Режим защиты персональных данных

Информационная поддержка по теме: "Режим защиты персональных данных" с подробным описанием. В статье мы постарались полностью раскрыть тему. В случае возникновения вопросов, вы всегда можете их задать дежурному юристу.

Что такое система защиты персональных данных? Мероприятия по обеспечению безопасности и инструкция по разработке СЗПД

Возросшие технические возможности по копированию и распространению конфиденциальной информации привели к необходимости использования средств по защите персональных данных.

Это комплекс мероприятий технического, организационного и организационно-технического характера; он предполагает возможность избежать злоупотреблений личными сведениями, предотвратить использование мошеннических схем в Интернете, которые представляют угрозу законным правам и интересам личности.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Что это такое?

Система защиты персональных данных (СЗПД) – это комплекс мер и мероприятий организационного и технического характера, направленных на противодействие несанкционированному доступу к закрытой информации с учетом актуального типа угроз безопасности(п. 2 Постановления Правительства РФ от 01.11.2012 N 1119).

Любое физическое или юридическое лицо, подпадающее под определение “оператор ПД”, обязано создать условия и предпринять меры по охране ПД от непредумышленных или преступных покушений.

СЗПД должна быть выстроена таким образом, чтобы действовать эффективно, но в то же время обеспечивать непрерывность внутренних процессов компании или организации.

Какие существуют уровни защищенности?

В соответствии со статьей 19 Федерального закона «О персональных данных» № 152 от 27.07.2006 года, Правительство РФ устанавливает 4 уровня защищенности:

  1. УЗ-1 – максимальный.
  2. УЗ-2 – высокий.
  3. УЗ-3 – средний.
  4. УЗ-4 – низкий.

Определение уровня защищенности информации осуществляется с учетом категории обрабатываемых данных, вида обработки, количества субъектов и типа угроз. Это позволяет предпринять соответствующие эффективные меры , гарантирующие информационную безопасность ПД.

Детально выбор средств в соответствии с уровнем защиты и типом угроз освещен в пунктах 4-16 Постановления Правительства РФ от 01.11.2012 N 1119.

Какие предпринимаются меры и мероприятия?

Мероприятия по защите ПД – это комплекс мер, направленных на надежную охрану конфиденциальной информации, которую субъект предоставляет оператору организации.

Организационные меры включают:

    Оповещение Роскомнадзора о начале обработки персональных данных путем отправки в орган соответствующего уведомления.

Разработка пакета документации для внутреннего пользования, которой регламентируются операции с ПД, их обработка и хранение, в частности это Положение о персональных данных, Приказ о назначении ответственного за обработку ПД лица, должностные инструкции и пр. Больше информации о пакете документов, необходимых для создания защиты персональных данных, найдете тут, а про документы, необходимые для защиты ПД работников в организациях, мы рассказываем здесь.

КОНСУЛЬТАЦИЯ ЮРИСТА


УЗНАЙТЕ, КАК РЕШИТЬ ИМЕННО ВАШУ ПРОБЛЕМУ — ПОЗВОНИТЕ ПРЯМО СЕЙЧАС

8 800 350 84 37

Внедрение пропускного режима для доступа на объект, где хранятся и обрабатываются данные.

Подписание соглашений с третьими лицами, которые участвуют в обработке информации.

Составление перечня ограниченного круга лиц, которые имеют право работать с ПД и несут ответственность за конфиденциальность информации.

Рациональное расположение рабочих мест в организации, исключающее несанкционированный доступ к личным сведениям.

  • Внутренний контроль за соблюдением требований к защите ПД в соответствии с законодательством.
  • Технические меры предполагают использование программных и аппаратных средств информационной защищенности.Они направлены на:

    • предупреждение неправомерного доступа – внедрение системы разграничения доступа, установка антивирусных программ, межсетевых экранов, криптографических и блокировочных средств;
    • предотвращение технической информационной утечки – применение экранированных кабелей, высокочастотных фильтров, систем зашумления и пр.

