудового распорядка, положениях о подразделениях Администрации сельсовета, должностных инструкциях сотрудников и трудовых договорах;

- порядок передачи персональных данных органам государственной власти, местного самоуправления и сторонним организациям (контрагентам);

- действенность принимаемых мер по защите охраняемых сведений в ходе подготовки материалов к открытому опубликованию и при изготовлении рекламной продукции;

- состояние конфиденциального делопроизводства, соблюдение установленного порядка подготовки, учета, использования, хранения и уничтожения документов, содержащих персональные данные;

- выполнение требований по правильному оборудованию защищаемых помещений и предотвращению утечки охраняемых сведений при проведении мероприятий конфиденциального характера;

- соответствие защищаемых помещений их техническим паспортам.

Более подробно вопросы, подлежащие проверке, могут раскрываться в отдельных документах (методических рекомендациях, технологических картах, памятках и т.п.).

В ходе работы проверяющие лица должны принимать меры по устранению на месте отмечаемых нарушений и недостатков. Для этого с должностными лицами подразделения, ответственными за конкретные участки работы, где отмечались недостатки, одновременно должны проводиться разъяснения требований руководящих документов и оказываться практическая помощь в правильной постановке работы.

Недостатки, которые не могут быть устранены на месте, включаются в итоговый документ по результатам проверки.

IV. Оформление результатов проверки

Результаты проверки оформляются:

- актом - при проведении проверки комиссией;

- служебной запиской - при проведении проверки назначенными специалистами.

Акт (служебная записка) составляется в двух экземплярах, как правило, на месте в подразделении, подписывается председателем и членами комиссии (старшим по проверке), докладывается под роспись руководителю подразделения и представляется на утверждение (на доклад) Ответственному за организацию обработки персональных данных Администрации сельсовета. Один экземпляр документа высылается в подразделение.

В случае несогласия с выводами комиссии (проверяющих лиц) руководитель подразделения может выразить в письменном виде свое особое мнение (прилагается к акту или служебной записке).

Результаты проверок подразделений периодически обобщаются Ответственным за организацию обработки персональных данных Администрации сельсовета и доводятся до руководителей подразделений. При необходимости принятия решений по результатам проверок подразделений Главе Сычевского сельсовета Администрации сельсовета готовятся соответствующие служебные записки.

Главный специалист Администрации Сычевского сельсовета

Н.Г. Якушева

1. Общие положения

1.1 Ответственный за организацию обработки персональных данных (далее – Ответственный) является сотрудником  Администрации Сычевского сельсовета Муниципальное образование (далее – Администрация сельсовета).

1.2 Ответственный назначается приказом Главу Сычевского сельсовета Администрации сельсовета.

1.3 Ответственный подчиняется непосредственно Главе Сычевского сельсовета и проводит мероприятия по защите персональных данных в интересах Администрации сельсовета.

1.4 Ответственный в своей деятельности руководствуется:

- Конституцией Российской Федерации;

- Федеральными законами Российской Федерации и нормативными правовыми актами органов государственной власти по вопросам защиты персональных данных;

- Государственными стандартами Российской Федерации в области защиты информации;

- руководящими и нормативными правовыми документами Федеральной Службы по техническому и экспортному контролю России;

- локальными нормативными актами Администрации сельсовета по защите персональных данных;

- Правилами внутреннего трудового распорядка;

- настоящим Положением.

1.5 Деятельность Ответственного осуществляется согласно плану мероприятий по защите персональных данных Администрации сельсовета на год.

2. Задачи

На Ответственного за организацию обработки персональных данных возложены следующие задачи:

2.1 Организация внутреннего контроля за соблюдением работниками Администрации сельсовета норм законодательства Российской Федерации по обработке персональных данных, в том числе требований, предъявляемых к защите персональных данных.

2.2 Разработка, внедрение и актуализация локальных актов по вопросам обработки персональных данных.

2.3 Доведение до сведения работников Администрации сельсовета, непосредственно осуществляющих обработку персональных данных, положений законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных, и проведение обучения указанных работников.

2.4 Организация приема и обработки обращений и запросов субъектов персональных данных или их представителей и осуществление контроля за приемом и обработкой таких обращений и запросов.

