Управы 20 г. Управа района лефортово города москвы

УТВЕРЖДАЮ
Глава управы

___________________________

«___» _____________ 20__ г.

УПРАВА РАЙОНА ЛЕФОРТОВО

ГОРОДА МОСКВЫ

Положение о порядке обработки и обеспечения безопасности персональных данных

Москва 2010

Содержание

Сокращения 2

Термины и определения 3

1.Общие положения 4

2.Порядок обработки персональных данных в Информационной системе персональных данных Управы района Лефортово города Москвы 5

2.1Виды обрабатываемых персональных данных и цели их обработки 5

2.2Основные условия обработки персональных данных 5

2.3Технология обработки персональных данных 6

3.Обеспечение безопасности персональных данных, обрабатываемых в Информационной системе персональных данных Управы района Лефортово города Москвы 7

3.1Правовое обеспечение безопасности персональных данных, обрабатываемых в Информационной системе персональных данных Управы района Лефортово города Москвы 7

3.2Организационное обеспечение безопасности персональных данных, обрабатываемых в Информационной системе персональных данных Управы района Лефортово города Москвы 9

3.3Техническое обеспечение безопасности персональных данных, обрабатываемых в Информационной системе персональных данных Управы района Лефортово города Москвы 10

3.4Экономическое обеспечение безопасности персональных данных, обрабатываемых в Информационной системе персональных данных Управы района Лефортово города Москвы 11

Приложение 2 13

Приложение 3 14

Лист согласования 15

Лист регистрации изменений 16

Сокращения

ИБ	информационная безопасность
ИСПДн	информационная система персональных данных
ПДн	персональные данные
Управа Лефортово	Управа района Лефортово города Москвы
ФСТЭК	Федеральная служба по техническому и экспортному контролю
ЮВАО	Юго-Восточный административный округ города Москвы

Термины и определения

Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

Обработка персональных данных – получение, хранение, комбинирование, передача или другое любое использование персональных данных.

Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

1.Общие положения

Настоящее Положение устанавливает единый порядок обработки и обеспечения безопасности персональных данных в Информационной системе персональных данных Управы района Лефортово города Москвы.

Реализация настоящего документа направлена на достижение следующих целей:

соответствие требованиям действующих нормативных правовых актов Российской Федерации в области обеспечения безопасности ПДн;

минимизация ущерба, который может быть нанесен Управе района Лефортово вследствие реализации угроз безопасности ПДн, обрабатываемых в ИСПДн Управы района Лефортово.

2.Порядок обработки персональных данных в Информационной системе персональных данных Управы района Лефортово города Москвы

2.1Виды обрабатываемых персональных данных и цели их обработки

В ИСПДн Управы района Лефортово обрабатываются следующие виды ПДн:

ПДн заявителей¹;

ПДн сотрудников Управы района Лефортово.

Целью обработки персональных данных заявителей в ИСПДн Управы района Лефортово является оказание услуг по приему/выдаче заявителям запрашиваемых документов.

Целями обработки персональных данных сотрудников Управы района Лефортово являются содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы.

2.2Основные условия обработки персональных данных

Обработка ПДн в ИСПДн Управы района Лефортово осуществляется при следующих условиях:

после получения согласия субъекта ПДн, составленного по форме согласно Приложению 1 к настоящему документу, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона №152-ФЗ от 27.07.2006 года «О персональных данных». Передача ПДн третьей стороне происходит только после получения согласия субъекта ПДн, составленного по форме согласно Приложению 2 к настоящему документу;

после направления уведомления об обработке ПДн в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по городу Москве, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона №152-ФЗ от 27.07.2006 года «О персональных данных»;

после принятия необходимых мер по защите ПДн.

2.3Технология обработки персональных данных

Технология обработки ПДн в ИСПДн Управы района Лефортово с использованием средств автоматизации определена с учетом требований постановления Правительства Российской Федерации от 17 ноября 2007 года №781
«Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и описывается во внутренних организационно-распорядительных документах Управы района Лефортово.

3.Обеспечение безопасности персональных данных, обрабатываемых в Информационной системе персональных данных Управы района Лефортово города Москвы

В соответствии с Доктриной информационной безопасности Российской Федерации на основе методов обеспечения ИБ в Управе района Лефортово выделяются следующие основные виды обеспечения безопасности ПДн, обрабатываемых в ИСПДн Управы района Лефортово:

правовое обеспечение;

организационное обеспечение;

техническое обеспечение;

экономическое обеспечение.

3.1Правовое обеспечение безопасности персональных данных, обрабатываемых в Информационной системе персональных данных Управы района Лефортово города Москвы

Основой правового обеспечения безопасности ПДн, обрабатываемых в ИСПДн Управы района Лефортово являются следующие нормативные правовые акты Российской Федерации:

Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных»;

Постановление правительства Российской Федерации от 17 ноября 2007 года №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

Совместный Приказ ФСТЭК, ФСБ, Мининформсвязи России №55/86/20 от 13.02.2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;

приказ ФСТЭК России от 5 февраля 2010 года №58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».

