Приложение к Распоряжению от 01.09.2017 г № 175-РА Положение

Положение о работе с персональными данными граждан в администрации города Нижний тагил


Статья 1.Общие положения
1.Настоящее Положение об организации и проведении работ по обеспечению безопасности персональных данных граждан при их обработке в информационных системах персональных данных Администрации города Нижний Тагил (далее - Положение) разработано в соответствии с частью 1 статьи 23, статьи 24 Конституции Российской Федерации, Федеральным законом Российской Федерации от 27 июля 2006 года N 152-ФЗ "О персональных данных" и определяет порядок организации работ по обеспечению безопасности персональных данных (далее - ПДн) при их обработке в информационных системах персональных данных (далее - ИСПДн) в Администрации города Нижний Тагил (далее - Администрация города).
2.Перечень работников, допущенных к работе с персональными данными в ИСПДн, определяется распоряжением Администрации города.
3.Ответственность за обеспечение безопасности персональных данных и надлежащего режима работы ИСПДн возлагается на штатного работника Администрации распоряжением Администрации города.
4.Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
Статья 2.Область применения и цель положения
1.Положение распространяется на физических лиц (субъект персональных данных), обратившихся в Администрацию города Нижний Тагил с заявлением (обращением, жалобой) с целью обеспечения жильем, получением муниципальных услуг; участия в федеральных и муниципальных целевых программах и подпрограммах, а также по иным вопросам.
2.Область применения положения:
1) помещения обработки и хранения персональных данных, принадлежащие Администрации города;
2) аппаратные и программные средства, обеспечивающие обработку и хранение персональных данных;
3) хранилища носителей информации, содержащей персональные данные.
3.Цель данного Положения:
1) определение основных принципов построения системы защиты персональных данных Администрации города;
2) определение основных мер защиты и областей ее внедрения для обеспечения выполнения Федерального законодательства, требования и рекомендаций национальных и международных стандартов в области информационной безопасности персональных данных.
Статья 3.Основные понятия и определения
"Оператор" - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
"Обработка персональных данных" - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
"Распространение персональных данных" - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
"Блокирование персональных данных" - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
"Уничтожение персональных данных" - данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
"Обезличивание персональных данных" - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
"Информационная система персональных данных" - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
"Инцидент информационной безопасности" - событие, в результате наступления которого произошло разглашение конфиденциальной информации, нарушение работоспособности ИСПДн, внесение несанкционированных изменений, утечка или разглашение персональных данных клиентов и прочих событий, ведущих к нарушению прав и свобод граждан Российской Федерации.
"Конфиденциальность персональных данных" - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
Статья 4.Понятие и состав персональных данных
1.В соответствии с пунктом 1 статьи 3 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" под персональными данными субъекта (далее - Персональные данные) понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.Персональными данными являются:
- фамилия, имя и отчество;
- дата рождения;
- адрес прописки (регистрации);
- паспортные данные (номер, серия, дата выдачи, кем выдан);
- контактная информация (сотовый телефон, e-mail);
- должность;
- размер заработной платы;
- номер страхового свидетельства пенсионного страхования;
- индивидуальный идентификационный номер налогоплательщика;
- данные свидетельства о браке;
- данные свидетельства о рождении детей;
- сведения пенсионного удостоверения;
- сведения документа, подтверждающего инвалидность;
- сведения документов, подтверждающих право ветерана, инвалида на получение мер социальной поддержки в соответствии с федеральным законодательством;
- сведения документов, являющихся основанием для признания нуждающимся в жилых помещениях.
Статья 5.Методы и способы защиты персональных данных
1.Методы и способы защиты персональных данных определяются в соответствии с Постановлением Правительства от 1 ноября 2012 года N 1119, Приказом Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК) России от 18 февраля 2013 года N 21, Приказом Федеральной службы безопасности (далее - ФСБ) России от 10 июля 2014 года N 378.
2.Системы защиты персональных данных должны соответствовать требованиям нормативных и руководящих документов ФСТЭК России, ФСБ России.