2.5 Организация комплексной защиты объектов информатизации Администрации сельсовета, а именно:

- информационных ресурсов, представленных в виде документированной информации на магнитных, оптических носителях, информативных физических полей, информационных массивов и баз данных, содержащих персональные данные субъектов Администрации сельсовета;

- средств и систем информатизации (средств вычислительной техники, информационно-вычислительных комплексов, локальных вычислительных сетей и корпоративных информационных систем), программных средств (операционных систем, систем управления базами данных, другого общесистемного и прикладного программного обеспечения), автоматизированных систем управления информационными, управленческими и технологическими процессами, систем связи и передачи данных, технических средств приёма, передачи и обработки информации (звукозаписи, звукоусиления, звуковоспроизведения, переговорных устройств и других технических средств обработки графической, смысловой и буквенно-цифровой информации), используемых для реализации процессов ведения деятельности, обработки информации, содержащей персональные данные субъектов Администрации сельсовета.

2.6 Организация защиты персональных данных субъектов Администрации сельсовета.

2.7 Разработка и проведение организационных мероприятий, обеспечивающих безопасность объектов защиты Администрации сельсовета, своевременное выявление и устранение возможных каналов утечки информации.

2.8 Организация проведения работ по технической защите информации на объектах информатизации, в информационно-вычислительных сетях, системах и средствах связи и телекоммуникаций Администрации сельсовета.

2.9 Реализация технических мер, обеспечивающих своевременное выявление возможных технических каналов утечки информации в подразделениях Администрации сельсовета.

2.10 Методическое руководство системой обеспечения информационной безопасности Администрации сельсовета.

2.11 Организация контроля состояния и проведение оценки эффективности системы обеспечения информационной безопасности персональных данных, а также реализация мер по её совершенствованию.

2.12 Внедрение в информационную инфраструктуру Администрации сельсовета современных методов и средств обеспечения информационной безопасности.

3. Функции

Для решения поставленных задач Ответственный за организацию обработки персональных данных осуществляет следующие функции:

3.1 Разработка и внедрение правовых, организационных и технических мер по комплексному обеспечению безопасности персональных данных.

3.2 Обеспечение соблюдения режима конфиденциальности при обработке персональных данных.

3.3 Планирование работы по защите персональных данных на объектах Администрации сельсовета.

3.4 Контроль за выполнением мер по защите персональных данных, анализ материалов контроля, выявление недостатков и нарушений. Разработка и реализация мер по их устранению.

3.5 Обеспечение взаимодействия с контрагентами по вопросам организации и проведения проектно-изыскательских, научно-исследовательских, опытно-конструкторских и других работ по защите информации. Участие в разработке технических заданий на выполняемые исследования и работы.

3.6 Контроль за выполнением плановых заданий, договорных обязательств, а также сроков, полноты и качества работ по защите персональных данных, выполняемых контрагентами.

3.7 Разработка и принятие мер по обеспечению финансирования работ по защите персональных данных, в том числе выполняемых по договорам.

3.8 Проведение работ по технической защите информации на объектах информатизации Администрации сельсовета. Оценка эффективности принятых мер по технической защите информации.

3.9 Обеспечение выбора, установки, настройки и эксплуатации средств защиты информации в соответствии с организационно-распорядительной  и эксплуатационной документацией.

3.10 Организация режима обеспечения безопасности помещений, в которых происходит обработка персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в такие помещения.

3.11 Организация доступа работников Администрации сельсовета к персональным данным в соответствии с возложенными на них служебными обязанностями.

3.12 Разработка и внедрение локальных актов, определяющих перечень работников Администрации сельсовета, имеющих доступ к персональным данным.

3.13 Контроль размещения устройств ввода (отображения) информации, исключающего ее несанкционированный просмотр.

3.14 Обеспечение соответствия проводимых работ по защите персональных данных технике безопасности, правилам и нормам охраны труда.

3.15 Проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства по защите персональных данных.

3.16 Участие в разработке и применение, в части персональных данных, политики по работе с инцидентами по информационной безопасности.

3.17 Актуализация внутренней организационно-распорядительной документации по защите персональных данных при изменении существующих и выходе новых нормативных правовых документов по вопросам обработки персональных данных.

