Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю


НазваниеПоложение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю
страница1/11
ТипДокументы
filling-form.ru > Договоры > Документы
  1   2   3   4   5   6   7   8   9   10   11





УТВЕРЖДЕНО
Приказом Управления

Федерального казначейства

по Забайкальскому краю

от «06» мая 2010 г. № 204 – П.Д.


ПОЛОЖЕНИЕ

ПО ОРГАНИЗАЦИИ РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

В УПРАВЛЕНИИ ФЕДЕРАЛЬНОГО КАЗНАЧЕЙСТВА

ПО ЗАБАЙКАЛЬСКОМУ КРАЮ И ОТДЕЛЕНИЯХ УПРАВЛЕНИЯ ФЕДЕРАЛЬНОГО КАЗНАЧЕЙСТВА ПО ЗАБАЙКАЛЬСКОМУ КРАЮ


г. Чита

2010

Оглавление


I. Общие положения

1.1. Настоящим Положением регулируются отношения, связанные с организацией работы с персональными данными, осуществляемой в Управлении Федерального казначейства по Забайкальскому краю (далее - Управление) и Отделениях Управлении Федерального казначейства по Забайкальскому краю (далее - Отделение) с использованием и без использования средств автоматизации.

Действие настоящего Положения не распространяется на отношения, возникающие при организации работы с персональными данными, отнесенными в установленном порядке к сведениям, составляющим государственную тайну.

В главе I установлены требования к организации работы с персональными данными в Управлении (Отделении), в т.ч. детализируется порядок получения, обработки и использования персональных данных федерального государственного гражданского служащего Российской Федерации (далее – гражданский служащий) – работника Управления (Отделения). Определены общие требования к обеспечению безопасности персональных данных.

В главе II установлены требования к организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах Управления (Отделения).

В главе III установлены требования к обеспечению безопасности персональных данных, обрабатываемых без использования средств автоматизации, в т.ч. определен порядок обращения с документами и материальными носителями информации (фото-, кино-, видео- и аудиопленки, машинные носители информации и др.) (далее - документами), содержащими персональные данные.

1.2. Целью настоящего Положения является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.3. В настоящем Положении используются следующие основные понятия:

- персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

- обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

- распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

- использование персональных данных – действия (операции) с персональными данными, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

- блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

- уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

- обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

- информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

- информационная система персональных данных Управления Федерального казначейства по Забайкальскому краю и его отделений – информационная система персональных данных, созданная Управлением (Отделением) и/или иными лицами по договору с Управлением (Отделением) технические средства которой полностью или частично размещены в Управлении (Отделении);

- неавтоматизированная обработка персональных данных, содержащихся в информационной системе, либо извлеченных из такой системы (без использования средств автоматизации), – обработка, при которой такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;

- конфиденциальность персональных данных – обязательное для соблюдения получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

- безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных, при их обработке в информационной системе персональных данных;

- общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

- технические средства обработки персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки информации (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах персональных данных;

- персональные данные гражданского служащего – сведения о фактах, событиях и обстоятельствах жизни гражданского служащего Российской Федерации, позволяющие идентифицировать его личность и содержащиеся в личном деле гражданского служащего, либо подлежащие включению в его личное дело;

- ответственное должностное лицо – работник Управления (Отделения), который приказом Управления (Отделения) допущен к обработке персональных данных.

1.4. Обработка персональных данных должна осуществляться на основе принципов:

- законности целей и способов обработки персональных данных;

- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Управления (Отделения);

- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

- недопустимости объединения созданных для несовместимых между собой целей баз данных.

1.5. Обработка персональных данных должна осуществляться только с согласия субъектов персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации [ст. 6, 1]. С этой целью субъекту персональных данных ответственное должностное лицо направляет письменный запрос (Приложения №№ 1, 2).

1.6. В целях информационного обеспечения допустимо создание общедоступных источников персональных данных (в том числе справочников, адресных книг). В общедоступные источники персональных данных, с письменного согласия субъекта персональных данных (Приложение № 3), могут включаться его фамилия, имя, отчество, год и место рождения, адрес, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.