    Средства и способы защиты оператор выбирает самостоятельно с учетом актуальных угроз и особенностями операций, совершаемых с ПД.

    Пошаговая инструкция по разработке СЗПД

    Процессы обработки и защиты ПД должны строго соответствовать законодательным актам РФ, прежде всего положениям Федерального закона № 152-ФЗ «О персональных данных». Это можно реализовать только при помощи грамотно выстроенной системы. Создание системы – процесс сложный, который выполняется поэтапно:

    Подробную инструкцию по реализации защиты ПД в различных организациях найдете тут.

    Для учета и хранения данных заводится специальный журнал. При списании и уничтожении носителей информации бумажного и электронного типа составляется соответствующий акт. Информация об изменениях технического оснащения, структуры организации, расширении площадей или принятии новых защитных мер должна быть внесена в весь комплекс внутренней документации.

    Техсредства защиты информации должны быть сертифицированы и правильно настроены. Со списком сертифицированных средств можно ознакомиться на сайте ФСТЭК России.

    Средства и система защиты ПД – это целый комплекс мероприятий, которые важно не только грамотно разработать и внедрить, но и поддерживать систему в актуальном состоянии.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (499) 938-47-92 (Москва)
    Это быстро и бесплатно !

    Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/zashhita/sistema-zpd.html

    Приложение. Инструкция по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации

    Приложение
    к приказу МВД РФ
    от 6 июля 2012 г. N 678

    Инструкция
    по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации

    С изменениями и дополнениями от:

    15 июля 2013 г., 20 апреля 2015 г., 7 декабря 2016 г.

    I. Общие положения

    Информация об изменениях:

    Приказом МВД России от 15 июля 2013 г. N 538 в пункт 1 внесены изменения

    Читайте так же:  Как написать повестку в суд

    1. Инструкция по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации*(1), разработана в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных»*(2), постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»*(3), иными нормативными правовыми актами Российской Федерации, регламентирующими порядок обработки персональных данных.

    Информация об изменениях:

    Приказом МВД России от 15 июля 2013 г. N 538 в пункт 2 внесены изменения

    2. Настоящая Инструкция определяет порядок выполнения мероприятий по защите персональных данных*(4), содержащихся в информационных системах органов внутренних дел Российской Федерации, устанавливает меры по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных*(5), а также определяет обязанности должностных лиц.

    В Инструкции не рассматриваются вопросы обеспечения безопасности ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также меры, связанные с применением шифровальных (криптографических) средств защиты информации.

    Методы и способы защиты информации, содержащейся в государственных информационных системах, определяются в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17*(6).

    3. Министерство внутренних дел Российской Федерации*(7) в соответствии с Федеральным законом N 152-ФЗ является оператором, организующим и (или) осуществляющим обработку ПДн, а также определяющим цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

    4. Координацию и контроль деятельности по защите ПДн, содержащихся в информационных системах органов внутренних дел Российской Федерации, осуществляет подразделение центрального аппарата МВД России, выполняющее функции головного подразделения МВД России по вопросам защиты ПДн при их автоматизированной обработке*(8).

    5. Оператор определяет подразделения органов внутренних дел Российской Федерации, осуществляющие обработку ПДн в эксплуатируемых информационных системах.

    В случаях когда реализация мер по организации и обработке ПДн в ИСПДн возлагается на несколько подразделений МВД России, вопросы разграничения полномочий между ними отражаются в инструкции по эксплуатации соответствующей информационной системы.

    Информация об изменениях:

    Приказом МВД России от 7 декабря 2016 г. N 807 в пункт 6 внесены изменения

    6. Подразделения центрального аппарата МВД России, территориальные органы МВД России, образовательные, научные медико-санитарные и санаторно-курортные организации системы МВД России, окружные управления материально-технического снабжения системы МВД России, а также иные организации и подразделения, созданные для выполнения задач и осуществления полномочий, возложенных на органы внутренних дел Российской Федерации*(9), выполняют функции оператора ИСПДн при эксплуатации информационной системы, в том числе при обработке информации, содержащейся в ее базах данных*(10).