4. Права

Ответственный за организацию обработки информации имеет право:

4.1 Осуществлять контроль за деятельностью структурных подразделений Администрации сельсовета по выполнению ими требований по защите персональных данных.

4.2 Составлять акты, докладные записки, отчёты для рассмотрения руководством Администрации сельсовета, при выявлении нарушений порядка обработки персональных данных.

4.3 Принимать необходимые меры при обнаружении несанкционированного доступа к персональным данным, как работниками Администрации сельсовета, так и третьими лицами, и докладывать о принятых мерах Главе Сычевского сельсовета  с предоставлением информации о субъектах, нарушивших режим доступа.

4.4 Вносить на рассмотрение Главы Сычевского сельсовета предложения, акты, заключения о приостановлении работ в случае обнаружения каналов утечки (или предпосылок к утечке) информации ограниченного доступа.

4.5 Давать структурным подразделениям Администрации сельсовета, а также отдельным специалистам обязательные для исполнения указания по вопросам, входящим в компетенцию Ответственного.

4.6 Запрашивать и получать от всех структурных подразделений Администрации сельсовета сведения, справочные и другие материалы, необходимые для осуществления деятельности Ответственного.

4.7 Составлять акты и другую техническую документацию о степени защищенности объектов информатизации.

4.8 Готовить и вносить предложения на проведение работ по защите персональных данных; о привлечении к проведению работ по оценке эффективности защиты персональных данных на объектах Администрации сельсовета (на договорной основе) учреждений и организаций, имеющих лицензию на соответствующий вид деятельности; о закупке необходимых технических средств защиты и другой спецтехники, имеющих в обязательном порядке сертификат качества.

4.9 Осуществлять визирование договоров с контрагентами с целью правового обеспечения передачи им персональных данных субъектов Администрации сельсовета в ходе выполнения работ по этим договорам.

4.10 Представлять интересы Администрации сельсовета при осуществлении государственного контроля и надзора за обработкой персональных данных Уполномоченным органом по защите прав субъектов персональных данных.

5. Взаимоотношения (служебные связи)

5.1 Ответственный выполняет свои задачи осуществляя взаимодействие со всеми структурными подразделениями Администрации сельсовета.

5.2 Для выполнения своих функций и реализации предоставленных прав Ответственный взаимодействует с территориальными и региональными подразделениями Федеральной службы по техническому и экспортному контролю, Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, ФСБ России, МВД России, и другими представителями исполнительной власти и организациями, предоставляющими услуги и выполняющими работы в области защиты персональных данных на законном основании.

6. Ответственность

6.1 Ответственный за обработку персональных данных несет ответственность за надлежащее и своевременное выполнение возложенных задач и функций по организации обработки персональных данных Администрации сельсовета в соответствии с положениями законодательства Российской Федерации в области персональных данных.

Главный специалист Администрации Сычевского сельсовета

Н.Г. Якушева

Дополнительное соглашение № ______

к договору заключение договора от                 201  года №

 село Сычево                                                                  "     "                201   г.

 Администрация Сычевского сельсовета Муниципальное образование, в лице Главу Сычевского сельсовета Гавриловой Т.Б., действующего на основании Устава, именуемое в дальнейшем "Заказчик", с одной стороны, и Варгашинский  сельсовет, в лице Главы Сычевского сельсовета Гавриловой Т.Б., действующей на основании Устава, именуемое в дальнейшем "Исполнитель", с другой стороны, совместно именуемые "Стороны", заключили настоящее дополнительное соглашение о нижеследующем:

Дополнить договор от                      года, №   разделом следующего содержания:

Конфиденциальность и безопасность персональных данных.

1. Вся предоставляемая Сторонами друг другу информация считается конфиденциальной и не подлежит разглашению третьим лицам.

2. Исполнитель обязуется осуществлять обработку персональных данных физических лиц, работников Заказчика  в соответствии с принципами и правилами обработки персональных данных, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

3. Цель обработки персональных данных физических лиц, работников Заказчика: сохранение данных в базе.