1.7. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев обязательного представления субъектом персональных данных своих персональных данных, предусмотренных законодательством Российской Федерации [ст. 9, 1]. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на ответственных должностных лиц Управления (Отделения), принявших решение об осуществлении такой обработки.

1.8. В случаях, предусмотренных законодательством Российской Федерации, обработка персональных данных осуществляется только с согласия, данного субъектом персональных данных в письменной форме [ст. 9, 1] (Приложения №№ 3, 4, 5). Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- фамилию, инициалы, занимаемую должность ответственного должностного лица, получающего согласие субъекта персональных данных;

- цель обработки персональных данных;

- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Управлением (Отделением) способов обработки персональных данных;

- срок, в течение которого действует согласие, а также порядок его отзыва.

Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительного согласия не требуется.

1.9. При получении, обработке, хранении и передаче персональных данных государственного гражданского служащего Российской Федерации необходимо руководствоваться в т.ч. [3].

Персональные данные следует получать лично у гражданского служащего. В случае возникновения необходимости получения персональных данных гражданского служащего у третьей стороны, следует известить об этом гражданского служащего заранее, сообщив ему о целях, предполагаемых источниках и способах получения персональных данных (Приложение № 1) и получить письменное согласие гражданского служащего (Приложения №№ 4, 5).

Передача персональных данных гражданского служащего третьей стороне не допускается без письменного согласия гражданского служащего, за исключением случаев, предусмотренных законодательством Российской Федерации [1, 2].

1.10. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных законодательством Российской Федерации [ст.10, 1].

Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.

1.11. Управление (Отделение) создает в пределах своих полномочий информационные системы.

Особенности учета персональных данных в информационных системах Управления (Отделения) устанавливаются в соответствии с нормативными правовыми актами Российской Федерации в т.ч. [1 ÷ 19].

1.12. Субъект персональных данных имеет право на получение сведений о наличии в Управлении (Отделении) персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных законодательством Российской Федерации [ст. 14, 1]. Субъект персональных данных вправе требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных установленным образом ответственными должностными лицами, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя (Приложение № 6). Запросы учитываются ответственными должностными лицами в Журнале учета обработки персональных данных (Приложение № 7).

1.13. Гражданские служащие имеют право:

- получать полную информацию о своих персональных данных и их обработке (в том числе автоматизированной);

- осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные гражданского служащего, за исключением случаев, предусмотренных федеральным законом;

- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением федерального закона. Гражданский служащий при отказе ответственного должностного лица исключить или исправить персональные данные гражданского служащего имеет право заявить в письменной форме ответственному должностному лицу о своем несогласии, обосновав соответствующим образом такое несогласие. Заявление должно быть рассмотрено установленным образом в течение десяти рабочих дней. Персональные данные оценочного характера гражданский служащий имеет право дополнить заявлением, выражающим его собственную точку зрения;

- требовать от ответственного должностного лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные гражданского служащего, обо всех произведенных в них изменениях или исключениях из них.

1.14. Принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных осуществляется в соответствии с законодательством Российской Федерации [ст.16, 1].

1.15. При сборе персональных данных ответственные должностные лица обязаны предоставить субъекту персональных данных по его просьбе информацию, предусмотренную законодательством Российской Федерации [ст.18, 1].

Если обязанность предоставления персональных данных установлена федеральным законом, ответственное должностное лицо обязано разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.

Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены Управлению (Отделению) в соответствии с законодательством Российской Федерации [ст.18, 1], ответственное должностное лицо до начала обработки таких персональных данных обязано предоставить субъекту персональных данных следующую информацию:

- цель обработки персональных данных и ее правовое основание;

- предполагаемые пользователи персональных данных;

- установленные законодательством Российской Федерации права субъекта персональных данных.