    II. Организация работ по обеспечению безопасности персональных данных при их автоматизированной обработке

    7. Организация работ по созданию и эксплуатации ИСПДн, а также системы защиты персональных данных*(11) осуществляется в соответствии с законодательством Российской Федерации в области обеспечения безопасности информации и соответствующими государственными стандартами.

    Информация об изменениях:

    Приказом МВД России от 7 декабря 2016 г. N 807 пункт 8 изложен в новой редакции

    8. Работы по обеспечению безопасности ПДн включаются в планирующие документы МВД России.

    Информация об изменениях:

    Приказом МВД России от 15 июля 2013 г. N 538 в пункт 9 внесены изменения

    9. В целях обеспечения безопасности ПДн создается СЗПДн, которая должна обеспечивать конфиденциальность, целостность и доступность ПДн при их обработке в ИСПДн во всех структурных элементах, на технологических участках обработки и во всех режимах функционирования информационной системы.

    СЗПДн включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах*(12).

    Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных определяются в соответствии с нормативными правовыми актами, принятыми Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона 152-ФЗ.

    Информация об изменениях:

    Приказом МВД России от 15 июля 2013 г. N 538 пункт 10 изложены в новой редакции

    10. Выбор средств защиты информации*(13) для СЗПДн осуществляется в установленном порядке*(14) подразделениями-операторами ИСПДн в зависимости от уровня защищенности ПДн, определяемого в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

    Информация об изменениях:

    Приказом МВД России от 15 июля 2013 г. N 538 в пункт 11 внесены изменения

    11. Установление класса защищенности информационной системы*(15) и уровня защищенности ПДн производится подразделением-оператором ИСПДн на этапе создания (модернизации) ИСПДн, а также при изменении масштаба информационной системы или значимости обрабатываемой в ней информации.

    Подразделения-операторы ИСПДн, которые осуществляли обработку ПДн, должны обеспечить СЗПДн ранее введенных и (или) модернизирующихся информационных систем в соответствии с требованиями настоящей Инструкции.

    Информация об изменениях:

    Приказом МВД России от 15 июля 2013 г. N 538 в пункт 12 внесены изменения

    12. В целях установления класса защищенности информационной системы и уровня защищенности ПДн приказом руководителя подразделения-оператора ИСПДн назначается комиссия, в состав которой включаются представители подразделения МВД России, эксплуатирующего ИСПДн, а также специалисты подразделения МВД России, осуществляющего свою деятельность в области информационных технологий, связи и защиты информации.

    Информация об изменениях:

    Приказом МВД России от 15 июля 2013 г. N 538 в пункт 13 внесены изменения

    Читайте так же:  Анонимное письмо человеку

    13. Результаты установления класса защищенности информационной системы и уровня защищенности ПДн оформляются соответствующим актом подразделения-оператора ИСПДн.

    Информация об изменениях:

    15. Помещения, в которых размещены объекты информатизации, содержащие ИСПДн, должны соответствовать требованиям по обеспечению их сохранности, пожарной безопасности, а также защиты от несанкционированного проникновения посторонних лиц.

    16. Для каждой ИСПДн на этапе ее создания (модернизации) разрабатываются модель угроз, а также документы, отражающие вопросы резервного копирования информации, содержащей ПДн, парольной защиты, проведения антивирусного контроля, порядка удаления (изменения) персонифицированных записей из (в) ИСПДн, обезличивания ПДн, проведения технического обслуживания ИСПДн, работы с машинными носителями ПДн.

    17. Обработка ПДн в ИСПДн осуществляется только после завершения работ по созданию СЗПДн и вводу в эксплуатацию ИСПДн.

    Информация об изменениях:

    19. В ИСПДн не производится обработка информации с применением аппаратно-программных средств, не предусмотренных конструкторской и эксплуатационной документацией.