4. Перечень действий (операций) по обработке персональных данных, которые будут совершаться лицом, осуществляющим обработку персональных данных, в рамках поручения: .

- вносить в базу изменения,;

5. Исполнитель вправе осуществлять обработку следующих персональных данных физических лиц, работников Заказчика:

- физические лица;

6. Исполнитель обязуется соблюдать конфиденциальность полученных персональных данных физических лиц, работников Заказчика и обеспечить безопасность персональных данных при их обработке.

7. Исполнитель при обработке персональных данных физических лиц,  работников Заказчика обязуется принимать все необходимые организационные, технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

8. Исполнитель обязуется обеспечивать безопасность персональных данных применением таких мер как: определение угроз безопасности персональных данных при их обработке в информационных системах; учет машинных носителей персональных данных; обнаружение фактов несанкционированного доступа к персональным данным и принятием мер; контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных; и др.

9. Стороны принимают все необходимые меры для того, чтобы предотвратить разглашение получаемой информации в рамках настоящего договора. Информация может быть предоставлена третьим лицам только в порядке, установленным действующим законодательством Российской Федерации.

10. Настоящего дополнительное соглашение является неотъемлемой частью договора от                      года №  , составлено в двух экземплярах, имеющих одинаковую юридическую силу, по одному экземпляру для каждой из Сторон.

11. Дополнительное соглашение вступает в силу с момента подписания настоящего соглашения Сторонами.

                                         АДРЕСА И РЕКВИЗИТЫ СТОРОН

ЗАКЛЮЧЕНИЕ

об оценке вреда субъектам персональных данных

 Администрации Сычевского сельсовета Муниципальное образование

1. Аннотация

В соответствии со ст. 18.1 Федерального закона № 152-ФЗ "О персональных данных", оператор обязан принимать меры по обеспечению выполнения обязанностей, предусмотренных данным законом. К таким мерам, согласно п 5. ч. 1 ст. 18.1, так же относятся мероприятия, направленные на оценку вреда, который может быть причинен субъектам персональных данных Администрации  сельсовета (далее – Администрация сельсовета) в случае нарушения Федерального закона "О персональных данных", соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных". На основании ч.4 ст. 18.1 Закона оператор обязан предоставить документы, подтверждающие выполнение мероприятий по оценке вреда, по запросу органа по защите прав субъектов персональных данных, которым является Роскомнадзор.

Данный документ содержит оригинальное исследование в области защиты персональных данных, направленное на выявление степени возможного ущерба субъектам персональных данных и оператору персональных данных Администрации сельсовета в случае реализации угроз безопасности персональных данных, обрабатываемых в информационных системах персональных данных Администрации сельсовета.

Заключение содержит численные характеристики ущерба, взятые из открытых источников и основанные на судебных прецедентах, однако детальный анализ размера возможного ущерба затруднен в связи с отсутствием единой базы инцидентов информационной безопасности и нормативных документов Правительства РФ, ФСБ России, ФСТЭК России по оценке вреда субъектам персональных данных.

В документе представлен расчет максимального вреда оператору и субъектам ПДн и делается вывод о соотношении указанного вреда и принимаемых оператором мер по обеспечению безопасности персональных данных.

2. Оценка вреда субъекту персональных данных

В соответствие с ч.2 ст. 24 Федерального закона № 152-ФЗ  "О персональных данных", субъект ПДн имеет право взыскать с оператора моральный вред независимо от возмещения имущественного вреда и понесенных субъектом ПДн убытков.

В соответствии с категориями обрабатываемых персональных данных, установленными Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, принята следующая классификация степени вреда:

Категория ПДн

Качественная оценка вреда

Вероятная сумма вреда

Персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни

Значительные негативные последствия для субъекта ПДн

50 000, 00р.

Биометрические персональные данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных

Негативные последствия средней тяжести

25 000, 00р.

Общедоступные персональные данные

Без негативных последствий

0, 00р.

Иные категории персональных данных

Негативные последствия средней тяжести

25 000, 00р.