1.16. За исключением случаев обработки персональных данных, определенных законодательством Российской Федерации [ст.22, 1], ответственные за обработку персональных данных должностные лица до начала обработки персональных данных в соответствии со [ст.22, 1] обязаны подготовить уведомление в уполномоченный орган по защите прав субъектов персональных данных о намерении Управления (Отделения) осуществлять обработку персональных данных.

1.17. Мероприятия по обеспечению безопасности персональных данных включают в себя:

- сбор сведений о наличии в Управлении (Отделении) информационных систем персональных данных и документов, содержащих персональные данные (Приложения №№ 8, 9);

- формирование списка документов, содержащих персональные данные, списка информационных систем персональных данных Управления (Отделения), списка ответственных должностных лиц, списка помещений в которых производится обработка персональных данных (Приложение № 10).

Указанные списки утверждаются приказом руководителя Управления (Отделения) Приказ доводится до ответственных должностных лиц начальниками структурных подразделений Управления (Отделения). Ответственные должностные лица расписываются в Журнале учета обработки персональных данных (Приложение № 7). Начальники структурных подразделений Управления (Отделения) назначают ответственного за Журнал учета обработки персональных данных из числа ответственных должностных лиц;

- учет ответственных должностных лиц, допущенных к работе с персональными данными. С этой целью в структурных подразделениях Управления (Отделения) ведется Журнал учета обработки персональных данных;

- в случае поручения Управлением (Отделением) на основании договора обработки персональных данных другому лицу (далее – уполномоченное лицо), отражение в договоре обязанности обеспечения указанным лицом конфиденциальности персональных данных;

- учет в структурных подразделениях Управления (Отделения) передачи персональных данных третьим лицам, в т.ч. уполномоченным лицам, ответственным представителям уполномоченных лиц, работникам Управления (Отделения) (Приложение № 7);

- информирование ответственными должностными лицами в письменном виде третьих лиц о факте обработки ими персональных данных, работников Управления (Отделения) в соответствии с Приложением № 7, иных лиц – в соответствии с Приложением № 11;

- мероприятия, изложенные в п. 2.9., 3.11 настоящего Положения.

1.18. Конфиденциальность персональных данных при их обработке без использования средств автоматизации обеспечивают ответственные должностные лица и/или уполномоченные лица.

1.19. Безопасность персональных данных при их обработке в информационных системах персональных данных Управления (Отделения) обеспечивают ответственные должностные лица и/или уполномоченные лица. В договоре с уполномоченным лицом необходимо предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в указанных информационных системах.

1.20. Повседневный контроль за соблюдением требований по защите персональных данных осуществляется начальниками структурных подразделений, в которых ведется обработка персональных данных.

Отдел режима секретности и безопасности информации Управления Федерального казначейства по Забайкальскому краю, Отдел информационных технологий Управления Федерального казначейства по Забайкальскому краю осуществляют методическую помощь в построении подсистем защиты персональных данных и общий контроль за соблюдением требований по защите персональных данных в информационных системах персональных данных Управления (Отделения).

Административный отдел Управления Федерального казначейства по Забайкальскому краю и Отдел режима секретности и безопасности информации Управления Федерального казначейства по Забайкальскому краю осуществляют общий контроль за соблюдением требований нормативных правовых документов по защите персональных данных при их обработке без использования средств автоматизации.

1.21. Лица, виновные в нарушении требований законодательства Российской Федерации в области защиты персональных данных, несут, гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность (Приложение № 12).
II. Организация и проведение работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Управления Федерального казначейства по Забайкальскому краю и Отделениях Управления Федерального казначейства по Забайкальскому краю

2.1. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

Безопасность персональных данных при их обработке в информационных системах персональных данных Управления (Отделения) обеспечивается в рамках единой системы защиты информации Автоматизированной системы Федерального казначейства [19], а также подсистем защиты персональных данных указанных информационных систем. Подсистемы защиты персональных данных включают организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных).

2.2. Возможные каналы утечки информации при обработке персональных данных, методы и способы защиты информации в информационных системах персональных данных определяются и разрабатываются с использованием руководящих документов Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности Российской Федерации, в т.ч.[11], [12], [13], [14], [16], [17].