    20. Для обеспечения сохранности информационных ресурсов ИСПДн производится их резервное копирование на материальный носитель, обеспечивающее возможность восстановления содержащихся в информационной системе сведений.

    Порядок и периодичность проведения резервного копирования информации определяются в конструкторской документации на ИСПДн, а также в инструкции по эксплуатации ИСПДн.

    21. Для каждой ИСПДн предусматривается ведение следующих журналов:

    учета эксплуатирующего персонала, в том числе администраторов безопасности ИСПДн, администраторов ИСПДн, пользователей ИСПДн, непосредственно обрабатывающих ПДн в ИСПДн, и инженерно-технического персонала, имеющего доступ к ИСПДн с целью обеспечения устойчивого функционирования информационной системы при ее использовании;

    учета и выдачи машинных носителей ПДн;

    проведения инструктажей по обеспечению безопасности ПДн;

    проверки исправности технических средств и технического обслуживания.

    Информация об изменениях:

    Приказом МВД России от 15 июля 2013 г. N 538 в пункт 22 внесены изменения

    22. Взаимодействие ИСПДн с внешними информационными системами сторонних организаций осуществляется с учетом положений международных договоров Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации.

    Меры, принимаемые по защите ПДн в ИСПДн при их взаимодействии с внешними информационными системами сторонних организаций, отражаются в конструкторской, эксплуатационной и организационно-распорядительной документации на соответствующую информационную систему.

    III. Организация разрешительной системы доступа к ИСПДн

    23. Подразделениями-операторами ИСПДн по согласованию с уполномоченным подразделением МВД России организуется разрешительная система доступа к техническим и программным средствам ИСПДн, а также к информационным ресурсам ИСПДн.

    24. Порядок и условия доступа к ИСПДн определяются на стадии ее создания (модернизации) в конструкторской документации на ИСПДн и в инструкции по эксплуатации ИСПДн.

    25. Регистрация пользователей в ИСПДн осуществляется администратором безопасности ИСПДн на основании списков должностных лиц, утвержденных приказом руководителя подразделения — оператора ИСПДн.

    26. Запросы пользователей ИСПДн на получение ПДн, а также факты предоставления ПДн по этим запросам регистрируются средствами ИСПДн в электронном журнале обращений, содержание которого проверяется администратором безопасности ИСПДн.

    При обнаружении нарушений порядка предоставления ПДн администратор безопасности ИСПДн незамедлительно информирует об этом руководителя подразделения МВД России и приостанавливает предоставление ПДн пользователям ИСПДн до выявления причин нарушений или их устранения.

    IV. Обязанности должностных лиц органов внутренних дел Российской Федерации по защите персональных данных

    27. Руководители подразделений-операторов ИСПДн обеспечивают выполнение правовых, организационных и технических мер, предусмотренных законодательными и иными нормативными правовыми актами Российской Федерации, в части, их касающейся, в том числе:

    Видео (кликните для воспроизведения).

    планирование и организацию выполнения мероприятий по обеспечению безопасности ПДн;

    конфиденциальность, целостность и доступность ПДн;

    организацию взаимодействия подразделений МВД России, обеспечивающих создание (модернизацию) и эксплуатацию ИСПДн;

    определение должностных обязанностей лиц, ответственных за организацию обработки ПДн и за эксплуатацию ИСПДн;

    организацию и осуществление контроля за выполнением установленных требований по обеспечению безопасности ПДн.

    28. Ответственными за соблюдение требований по защите ПДн при их автоматизированной обработке являются руководители подразделений МВД России, эксплуатирующих, а также использующих ИСПДн, администраторы ИСПДн, пользователи ИСПДн, непосредственно обрабатывающие ПДн в ИСПДн, и инженерно-технический персонал, имеющий доступ к ИСПДн с целью обеспечения устойчивого функционирования информационной системы при ее использовании, что отражается в должностных регламентах (должностных инструкциях) указанных лиц.