Таким образом, общий возможный вред субъектам персональных данных может составить:

Наименование

ИСПДн

Класс

Общее количество субъектов

Вероятность вреда

Общий вред с учетом вероятности вреда

3. Возможный вред субъекту персональных данных по типам угроз

Все возможные угрозы персональным данным можно разбить на следующие категории:

Нарушения заданных характеристики безопасности персональных данных

Вред субъекту персональных данных

Нарушение конфиденциальности:

• · распространение персональных данных;
• · утечка персональных данных;
• · предоставление персональных данных третьему лицу в нарушение интересов субъекта персональных данных

Максимальный вред субъекту персональных данных

Нарушение целостности:

• · обработка неправильных либо неполных персональных данных;
• · несанкционированное уничтожение персональных данных

Половина от максимально возможного ущерба

Нарушение доступности:

• · несанкционированное блокирование персональных данных;
• · неправомерный отказ в доступе к своим персональным данным

Незначительный вред субъекту персональных данных

4. Оценка затрат оператора на ликвидацию последствий нарушений заданных характеристик безопасности

Для определения оптимального состава мер по обеспечению безопасности персональных данных, необходимо оценить ущерб оператору, который помимо затрат на компенсацию морального ущерба субъектам персональных данных будет складываться из:

• · затрат на уведомление субъектов;
• · штрафов;
• · затрат на контроль эффективности системы защиты;
• · компенсации ущерба репутации Администрации сельсовета.

4.1 Уведомление субъектов

В соответствие с ч.3 ст. 21 № 152-ФЗ "О персональных данных", оператор обязан уведомить субъекта персональных данных о неправомерной обработке его ПДн в трехдневный срок.

Затраты на уведомление составят:

Перечень мероприятий

Средние затраты оператора на уведомление одного субъекта

Составить и распечатать уведомление на каждого субъекта

15, 00р.

Отослать уведомление заказным письмом

100, 00р.

Срочное уведомление субъекта по телефону

35, 00р.

Общие затраты на уведомление субъектов персональных данных Администрации сельсовета могут составить:

Наименование ИСПДн

Общее количество субъектов

Сумма затрат на уведомление субъектов

4.2. Штрафы

В случае распространения персональных данных субъекта персональных данных, штрафы могут составить:

• · Ст. 13.11 КоАП "Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)" – до 10 000 руб.
• · Статья 137 УК РФ "Нарушение неприкосновенности частной жизни" – до 300 000 руб.

4.3. Контроль эффективности системы защиты

В случае компрометации системы безопасности персональных данных, оператору с привлечением организации лицензиата ФСТЭК России необходимо выполнить перечень мероприятий по контролю эффективности системы защиты, который включает в себя:

• · анализ и оценку исходных данных и документации по защите информации на объекте информатизации;
• · проверку состава технических средств, средств защиты информации, их состояния, взаимного размещения технических средств объекта информатизации;
• · изучение технологического процесса обработки и хранения информации, анализ информационных потоков на объекте информатизации;
• · проверку состояния организации работ и выполнения организационно-технических требований по защите информации на объекте информатизации;
• · испытания технических и программных средств защиты информации объекта информатизации (по соответствующим методикам);
• · контроль эффективности защиты информации от НСД;
• · анализ результатов работы комиссии и выдачу заключения.

Затраты проведение указанных работ определяются при привлечении организации лицензиата ФСТЭК России.

4.4. Ущерб репутации

Ущерб репутации Администрации сельсовета может привести к значительным негативным последствиям.

5. Общие затраты на ликвидацию последствий нарушений заданных характеристик безопасности персональных данных

Общие затраты на ликвидацию последствий нарушений заданных характеристик безопасности персональных данных в Администрации сельсовета приведены в таблице ниже.

Таблица 1. Общие затраты на ликвидацию последствий нарушений заданных характеристик безопасности персональных данных

ИСПДн

Затраты

Итоговый ущерб без учета затрат на проведение контроля эффективности и ущерба репутации

6. Меры по защите персональных данных

В Администрации сельсовета выполняется комплекс организационных и технических мер:

– восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

– контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;

– назначение Ответственного за организацию обработки персональных данных;

– обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;

– оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

– применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации (сертифицированные СЗИ);

– установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

– учет машинных носителей персональных данных;

– определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

– оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона "О персональных данных", соотношение указанного вреда и принимаемых защитных мер;

– определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

7. Вывод

Принимаемые меры позволяют обеспечить адекватный уровень защиты персональных данных субъектов в ИСПДн Администрации сельсовета  и полностью соответствуют требованиям законодательства РФ в области защиты персональных данных.