2.3. Работы по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных являются составной частью работ по созданию информационных систем персональных данных.

В случае если Управление (Отделение) на основании договора поручает создание информационной системы персональных данных другому лицу, в договоре необходимо отражать обязанность обеспечения указанным лицом безопасности персональных данных.

2.4. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

Средства защиты информации, применяемые в информационных системах персональных данных, должны пройти в установленном порядке процедуру оценки соответствия (сертификацию).

2.5. Информационные системы персональных данных Управления (Отделения) классифицируются экспертной комиссией, назначаемой приказом Управления (Отделения) (здесь и далее – обязанности экспертной комиссии могут быть возложены на постоянно действующую техническую комиссию по защите информации с ограниченным доступом [9]) в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства в соответствии с [10].

2.6. Обмен персональными данными при их обработке в информационных системах персональных данных осуществляется по каналам связи, защита которых обеспечивается путем реализации достаточных организационных мер и/или путем применения технических средств.

Организационные меры и/или технические средства определяются и разрабатываются с использованием руководящих документов Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, а также [18].

2.7. Размещение информационных систем персональных данных, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

2.8. При обработке персональных данных в информационной системе персональных данных должно быть обеспечено:

- проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и/или передачи их лицам, не имеющим права доступа к такой информации;

- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

- возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- постоянный контроль уровня защищенности персональных данных.

2.9. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Управления (Отделения) включают в себя:

- мероприятия, изложенные в п. 1.6. настоящего Положения;

- классификацию информационных систем персональных данных (Приложение № 13);

- для каждой информационной системы персональных данных проводится:

- разработка плана графика работ по обеспечению безопасности персональных данных (Приложение № 14);

- определение угроз безопасности персональных данных при их обработке, определение перечня актуальных угроз, формирование на их основе модели угроз (Приложение № 15);

- формирование организационно-технических требований к подсистеме защиты персональных данных на основе перечня актуальных угроз и установленного класса информационной системы персональных данных. Разработка на основе сформированных организационно-технических требований к подсистеме защиты персональных данных и установленного класса информационной системы персональных данных мероприятий по техническому обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных (Приложение № 16);

- проверка возможности использования средств защиты информации в информационной системе персональных данных, в т.ч. наличие действующего сертификата соответствия, специального защитного знака, назначения средства защиты информации, указанному в паспорте и сертификате;

- установка и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

- описание подсистемы защиты персональных данных (Приложение № 17).

План график работ по обеспечению безопасности персональных данных, модель угроз безопасности персональных данных, перечень организационно-технических требований к подсистеме защиты персональных данных и мероприятий по техническому обеспечению безопасности персональных данных, описание подсистемы защиты персональных данных принимаются протоколами заседаний экспертной комиссии, назначаемой приказом Управления (Отделения) (Приложение № 18). Установка и ввод в эксплуатацию средств защиты информации оформляются актом ввода в эксплуатацию средств защиты информации;

- обучение работников Управления (Отделения), использующих средства защиты информации, применяемые в информационных системах персональных данных, правилам работы с ними. С этой целью Отдел режима секретности и безопасности информации, в отделении ответственный за обеспечение информационной безопасности ведет Журнал учета обучения работников Управления (Отделения) средствам защиты информации (Приложение № 19);

- учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных. С этой целью в ответственном за учет подразделении ведется Журнал учета средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных. Форма журнала определяется с использованием руководящих документов Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, а также [18];

- контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией. Разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые привели к нарушению конфиденциальности персональных данных, снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению последствий подобных нарушений. С этой целью Отдел режима секретности и безопасности информации ведет Журнал учета несоблюдения условий хранения носителей персональных данных, использования средств защиты информации (Приложение № 20);

- оценка соответствия информационных систем персональных данных Управления (Отделения) требованиям безопасности персональных данных в соответствии с [14].

2.10. Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Работоспособность электронного журнала обращений ежеквартально проверяется ответственными должностными лицами Отдела информационных технологий Управления, в отделении ответственным за обеспечение информационной безопасности.