3.Под защитой персональных данных субъекта понимается комплекс мер (организационно-распорядительных, технических, юридических), направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных субъектов, а также от иных неправомерных действий.
4.Защита персональных данных субъекта осуществляется за счет бюджетных средств в порядке, установленном федеральным законом.
5.Администрация города при защите персональных данных субъектов принимает все необходимые организационно-распорядительные, юридические и технические меры, в том числе:
- шифровальные (криптографические) средства;
- антивирусная защита;
- анализ защищенности;
- обнаружение и предотвращение вторжений;
- управление доступом;
- регистрация и учет;
- обеспечение целостности;
- разработка нормативно-методических локальных актов, регулирующих защиту персональных данных.
Статья 6.Цели обеспечения безопасности
Целью обеспечения безопасности являются:
- организация непрерывного и защищенного процесса обработки, хранения, передачи информации, содержащей персональные данные;
- защита прав и свобод граждан Российской Федерации, предоставляющих Администрации города свои персональные данные для обработки и хранения.
Статья 7.Принципы обеспечения безопасности
1.Информационная безопасность персональных данных:
- основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документов;
- обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер (программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики информационной системы);
- должна обеспечиваться на всех этапах обработки информации и во всех режимах функционирования;
- должна предусматривать контроль эффективности средств защиты.
2.Информационная безопасность персональных данных должна основываться на следующих принципах:
1) принцип системности - системный подход к защите компьютерных систем предполагает необходимость взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов при всех видах информационной деятельности и информационного проявления. При обеспечении информационной безопасности информационных систем необходимо учитывать все слабые и наиболее уязвимые места системы, а также характер, возможные объекты и направления атак на систему со стороны нарушителя, пути проникновения распределенной системы и НСД к информации;
2) принцип комплексности - для обеспечения защиты имеется широкий спектр мер, методов и средств защиты компьютерных систем. Комплексное их использование предполагает согласование разнородных средств при построении целостной системы защиты, перекрывающие все существующие каналы угроз и не содержащие слабых мест на стыках отдельных ее компонентов;
3) принцип непрерывности защиты - защита информации - это не разовое мероприятие и не конкретная совокупность проведенных мероприятий и установленных средств защиты, а непрерывный направленный процесс предполагающий принятие соответствующих мер на всех этапах существования информационной системы. Разработка системы защиты должна вестись параллельно обработке самой защищаемой системы;
4) разумная достаточность - важно правильно выбрать тот уровень защиты при котором затраты, риск и размер возможного ущерба были бы приемлемы и не создавали неудобств пользователю;
5) гибкость системы защиты - часто приходится создавать систему защиты в условиях большой неопределенности, поэтому принятые меры и средства защиты особенно в начальный период их эксплуатации могут оказывать как чрезмерный, так и недостаточный уровень защиты. Для обеспечения уровня варьирования защищенности средство защиты должно обладать определенной гибкостью, особенно если средство необходимо установить на работающую систему не нарушая процесса ее нормального функционирования;
6) принцип простоты применения средств защиты - механизмы защиты должны быть интуитивно понятны и просты в применении. Применение средств защиты не должно быть связано со знанием каких-либо языков или требовать дополнительных затрат на ее применение, а также не должно требовать выполнения рутинных малопонятных операций.
Статья 8.Организация безопасности. Ответственность
1.За вопросы безопасности в Администрации города несут ответственность:
1) Глава города;
2) лица, назначенные Главой города из состава работников, ответственные за организацию работ по защите персональных данных;
3) лица, назначенные Главой города из состава сотрудников, и допущенные к средствам обработки информации и хранилищам, содержащим персональные данные;
4) непосредственно Субъект персональных данных отвечает за корректность своих данных, за соблюдение установленного порядка и мер по обеспечению безопасности ПДн и самолично отвечает за разглашение информации конфиденциального характера, ставшей известной ему.
2.Каждый из обозначенных людей (кроме Субъекта) несет ответственность за неразглашение и корректность обработки ПДн в соответствии с Административным и Уголовным кодексами Российской Федерации.