Остаточные риски после реализации комплекса мер по созданию и поддержанию системы информационной безопасности Администрации сельсовета признаются приемлемыми.

Главный специалист Администрации Сычевского сельсовета

Н.Г. Якушева

ПОЛИТИКА

обработки персональных данных субъектов

 Администрации Сычевского сельсовета Муниципальное образование

1.  Администрация Сычевского сельсовета Муниципальное образование (далее – Администрация сельсовета) осуществляет обработку персональных данных на законной и справедливой основе.

2. Объём, содержание и сроки обработки персональных данных определяются целями обработки персональных данных.

3. Администрация сельсовета оставляет за собой право проверить полноту и точность предоставленных персональных данных. В случае выявления ошибочных или неполных персональных данных, Администрация сельсовета имеет право прекратить все отношения с субъектом персональных данных.

4. Администрация сельсовета не передаёт персональные данные субъектов персональных данных третьим лицам, без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

5. Администрация сельсовета соблюдает конфиденциальность персональных данных, принимает правовые, организационные и технические меры по защите персональных данных, а так же требует принятия указанных мер от своих контрагентов.

6. Распоряжением Главы Сычевского сельсовета назначен ответственный за организацию обработки персональных данных Администрация сельсовета:

Главный специалист Администрации Сычевского сельсовета ЯкушеваН.Г.

7. Утверждены распоряжением Главы Сычевского сельсовета Администрация сельсовета и приняты к исполнению следующие локальные нормативные акты:

- Положение о порядке обработки персональных данных;

- правила рассмотрения запросов субъектов персональных данных или их представителей;

- Инструкция осуществления внутреннего контроля;

- правила работы с обезличенными данными;

- Перечень информационных систем персональных данных;

- перечни обрабатываемых персональных данных;

- порядок формирования комиссии по обезличиванию и удалению обрабатываемых персональных данных;

- Приказ об ответственности за обработку и защиту персональных данных;

- Положение об ответственном за организацию обработки персональных данных;

- типовое обязательство сотрудника Администрация сельсовета о неразглашении персональных данных;

- типовая форма согласия субъекта на обработку персональных данных;

-  типовая форма разъяснения субъекту персональных данных  юридических последствий отказа предоставить свои персональные данные;

- Инструкция по допуску лиц в помещения, где ведется обработка персональных данных.

8. При эксплуатации информационных систем персональных данных Администрация сельсовета принимает правовые, организационные и технические меры по обеспечению безопасности персональных данных для выполнения установленных Правительством Российской Федерации требований к защите персональных данных при их обработке в соответствии с установленными уровнями защищенности персональных данных.

9. При обработке персональных данных, осуществляемой без использования средств автоматизации, Администрация сельсовета выполняет требования, установленные постановлением Правительства Российской Федерации от 15 сентября2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

10. Администрация сельсовета осуществляют ознакомление своих сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и, при необходимости, организуют обучение указанных сотрудников.

11. Администрация сельсовета уведомляет уполномоченный орган по защите прав субъектов персональных данных об обработке персональных данных в соответствии с требованиями, установленными Федеральным законом "О персональных данных".

Главный специалист Администрации Сычевского сельсовета

Н.Г. Якушева

ПОЛОЖЕНИЕ

по работе с инцидентами информационной безопасности

АННОТАЦИЯ

Настоящее Положение разработано в целях организации работы с инцидентами информационной безопасности в  Администрации Сычевского сельсовета Муниципальное образование (далее – Администрация сельсовета).

Инцидент - одно событие или группы событий, которые могут привести к сбоям или нарушению функционирования информационной системы (далее - ИС) и (или) к возникновению угроз безопасности, в том числе персональных данных.

1. Общие положения

Положение о работе с инцидентами информационной безопасности (далее – Положение) разработано в соответствии с:

- Федеральным Законом № 152-ФЗ «О персональных данных»;

- Федеральным законом № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

- Постановлением Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- Приказом ФСТЭК России № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

- Политикой информационной безопасности Администрации сельсовета.