    29. Лица, указанные в пункте 28 настоящей Инструкции, осуществляют обработку ПДн в соответствии с требованиями Федерального закона N 152-ФЗ и иными нормативными правовыми актами Российской Федерации в сфере защиты ПДн, а также несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты ПДн.

    30. В подразделениях МВД России с сотрудниками, федеральными государственными гражданскими служащими и работниками, уполномоченными на обработку ПДн в ИСПДн, в целях повышения уровня профессиональной подготовки организуются изучение требований законодательства Российской Федерации по вопросам обеспечения безопасности ПДн, а также ежегодная проверка их знаний.

    V. Контроль обеспечения безопасности персональных данных

    31. Целью контроля является соблюдение подразделениями МВД России требований по обеспечению безопасности ПДн при их обработке в ИСПДн.

    32. Задачами контроля являются:

    установление фактического положения дел в подразделении МВД России по обеспечению безопасности ПДн при их обработке в ИСПДн;

    выявление проблемных вопросов в организации обеспечения безопасности ПДн;

    обеспечение соблюдения законодательства в сфере ПДн;

    выработка мер по оказанию методической и практической помощи подразделениям МВД России;

    повышение ответственности руководителей за выполнение возложенных задач, соблюдение законности в их деятельности.

    Информация об изменениях:

    Приказом МВД России от 15 июля 2013 г. N 538 пункт 33 изложен в новой редакции

    Читайте так же:  В период отсутствия право подписи

    33. Контроль за выполнением требований настоящей Инструкции организуется и проводится уполномоченным подразделением МВД России, а также подразделениями территориальных органов МВД России, осуществляющими свою деятельность в области информационных технологий, связи и защиты информации, самостоятельно, не реже 1 раза в 3 года.

    Источник: http://base.garant.ru/70230320/53f89421bbdaf741eb2d1ecc4ddb4c33/

    Режим защиты персональных данных

    АДМИНИСТРАЦИЯ ГОРОДА ИРКУТСКА

    от 2 марта 2015 года N 031-10-124/5

    Об осуществлении внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных и о внутренних проверках режима защиты персональных данных в администрации города Иркутска

    (с изменениями на 18 июня 2019 года)

    (в ред. Распоряжения администрации г. Иркутска от 18.06.2019 N 031-10-236/9)

    1.1. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации города Иркутска (Приложение N 1).

    1.2. План внутренних проверок режима защиты персональных данных в администрации города Иркутска (Приложение N 2).

    2. Руководителям структурных подразделений администрации города Иркутска в месячный срок с момента подписания настоящего распоряжения ознакомить под роспись сотрудников подведомственного структурного подразделения администрации города Иркутска. Листы ознакомления представить в отдел информационной безопасности и криптографической защиты информации департамента информатизации комитета по экономике администрации г. Иркутска.

    3. Контроль за исполнением настоящего Распоряжения возложить на заместителя мэра — руководителя аппарата администрации города Иркутска.

    И.о. главы администрации города Иркутска
    А.Б.ЛОГАШОВ

    Приложение N 1. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации города Иркутска

    Приложение N 1
    к распоряжению администрации
    города Иркутска
    от 2 марта 2015 г. N 031-10-124/5

    (в ред. Распоряжения администрации г. Иркутска от 18.06.2019 N 031-10-236/9)

    1. Общие положения

    1.1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации города Иркутска (далее — Правила) определяют порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным действующим законодательством, в том числе Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами администрации города Иркутска.

    1.2. Правила разработаны с учетом требований Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 21.03.2011 N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», иных нормативных правовых актов.

    2. Порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям законодательства

    2.1. Цель проведения внутреннего контроля состоит в проверке и оценке соответствия обеспечения безопасности персональных данных (далее — ПДн) требованиям действующего законодательства, в том числе Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», политики администрации города Иркутска в отношении обработки ПДн, правовых актов администрации города Иркутска, регулирующих работу с ПДн в структурных подразделениях администрации города Иркутска.