В Управе района Лефортово должны выполняться требования указанных документов, а также иных применимых нормативных правовых актов Российской Федерации в области обеспечения безопасности ПДн.

Сотрудники Управы района Лефортово, ознакомленные с ПДн, обязуются выполнять положения заключенных с ними при приеме на работу обязательств о неразглашении информации, содержащей персональные данные (Приложение 3 к настоящему документу).

В случае разглашения сотрудником охраняемой законом тайны, ставшей известной ему в связи с исполнением трудовых обязанностей в соответствии с пп. В, п. 7, ст. 81 Трудового Кодекса Российской Федерации, за Управой района Лефортово остается право расторгнуть с ним трудовой договор. В соответствии со ст. 139 Гражданского Кодекса Российской Федерации нарушение положений настоящего документа может повлечь административную, гражданско-правовую, уголовную или иную ответственность в соответствии с законодательством Российской Федерации.

С целью поддержания мер обеспечения безопасности ПДн, обрабатываемых в ИСПДн Управы района Лефортово в соответствии с положениями действующих нормативных правовых актов Российской Федерации в Управе района Лефортово внедрен и поддерживается процесс мониторинга законодательства.

Этот процесс заключается в отслеживании Управой района Лефортово изменений действующего законодательства и других нормативных правовых актов Российской Федерации и своевременной адекватной корректировке применяемых в Управе района Лефортово мер обеспечения безопасности ПДн.

Ответственным за процесс мониторинга законодательства является Ответственный за обеспечение безопасности ПДн Управы района Лефортово.

3.2Организационное обеспечение безопасности персональных данных, обрабатываемых в Информационной системе персональных данных Управы района Лефортово города Москвы

Организационное обеспечение безопасности ПДн, обрабатываемых в ИСПДн Управы района Лефортово реализуется в Управе района Лефортово выполнением основных требований, изложенных в «Положении о методах и способах защиты информации в информационных системах персональных данных», утвержденном приказом ФСТЭК России от 5 февраля 2010 года №58, и применительно к Управе района Лефортово имеющих следующие формулировки:

должно быть назначено структурное подразделение или должностное лицо, ответственное за обеспечение безопасности ПДн, обрабатываемых в ИСПДн Управы района Лефортово;

должна быть проведена классификация ИСПДн Управы района Лефортово;

должна быть разработана и поддерживаться модель угроз безопасности ПДн, обрабатываемых в ИСПДн Управы района Лефортово;

должна быть реализована и контролироваться разрешительная система допуска сотрудников к информационным ресурсам ИСПДн Управы района Лефортово, ИСПДн Управы района Лефортово и связанным с ее использованием работам/документам;

должен быть определен и контролироваться порядок доступа сотрудников в помещения, где размещены технические средства, позволяющие осуществлять обработку ПДн, и носители ПДн;

должны быть организованы учет и хранение съемных носителей ПДн и их обращение, исключающее хищение, подмену и уничтожение;

должно быть реализовано резервирование технических средств обработки ПДн и носителей ПДн;

должны использоваться только сертифицированные средства защиты информации;

должна быть организована поддержка и обновление антивирусных средств, а также проверка машинных носителей информации на наличие вирусов перед их использованием;

должен быть организован периодический контроль выполнения требований обеспечения безопасности ПДн.

3.3Техническое обеспечение безопасности персональных данных, обрабатываемых в Информационной системе персональных данных Управы района Лефортово города Москвы

В рамках технического обеспечения безопасности ПДн, обрабатываемых в ИСПДн Управы района Лефортово в соответствии с требованиями «Положения о методах и способах защиты информации в информационных системах персональных данных», утвержденном приказом ФСТЭК России от 5 февраля 2010 года №58, для определенного установленным порядком класса защищенности ИСПДн Управы района Лефортово должна быть реализована и поддерживаться система защиты информации, состоящая из следующих основных подсистем:

подсистемы управления доступом;

подсистемы регистрации и учета;

подсистемы обеспечения целостности;

подсистемы антивирусной защиты;

подсистема межсетевого взаимодействия.

Для каждой подсистемы должны быть выполнены все предъявленные в соответствии с результатами классификации ИСПДн Управы района Лефортово требования. Кроме того, к каждой подсистеме могут быть предъявлены дополнительные требования. Дополнительные требования к каждой подсистеме определяются по результатам разработки/пересмотра модели угроз безопасности ПДн, обрабатываемым в ИСПДн Управы района Лефортово.