Работа с инцидентами в области информационной безопасности помогает определить наиболее актуальные угрозы информационной безопасности и создает обратную связь в системе обеспечения информационной безопасности, что способствует повышению общего уровня защиты информационных ресурсов и информационных систем.

Работа с инцидентами включает в себя следующие направления:

- определение лиц, ответственных за выявление инцидентов и реагирование на них;

- обнаружение, идентификация и регистрация инцидентов;

- своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами;

- анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а так же оценка их последствий;

- принятие мер по устранению последствий инцидентов;

- планирование и принятие мер по предотвращению повторного возникновения инцидентов.

Для анализа инцидентов, в том числе определения источников и причин возникновения инцидентов, а так же оценки их последствий; планирования и принятия мер по предотвращению повторного возникновения инцидентов, назначается постоянно действующая комиссия по работе с инцидентами в соответствии с приказом Главы Сычевского сельсовета Администрации сельсовета.

2. Определение лиц, ответственных за выявление инцидентов и реагирование на них

2.1. В информационных системах.

Ответственными за выявление инцидентов в ИС являются:

- лица, имеющих право доступа к ИС;

- ответственный за техническое обслуживание ИС;

- Администратор ИС;

- Администратор информационной безопасности ИС.

Ответственными за реагирование на инциденты в ИС являются:

- лица, имеющих право доступа к ИС;

- руководитель подразделения Администрации сельсовета, в котором выявлен инцидент;

- ответственный за техническое обслуживание ИС;

- Администратор ИС;

- Администратор информационной безопасности ИС;

- Ответственный за организацию обработки персональных данных Администрации сельсовета, в случае, если ИС является информационной системой персональных данных (далее - ИСПДн);

- Председатель комиссии по работе с инцидентами.

2.2. Вне информационных систем.

Ответственными за выявление инцидентов вне ИС являются все сотрудники Администрации сельсовета.

Ответственными за реагирование на инциденты вне ИС являются:

- сотрудник Администрации сельсовета, обнаруживший инцидент;

- руководитель подразделения Администрации сельсовета, в котором выявлен инцидент;

- Ответственный за организацию обработки персональных данных Администрации сельсовета, в случае, если существует угроза безопасности персональных данных;

- Председатель комиссии по работе с инцидентами.

3. Обнаружение, идентификация и регистрация инцидентов

3.1 Работа по обнаружению инцидентов в области информационной безопасности включает в себя мероприятия, направленные на:

- выявление инцидентов в области информационной безопасности с помощью технических средств;

- выявление инцидентов в области информационной безопасности в ходе контрольных мероприятий;

- выявление инцидентов с помощью сотрудников Администрации сельсовета.

3.2 Работа по идентификации инцидентов в области информационной безопасности включает в себя мероприятия, направленные на:

- доведение до сотрудников Администрации сельсовета информации позволяющей идентифицировать инциденты.

3.3. Регистрацию инцидентов осуществляет Председатель комиссии по работе с инцидентами в журнале регистрации инцидентов информационной безопасности. Форма журнала утверждается приказом Главы Сычевского сельсовета Администрации сельсовета.

Хранение журнала осуществляется в местах, исключающих доступ к журналу посторонних лиц.  Журнал хранится в течение 5 лет после завершения ведения. Ответственный за хранение ведение и хранение журнала - Председатель комиссии по работе с инцидентами.

4. Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами

Работник Администрации сельсовета (пользователь), обнаруживший инцидент в ИС, должен незамедлительно, любым доступным способом, сообщить об инциденте непосредственному руководителю, Администратору ИС, Администратору информационной безопасности ИС, Ответственному за организацию обработки персональных данных (в случае если ИС является ИСПДн), Председателю комиссии по работе с инцидентами.

Администратор ИС, в случае необходимости, информирует пользователей ИС о возникновении инцидента и дает указания по дальнейшим действиям.

5. Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а так же оценка их последствий

Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а так же оценку их последствий осуществляет комиссия по работе с инцидентами информационной безопасности.