    2.2. При проведении контроля используются процедуры документальной проверки, опрос и интервью с муниципальными служащими, работниками, замещающими должности, не являющиеся должностями муниципальной службы, на основании трудового договора (далее — служащие) администрации города Иркутска. При необходимости уточнения результатов документальной проверки, опросов и интервью в рамках внутреннего контроля в качестве дополнительного способа может применяться «проверка на месте», которая проводится для обеспечения уверенности в том, что конкретные защитные меры реализуются, правильно используются и проверяются с помощью тестирования.

    2.3. При проведении внутреннего контроля должно быть обеспечено документальное и, если это необходимо, техническое подтверждение того, что:

    — политика в отношении обработки ПДн соответствует требованиям законодательства Российской Федерации;

    — организационная структура обеспечения безопасности ПДн создана;

    — процессы выполнения требований безопасности ПДн исполняются и удовлетворяют поставленным целям;

    — защитные меры (межсетевые экраны, средства защиты информации от несанкционированного доступа и т.п.) настроены и используются правильно;

    — остаточные риски безопасности ПДн оценены и остаются приемлемыми;

    — рекомендации предшествующих проверок реализованы.

    2.4. При проведении внутреннего контроля могут использоваться журналы средств защиты информации для выявления попыток несанкционированного доступа к защищаемым ресурсам, а также журнал учета нештатных ситуаций информационных систем персональных данных (далее — ИСПДн), ведущийся администратором безопасности.

    2.5. Ответственный за организацию обработки ПДн для проведения контроля имеет право привлекать администратора безопасности ИСПДн и других служащих.

    Заместитель мэра — председатель комитета
    по экономике администрации г. Иркутска
    А.А.АЛЬМУХАМЕДОВ

    Начальник отдела информационной безопасности
    и криптографической защиты информации
    департамента информатизации комитета
    по экономике администрации г. Иркутска
    Е.В.ТОРГАШИН

    Приложение N 2. План внутренних проверок режима защиты персональных данных в администрации города Иркутска

    Приложение N 2
    к распоряжению администрации
    города Иркутска
    от 2 марта 2015 г. N 031-10-124/5

    (в ред. Распоряжения администрации г. Иркутска от 18.06.2019 N 031-10-236/9)

    1. Общие положения

    1.1. План внутренних проверок режима защиты персональных данных в администрации города Иркутска (далее — План) содержит перечень мероприятий (внутренних проверок) по проверке режима защиты персональных данных в администрации города Иркутска.

    1.2. План содержит следующую информацию:

    — название проводимого мероприятия;

    1.3. План распространяется на все структурные подразделения администрации города Иркутска, в которых осуществляется обработка персональных данных либо имеется доступ к персональным данным.

    Руководители структурных подразделений администрации города Иркутска доводят до сведения муниципальных служащих и (или) работников, замещающих должности, не являющиеся должностями муниципальной службы, на основании трудового договора, назначенных ответственными за организацию обработки персональных данных в соответствующем структурном подразделении администрации города Иркутска, настоящий План под роспись.

    2. Мероприятия по проверке режима защиты персональных данных

    2.1. Мероприятия по проверке режима защиты персональных данных имеют следующую периодичность:

    Читайте так же:  Несвоевременное продление разрешения на оружие

    — ежедневные мероприятия — мероприятия, предусматривающие постоянный контроль за выполнением требований действующего законодательства ответственным за организацию обработки персональных данных в соответствующем структурном подразделении администрации города Иркутска (далее — ответственный исполнитель) и незамедлительное реагирование на инциденты информационной безопасности;

    — еженедельные и ежемесячные мероприятия — мероприятия, предусматривающие проведение мероприятий ответственными исполнителями в один и тот же день недели или месяца. Факт проведения мероприятия должен быть зафиксирован в журнале, указанном в разделе 3 настоящего Плана;

    — ежегодные или проводимые раз в несколько лет — мероприятия, предусматривающие проведение мероприятий в четко определенные ответственными исполнителями периоды времени. В ходе мероприятий должны быть учтены результаты проводимых ранее мероприятий по проверке режима защиты персональных данных в данном периоде.

