5. ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Защита персональных данных от неправомерного их использования или утраты обеспечивается системой защиты персональных данных. 5.2. Общую организацию защиты персональных данных лиц осуществляет отдел по защите информации администрации. 5.3. Отдел по защите информации совместно с руководителями структурных подразделений обеспечивает:
ознакомление сотрудников, которые участвуют в обработке персональных данных, под роспись с настоящим Положением, регламентирующими документами, актами и другими документами, регламентирующими работу с персональными данными в администрации;
получение от сотрудника, обрабатывающего персональные данные, обязательства о неразглашении сведений содержащих персональные данные (приложение 2);
общий контроль соблюдения сотрудниками администрации мер по защите персональных данных.
5.4. Организацию и контроль защиты персональных данных в структурных подразделениях администрации, осуществляют специально назначенные сотрудники структурных подразделений совместно с руководителями структурных подразделений, которые руководствуются должностным регламентом специалиста по обеспечению безопасности персональных данных (Приложение 10). 5.5. Защите подлежит:
информация о персональных данных субъектов;
документы, содержащие персональные данные субъектов;
персональные данные, содержащиеся на электронных носителях.
6. МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИСПОЛЬЗОВАНИИ СРЕДСТВ АВТОМАТИЗАЦИИ
6.1. В соответствии с п. 1.3. Приказа ФСТЭК России № 58 от 05.02.2010, в каждой ИСПДн структурных подразделений администрации назначается ответственный за работу с персональными данными. Ответственные назначаются распоряжением администрации (локальными нормативными актами руководителей структурных подразделений). Для функционирования информационной системы в штатном режиме и для разграничения прав пользователей, согласно созданной для каждого ИСПДн матрицы доступа, распоряжением администрации назначается администратор безопасности. 6.2. Отдел по защите информации администрации проводит ревизию информационных систем в администрации. По результатам ревизии разрабатывается перечень информационных ресурсов. 6.3. Распоряжением администрации, в соответствии с п. 3.6 СТР-К, утверждается перечень сведений конфиденциального характера. 6.4. Защита сведений, хранящихся в электронных базах данных администрации, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается системой защиты персональных данных, включающей организационные меры, и (по мере необходимости) технические средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. 6.5. В целях реализации требований ПОЛОЖЕНИЯ, решение вопросов в данном направлении возлагается на отдел по защите информации администрации. 6.5.1. Задачами отдела по защите информации администрации, в сфере обеспечения защиты персональных данных являются:
- классификация информационных систем персональных данных в соответствии с «Порядком проведения классификации информационных систем персональных данных», утвержденным совместным приказом Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13.02.2008 № 55/86/20;
- определение лиц, допущенных к обработке персональных данных (либо имеющих к ним доступ) в связи с выполнением своих служебных (трудовых) обязанностей и допуск их распоряжением администрации;
- установление и утверждение перечня персональных данных, информационных систем и технических средств, используемых для их обработки в администрации, места хранения персональных данных (материальных носителей);
- установление и утверждение категорий персональных данных, обработка которых осуществляется в администрации, как с использованием, так и без использования средств автоматизации;
- утверждение правил осуществления обработки персональных данных, осуществляемой без использования средств автоматизации;
- определение условий и утверждение перечня мер, необходимых для обеспечения в администрации условий по сохранности персональных данных и исключающих несанкционированный к ним доступ, а также перечня лиц, ответственных за реализацию указанных мер;
- разработка организационных документов администрации о порядке эксплуатации информационной системы персональных данных;
- определение методов и способов защиты информации от несанкционированного доступа, обеспечивающие функции управления доступом, регистрации и учета, обеспечения целостности, анализа защищенности, обеспечения безопасного межсетевого взаимодействия в зависимости от класса информационной системы в администрации в соответствии с «Положением о методах и способах защиты информации в информационных системах персональных данных», утвержденным приказом Федеральной службы по техническому и экспортному контролю от 05.02.2010 № 58;
- разработка и принятие иных документов и мер, направленных на обеспечение информационной безопасности персональных данных в администрации. 6.6. Технические меры по защите персональных данных 6.6.1. Технические меры по защите персональных данных включают в себя:
- исключение возможности несанкционированного доступа к персональным данным в администрации лицам, не допущенным к обработке персональных данных в установленном порядке;
- установку, настройку и сопровождение технических и программных средств защиты информации (в том числе шифровальных (криптографических) средств, средств предотвращения несанкционированного доступа и утечки информации по техническим каналам. 6.6.2. Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации:
- при отсутствии установленных и настроенных сертифицированных средств защиты информации;
- при отсутствии утвержденных организационных документов о порядке эксплуатации информационной системы персональных данных.
- в случаях, когда возможно визуальное считывание персональных данных с монитора посторонними лицами;
- запрещается при обработке персональных данных в слух зачитывать (диктовать) персональные данные. 6.6.3. Электронные носители информации, содержащие персональные данные, учитываются в журнале учета электронных носителей персональных данных, составленном по форме (Приложение 7). 6.6.4. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых металлических шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность от повреждений при воздействии внешних факторов. 6.6.5. Доступ к персональным данным, содержащихся на электронных носителях, осуществляется только с помощью установленного пароля, либо специально установленных технических средств защиты. 6.6.6. Решение, порождающее юридические последствия в отношении лица, или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных, только при наличии его согласия в письменной форме, или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов лица.
|