2.11. При обнаружении нарушений порядка предоставления персональных данных, порядка работы технических средств обработки персональных данных ответственное должностное лицо незамедлительно приостанавливает предоставление персональных данных пользователям информационной системы, докладывает о нарушениях непосредственному начальнику. После выявления причин нарушений и устранения этих причин предоставление персональных данных возобновляется.

2.12. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров, определенных Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации в пределах их компетенции.

2.13. Порядок эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах устанавливаются с учетом нормативных правовых документов Федеральной службы безопасности Российской Федерации, в т.ч. [15].
III. Обеспечение безопасности персональных данных, обрабатываемых без использования средств автоматизации

3.1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители, документы), в специальных разделах или на полях форм (бланков).

3.2. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

3.3. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:

- типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, наименование и адрес Управления (Отделения), фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Управлением (Отделением) способов обработки персональных данных;

- типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, – при необходимости получения письменного согласия на обработку персональных данных;

- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

- типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

3.4. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится подразделение Управления (Отделения), или в иных аналогичных целях, должны соблюдаться следующие условия:

- необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена приказом Управления (Отделения), содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится подразделение Управления (Отделения), без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;

- копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;

- персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится подразделение Управления (Отделения).

3.5. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

- при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

- при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

3.6. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

3.7. Правила, предусмотренные пунктами 3.5 и 3.6 настоящего Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.

3.8. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

3.9. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей).

3.10. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

3.11. Мероприятия по обеспечению безопасности персональных данных при их обработке без использования средств автоматизации включают в себя:

- мероприятия, изложенные в п. 1.6. настоящего Положения;

- при хранении документов, содержащих персональные данные, должны соблюдаться условия, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним, а именно, такие документы должны храниться в опечатываемых сейфах, а при их отсутствии – в запирающихся на ключ индивидуальных шкафах;

- должна быть исключена возможность случайного или преднамеренного несанкционированного просмотра документов, содержащих персональные данные;

- на документах (в необходимых случаях и на их проектах), содержащих персональные данные, проставляется пометка "Для служебного пользования". В соответствии с [8] персональные данные являются сведениями конфиденциального характера, и их обращение производится в соответствии с [5], [19].
IV. Порядок внесения изменений в Положение

Все вносимые в Положение изменения утверждаются приказом Управления (Отделения).
V. Первоисточники

1. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

2. Федеральный закон от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации».

3. Указ Президента Российской Федерации от 30 мая 2005 г. № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела».

4. Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера».

5. Постановление Правительства Российской Федерации от 3 ноября 1994 г. № 1233 «Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти».

6. Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

7. Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

8. Приказ Федерального казначейства от 4 апреля 2005 г. № 62 «Об утверждении перечня сведений конфиденциального характера органов Федерального казначейства».

9. Приказ Федерального казначейства от 29 июля 2005 г. № 135 «Об образовании постоянно действующей технической комиссии по защите информации с ограниченным доступом».

10. Приказ от 13 февраля 2008 г. №55/86/20 Федеральной службы по техническому и экспертному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации «Об утверждении порядка проведения классификации информационных систем персональных данных».

11. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная заместителем директора ФСТЭК России 15 февраля 2008 г.

12. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная заместителем директора ФСТЭК России 14 февраля 2008 г.

13. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.

14. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.

15. Приказ Федеральной службы безопасности Российской Федерации от 09 февраля 2008 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» (Положение ПКЗ-2005).

16. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденные руководством 8 центра ФСБ России 21 февраля 2008 г. № 149/54-144.

17. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные руководством 8 центра ФСБ России 21 февраля 2008 г. № 149/6/6-622.

18. Приказ Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13 июня 2001 г. № 152 «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».

19. Приказ Министерства финансов Российской Федерации от 27 марта 2003 г. №4дсп «О введении в действие нормативных документов по вопросам безопасности информации».