Статья 9.Организация безопасности. Направления политики обеспечения безопасности
Основными направлениями политики информационной безопасности являются:
- соблюдение прав и свобод граждан Российской Федерации;
- соблюдение юридических норм Российской Федерации;
- обеспечение безопасности (конфиденциальности) данных;
- обеспечение непрерывного и корректного процесса обработки персональных данных, сохранение их целостности, корректности и доступности.
Статья 10.Организация безопасности. Регистрация инцидентов безопасности
Любые инциденты безопасности, в которые входят:
- факты попыток и успешной реализации несанкционированного доступа в системы обработки информации, в помещения обработки информации и к хранилищам информации;
- факты сбоя или некорректной работы систем обработки информации;
- факты сбоя или некорректной работы средств защиты информации;
- факты разглашения информации, содержащей ПДн;
- факты разглашения информации о методах и способах защиты и обработки информации, содержащей ПДн - должны сообщаться сотрудниками Администрации ответственному за обеспечение безопасности. По каждому сообщению ответственный должен регистрировать инцидент, который в дальнейшем должен проходить процедуру расследования комиссией, назначенной Главой города в соответствии с утвержденным порядком проведения служебного расследования нарушений режима информационной безопасности ИСПДн.
Статья 11.Организация безопасности. Безопасность средств обработки
1.Безопасность средств обработки обеспечивается организационными и техническими средствами. Организационно осуществляется допуск сотрудников и третьих лиц (если того требует бизнес-процесс), при этом минимизируется круг лиц, имеющих доступ. Права доступа к информации назначаются исходя из их необходимости и достаточности.
2.Технически безопасность обеспечивается корректной настройкой средств обработки информации и установкой наложенных средств защиты информации. Все средства защиты информации должны пройти обязательную процедуру оценки соответствия требованиям безопасности ФСТЭК России и ФСБ России.
Статья 12.Организация безопасности. Безопасность связи
Каналы передачи данных должны обеспечивать безопасное соединение узлов сети Администрации города. Безопасность может обеспечиваться следующими мерами:
- сегментация сети на зоны обработки ПДн и демилитаризированные зоны посредством физического разделения или с помощью VLAN технологий;
- максимальное ограничение доступа и набора протоколов и портов зоны обработки ПДн к сетям общего пользования и сетям международного обмена посредством средств межсетевого экранирования;
- обеспечение сетей обработки ПДн, имеющих подключение к сетям общего пользования и сетям международного обмена, средствами обнаружения и предотвращения вторжений;
- систематический контроль состояния системы защиты средствами активного аудита;
- при прохождении каналов связи вне контролируемой зоны необходимо обеспечивать шифрование передаваемой информации на таких участках.
Статья 13.Организация безопасности. Физическая безопасность
Физическая безопасность может обеспечиваться следующими средствами, исходя из достаточности и необходимости того или иного средства:
- организация разрешительной системы доступа в помещения хранения и обработки ПДн;
- использование систем контроля и управления доступом (СКУД);
- учет ключей, электронных ключей доступа (proximity card, touch memory);
- организация физической охраны;
- использование систем охранной сигнализации;
- использование систем видеонаблюдения;
- конструктивное усиление окон, дверей, стен и иных преград для исключение угрозы несанкционированного доступа.
Статья 14.Квалификация персонала
Работники, участвующие в обработке ПДн, должны иметь соответствующее образование и квалификацию, позволяющие им корректно работать со средствами обработки информации. Не разрешается допуск лиц, не прошедших собеседование с руководителем органа на предмет проверки знаний по работе с средствами обработки, осуществляющего обработку ПДн.
Статья 15.Безопасность документов и носителей информации
1.Обработка осуществляется в строгом соответствии с Положением об организации неавтоматизированной обработки персональных данных, обрабатываемых в Администрации города Нижний Тагил.
2.Материальные носители информации должны храниться в сейфах или запираемых шкафах.
3.Все электронные носители информации должны быть промаркированы (возможно использование заводской маркировки) и перечислены в журнале учета. Выдача и сдача электронных носителей осуществляется под роспись пользователя носителя.