    3. Журнал учета мероприятий по контролю обеспечения защиты персональных данных

    3.1. Информация о периодически проводимых мероприятиях и их результатах фиксируется в журнале учета мероприятий по контролю за соблюдением режима защиты персональных данных (далее — Журнал). Форма Журнала представлена в Приложении N 1 к настоящему Плану.

    В Журнале отмечаются мероприятия в соответствии с Планом, носящие периодический характер.

    В Журнал заносится следующая информация:

    — название проведенного мероприятия;

    — дата проведенного мероприятия;

    — результат (отчет, действия) мероприятия (при необходимости).

    Источник: http://docs.cntd.ru/document/543706522

    Правовой режим персональных данных

    Приказ ФСБ России от 10 июля 2014 года N 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;

    Приказ ФСБ России от 9 февраля 2005 года N 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»;

    «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная Приказом ФАПСИ от 13 июня 2001 года N 152;

    «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные руководством 8 Центра ФСБ России (N 149/7/2/6-432 от 31.03.2015).

    Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов РФ, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

    В настоящее время знание положений вышеуказанного закона актуально не только для руководителей организаций всех форм собственности, но и для категории технических работников (например, окончивших оператора ПК курсы). Именно поэтому в должностной инструкции оператора ПК указывается, что он должен знать стандарты делопроизводства, а также руководствоваться в своей деятельности законодательными актами РФ.

    Необходимо особо отметить, что действие Федерального закона от 27 июля 2006 г. N 152-ФЗ не распространяется на отношения, возникающие при:

    1. обработке персональных данных физическими лицами исключительно для личных и семейных нужд , если при этом не нарушаются права субъектов персональных данных;
    2. организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле в РФ;
    3. обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну ;
    4. предоставлении уполномоченными органами информации о деятельности судов в РФ в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в РФ».

    Целью Федерального закона «О персональных данных» является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

    Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

    Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

    Законодательство РФ в области персональных данных

    Законодательство РФ в области персональных данных основывается на Конституции РФ, международных договорах РФ и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

    На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее — нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию.

    Читайте так же:  Виды психиатрического освидетельствования

    Если международным договором РФ установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

    Принципы обработки персональных данных

    1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
    2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
    3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
    4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
    5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
    6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
    7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

    Условия обработки персональных данных

    Обработка персональных данных допускается в следующих случаях:

      1. в интересах и с согласия субъекта персональных данных на обработку его персональных данных;
      2. для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
      3. для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица;
      4. осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
      5. осуществления профессиональной деятельности журналиста и (или) законной деятельности СМИ либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
      6. в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона, при условии обязательного обезличивания персональных данных;
      7. подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

    Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

    В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

    Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

    Порядок получения согласия субъекта персональных данных на обработку его персональных данных регламентируется ст. 9 закона.

    Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается , за исключением случаев:

    Права субъекта персональных данных

      1. Право субъекта персональных данных на доступ к его персональным данным.
      2. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации (только после предварительного согласия субъекта).
      3. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных (запрещено принятие решений на основании исключительно автоматизированной обработки персональных данных).
      4. Право на обжалование действий или бездействия оператора.

    Ответственность за нарушение требований закона «О персональных данных»

    Лица, виновные в нарушении требований Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных», несут предусмотренную законодательством РФ ответственность.

    Так, ст. 13.11 КоАП РФ устанавливает, что н арушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа

      • на граждан в размере от трехсот до пятисот рублей;
      • на должностных лиц — от пятисот до одной тысячи рублей;
      • на юридических лиц — от пяти тысяч до десяти тысяч рублей.

    Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

    Видео (кликните для воспроизведения).

    Источник: http://jurkom74.ru/ucheba/pravovoy-rezhim-personalnich-dannich

    Режим защиты персональных данных
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here