Приложение № 1

к Положению по организации работы с персональными данными в Управлении Федерального казначейства по Забайкальскому краю и отделениях Управления Федерального казначейства по Забайкальскому краю


Пример получения разрешения на запрос персональных данных у третьего лица


Специалисту 1 разряда

отдела расходов
И.И. Иванову

О запросе персональных данных

Служебная записка
Настоящим уведомляю, что в представленных Вами документах отсутствует информация о полном наименовании занимаемой Вами должности в период работы с 01 июля 2001 г. по 20 августа 2006 г. в Министерстве финансов Забайкальского края.

Прошу Вашего письменного согласия на письменный запрос данных сведений в Министерство финансов Забайкальского края.

В случае Вашего отказа указанный период не будет включен в стаж государственной гражданской службы.



Начальник отдела кадров

П.П. Петров




«_____» __________ 2010 г.




Приложение № 2

к Положению по организации работы с персональными данными в Управлении Федерального казначейства по Забайкальскому краю и отделениях Управления Федерального казначейства по Забайкальскому краю


Пример получения разрешения на передачу персональных данных третьему лицу


Специалисту 1 разряда

отдела расходов
И.И. Иванову

О передаче персональных данных

Служебная записка
Настоящим уведомляю, что в адрес Руководителя Управления Федерального казначейства по Забайкальскому краю (Отделения) поступил запрос от Ректора Читинского государственного Университета с просьбой представить информацию о Вашем семейном положении.

Прошу Вашего письменного согласия на передачу указанных сведений Ректору Читинского государственного Университета.



Начальник отдела кадров

П.П. Петров




«_____» __________ 2010 г.




Приложение № 3

к Положению по организации работы с персональными данными в Управлении Федерального казначейства по Забайкальскому краю и отделениях Управления Федерального казначейства по Забайкальскому краю


Пример предоставления разрешения на размещение персональных данных в общедоступных источниках персональных данных
  1   2   3   4   5   6   7   8   9   10   11

Похожие:

Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю iconПорядок возврата плательщикам
В связи с многочисленными обращениями плательщиков по возврату средств со счета №40101 «Доходы, распределяемые органами Федерального...

Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю iconУправление федерального казначейства по камчатскому краю документация об электронном аукционе
«Приобретение сотовых телефонов для нужд Управления Федерального казначейства по Камчатскому краю»

Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю iconДоклад о результатах и основных направлениях деятельности управления...
№ Основные результаты деятельности уфмс россии по Забайкальскому краю в отчетном финансовом году

Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю iconУправления Федерального казначейства по Алтайскому краю и Отделений...
Управления Федерального казначейства по Алтайскому краю и Отделений по городам и районам

Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю iconТиповой договор на оказание услуг по централизованной охране подразделениями...
Уво при умвд россии по Забайкальскому краю и филиала фгуп «Охрана» мвд россии по Забайкальскому краю

Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю iconПеречень документов, предоставляемых в Управление Федерального казначейства...
Формы документов размещены в разделе «Иная деятельность/Государственная служба в уфк/Образцы документов»

Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю iconТиповой договор на централизованную охрану подразделениями полиции...
Уво при умвд россии по Забайкальскому краю и филиала фгуп «Охрана» мвд россии по Забайкальскому краю

Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю iconПриказ от 3 декабря 2013 г. N 277 о порядке организации и ведения...
Федерального казначейства, территориальных органов Федерального казначейства (далее тофк), а также Федерального казенного учреждения...

Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю iconПриказ от 3 декабря 2013 г. N 277 о порядке организации и ведения...
Федерального казначейства, территориальных органов Федерального казначейства (далее тофк), а также Федерального казенного учреждения...

Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю iconПриказ от 3 декабря 2013 г. N 277 о порядке организации и ведения...
Федерального казначейства, территориальных органов Федерального казначейства (далее тофк), а также Федерального казенного учреждения...

Вы можете разместить ссылку на наш сайт:


Все бланки и формы на filling-form.ru




При копировании материала укажите ссылку © 2019
контакты
filling-form.ru

Поиск