5.1. Источниками и причинами возникновения инцидентов в области информационной безопасности являются:

- действия организаций и отдельных лиц враждебные интересам Администрации сельсовета;

- отсутствие персональной ответственности сотрудников Администрации сельсовета и их руководителей за обеспечение информационной безопасности, в том числе персональных данных;

- недостаточная работа с персоналом по обеспечению необходимого режима соблюдения конфиденциальности, в том числе персональных данных;

- отсутствие моральной и материальной стимуляции за соблюдение правил и требований информационной безопасности;

- недостаточная техническая оснащённость подразделений, ответственных за обеспечение информационной безопасности;

- совмещение функций по разработке и сопровождению или сопровождению и контролю за информационными системами;

- наличие привилегированных бесконтрольных пользователей в информационной системе;

- пренебрежение правилами и требованиями информационной безопасности сотрудниками Администрации сельсовета;

- и другие причины.

5.2. Оценка последствий инцидента производится на основании потенциально-возможного ущерба.

6. Принятие мер по устранению последствий инцидентов

Меры по устранению последствий инцидентов включает в себя мероприятия, направленные на:

- определение границ инцидента и ущерба от реализации угроз информационной безопасности;

- ликвидацию последствий инцидента и полное либо частичное возмещение ущерба.

7. Планирование и принятие мер по предотвращению повторного возникновения инцидентов

7.1. Планирование и принятие мер по предотвращению повторного возникновения инцидентов осуществляет комиссия по работе с инцидентами информационной безопасности и основывается на:

- планомерной деятельности по повышению уровня осознания информационной безопасности руководством и сотрудниками Администрации сельсовета;

- проведении мероприятий по обучению сотрудников Администрации сельсовета правилам и способам работы со средствами защиты информационных систем;

- доведении до сотрудников норм законодательства, внутренних документов Администрации сельсовета, устанавливающих ответственность за нарушение требований информационной безопасности;

- разъяснительной работе с увольняющимися сотрудниками и сотрудниками, принимаемыми на работу;

- своевременной модернизации системы обеспечения информационной безопасности, с учетом возникновения новых угроз информационной безопасности;

- своевременном обновлении программного обеспечения, в том числе баз сигнатур антивирусных средств.

7.2. Работа с персоналом.

Как правило, самым слабым звеном в любой системе безопасности является человек. Поэтому работа с персоналом является основным направлением деятельности по обеспечению требований  информационной безопасности.

В работе с персоналом основной упор должен делаться не на наказание сотрудника за нарушения в области информационной безопасности, а на поощрение за надлежащие выполнение требований информационной безопасности, проявление личной инициативы в укреплении системы информационной безопасности.

Персонал Администрации сельсовета является важным источником сведений об инцидентах информационной безопасности, поэтому необходимо донести до сотрудников информацию о том, что оперативно предоставленные сведения об инциденте информационной безопасности являются основанием для смягчения либо отмены наказания за нарушение требований информационной безопасности.

Cправка

О причинах не уведомления о намерении осуществлять

обработку персональных данных

 Администрации Сычевского сельсовета Муниципальное образование

 Администрация Сычевского сельсовета Муниципальное образование  осуществляет обработку персональных данных в соответствии со следующими положениями:

Категории субъектов персональных данных

– граждане, проживающие на территории муниципального образования

Цель обработки персональных данных

выполнение функций органа местного самоуправления

          Правовое основание обработки персональных данных

 Администрация Сычевского сельсовета Муниципальное образование  обрабатывает персональные данные, руководствуясь:

внутренними документами в области защиты персональных данных

уставом

Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»

 ст. ст. 85-90 Трудового кодекса РФ

В соответствии с подпунктом 366 пункта 2, статьи 22 закона "О персональных данных" № 152-ФЗ  Администрация Сычевского сельсовета Муниципальное образование вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных.

Глава Сычевского сельсовета

Т.Б. Гаврилова

"_ _"        2014 г.

ПЕРЕЧЕНЬ

  информационных систем персональных данных  Администрации Сычевского

 сельсовета Муниципальное образование

№

Наименование ИСПДн

Категория ИСПДн

Уровень защищенности персональных данных

1

Главный специалист Администрации Сычевского сельсовета

Н.Г. Якушева