3.4Экономическое обеспечение безопасности персональных данных, обрабатываемых в Информационной системе персональных данных Управы района Лефортово города Москвы

Экономическое обеспечение безопасности ПДн, обрабатываемых в ИСПДн Управы района Лефортово включает:

определение порядка, планирование и осуществление финансирования реализуемых и / или необходимых к реализации в Управе района Лефортово мер обеспечения безопасности ПДн;

разработку в Управе района Лефортово мер поощрения сотрудников за соблюдение или наложения на них штрафных санкций за несоблюдение установленных правил обработки ПДн.

Приложение 1

Главе

Управы района Лефортово

города Москвы

__________________________

«____» _____________ 20___г.

СОГЛАСИЕ

на обработку персональных данных

Я, ___________________________________, паспорт серии _______, номер _____, выданный ________________________________ «___» ____________ _____ года, в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ
«О персональных данных» даю согласие Управе района Лефортово города Москвы, расположенной по адресу ул. Авиамоторная. дом10, на обработку моих персональных данных, а именно:

_______________________________________________________________________________________________________________________________________________________________________________________________________________________________

(указать состав персональных данных (Ф.И.О, паспортные данные, адрес)
Для обработки в целях

_____________________________________________________________________________________________________________________________________________________

(указать цели обработки)
Я утверждаю, что ознакомлен с документами организации, устанавливающими порядок обработки персональных данных, а также с моими правами и обязанностями в этой области.

Согласие вступает в силу со дня его подписания и действует до

« ___ » _____________ 20___ г. Согласие может быть отозвано мною в любое время на основании моего письменного заявления.
« ___ » _____________ 20___ г. ________________

(подпись)

Приложение 2

Главе

Управы района Лефортово

города Москвы

__________________________

«____» _____________ 20___г.
СОГЛАСИЕ

на передачу персональных данных третьей стороне

Я, ___________________________________, паспорт серии _______,

номер ___________, выданный ________________________________
« ___ » ___________ _____ года,

в соответствии со ст.88 Трудового Кодекса Российской Федерации ___________________. на передачу моих персональных данных, а именно:

(согласен/не согласен)

(указать состав персональных данных (Ф.И.О, паспортные данные, адрес)

Для обработки в целях

_____________________________________________________________________________________________________________________________________________________

(указать цели обработки)

Следующим лицам

_____________________________________________________________________________________________________________________________________________________

(указать Ф.И.О. физического лица или наименование организации, которым сообщаются данные)
Я также утверждаю, что ознакомлен с возможными последствиями моего отказа дать письменное согласие на передачу моих персональных данных.

« ___ » __________ 20___ г. ___________________

(подпись)

Приложение 3

ОБЯЗАТЕЛЬСТВО

о неразглашении информации, содержащей персональные данные

Я,_____________________________________________________________________,

(Ф.И.О. государственного гражданского служащего города Москвы)

исполняющий(ая) должностные обязанности по замещаемой должности

_____________________________________________________________________

_______________________________________________________________________,

(должность, наименование структурного подразделения)

предупрежден(а) о том, что на период исполнения должностных обязанностей в соответствии с должностным регламентом мне будет предоставлен допуск к информации, содержащей персональные данные. Настоящим добровольно принимаю на себя обязательства:

1. Не передавать и не разглашать третьим лицам информацию, содержащую персональные данные, которая мне доверена (будет доверена) или станет известной в связи с исполнением должностных обязанностей.

2. В случае попытки третьих лиц получить от меня информацию, содержащую персональные данные, сообщать непосредственному начальнику.

3. Не использовать информацию, содержащую персональные данные, с целью получения выгоды.

4. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты персональных данных.

5. В течение года после прекращения права на допуск к информации, содержащей персональные данные, не разглашать и не передавать третьим лицам известную мне информацию, содержащую персональные данные.

Я предупрежден(а) о том, что в случае нарушения данного обязательства буду привлечен(а) к дисциплинарной ответственности и/или иной ответственности в соответствии с законодательством Российской Федерации.

_______________________________________ _____________

(фамилия, инициалы) (подпись)

«______»___________________ ________ г.

Лист согласования

Согласовано:
	^{Должность}	^{личная подпись}	^{инициалы, фамилия}

	^{Должность}	^{личная подпись}	^{инициалы, фамилия}

	^{Должность}	^{личная подпись}	^{инициалы, фамилия}

	^{Должность}	^{личная подпись}	^{инициалы, фамилия}

	^{Должность}	^{личная подпись}	^{инициалы, фамилия}

	^{Должность}	^{личная подпись}	^{инициалы, фамилия}

	^{Должность}	^{личная подпись}	^{инициалы, фамилия}

Лист регистрации изменений

№ Измене-ния	Номера страниц				Всего страниц в документе	Дата и подпись лица, внесшего изменение	Дата и подпись лица, утвердившего изменение
№ Измене-ния	Изменен-ных	Заменен-ных	Новых	Аннулиро-ванных

1 В настоящем документе под термином «заявитель» следует понимать лиц, обращающихся в Отдел службы «одного окна» и Сектор писем Управы района Лефортово за получением запрашиваемых документов.