Информационные системы

Политика в отношении обработки персональных данных.



1. Назначение
1.1. Настоящая Политика содержит сведения о реализуемых требованиях к защите персональных данных.
1.2. Настоящая Политика должна быть опубликована или иным образом должен быть обеспечен неограниченный доступ к ней. 
1.3. При сборе персональных данных с использованием информационно-телекоммуникационных сетей настоящая Политика должна быть опубликована в соответствующей информационно-телекоммуникационной сети, а также должна быть обеспечена возможность доступа к настоящей Политике с использованием средств соответствующей информационно-телекоммуникационной сети.

2. Определения
2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.2. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.3. Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
2.4. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.5. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.6. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

3. Перечень условных обозначений и сокращений
ИС  информационные системы 
ПДн  персональные данные
СЗИ  средство защиты информации
СЗПДн  система защиты персональных данных, обрабатываемых в информационных системах персональных данных

4. Построение защиты персональных данных
4.1. Обработка персональных данных (далее ПДн), обрабатываемых в Администрации городского округа Сухой Лог (далее Администрация городского округа), должна осуществляться в соответствии с требованиями Федерального закона от 27 июля 2006г. №152-ФЗ «О персональных данных».
4.2. Защита ПДн, обрабатываемых без использования средств автоматизации, должна строиться на основании требований Постановления Правительства РФ от 15 сентября 2008г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
4.3. Система защиты ПДн, обрабатываемых в информационных системах персональных данных Администрации городского округа (далее СЗПДн), должна строиться на основании требований нормативных правовых актов, принятых в соответствии с Федеральным законом от 27 июля 2006г. №152-ФЗ «О персональных данных», а также:
 Актов определения уровня защищенности ПДн при их обработке в информационных системах персональных данных Администрации городского округа (далее ИСПДн);
 Моделей угроз безопасности ПДн при их обработке в ИСПДн.
4.4. Определение уровня защищенности ПДн при их обработке в ИСПДн должно осуществляться в соответствии с порядком, установленным Постановлением Правительства РФ от 1 ноября 2012г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
4.5. СЗПДн должна включать в себя следующие подсистемы:
  •  Подсистема идентификации и аутентификации субъектов доступа и объектов доступа;
  •  Подсистема управления доступом субъектов доступа к объектам доступа;
  •  Подсистема регистрации событий безопасности;
  •  Подсистема антивирусной защиты;
  •  Подсистема контроля (анализа) защищенности ПДн;
  •  Подсистема защиты технических средств;
  •  Подсистема защиты ИСПДн, ее средств, систем связи и передачи данных.
4.6. Состав требований, реализуемых каждой из подсистем СЗПДн, зависит от:
 Уровня защищенности ПДн при их обработке в ИСПДн;
 Структурно-функциональных характеристик и особенностей функционирования ИСПДн;
 Состава актуальных угроз безопасности ПДн при их обработке в ИСПДн.

5. Персонал
5.1. Выделяются следующие группы лиц, участвующих в обработке и защите ПДн:
  •  ответственный за организацию обработки ПДн;
  •  администратор информационной безопасности ИС;
  •  администратор ИС;
  •  пользователи ИС.

6. Ответственный за организацию обработки ПДн
6.1. Ответственный за организацию обработки ПДн – сотрудник Администрации городского округа, ответственный за:
  •  подготовку локальных актов Администрации городского округа по вопросам обработки и защиты ПДн;
  •  осуществление внутреннего контроля за соблюдением Администрацией городского округа и ее служащими законодательства Российской Федерации о персональных данных, в том числе требований к защите ПДн, локальных актов по вопросам обработки и защиты ПДн;
  •  проведение инструктажа сотрудников Администрации городского округа Сухой Лог в целях доведения до сотрудников положений законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки и защиты ПДн;
  •  организацию приема и обработку обращений и запросов субъектов персональных данных или их представителей, осуществление контроля за приемом и обработкой таких обращений и запросов.
6.2. Ответственный за организацию обработки ПДн несет ответственность за некачественное, неполное, несвоевременное исполнение или неисполнение своих обязанностей, предусмотренных «Инструкцией ответственного за организацию обработки ПДн» или соответствующим договором со специализированной организацией.

7. Администратор информационной безопасности ИС
7.1. Администратор информационной безопасности ИС – сотрудник Администрации городского округа, ответственный за установку, настройку и сопровождение СЗИ.
7.2. Администратор информационной безопасности ИС несет ответственность за некачественное, неполное, несвоевременное исполнение или неисполнение своих обязанностей, предусмотренных «Инструкцией администратора информационной безопасности ИС».

8. Администратор ИС
8.1. Администратор ИС – сотрудник Администрации городского округа, ответственный за установку, настройку и сопровождение программных, программно-аппаратных, аппаратных средств ИС.
8.2. Администратор ИС несет ответственность за некачественное, неполное, несвоевременное исполнение или неисполнение своих обязанностей, предусмотренных «Инструкцией администратора ИС».

9. Пользователь ИС
9.1. Пользователь ИС – сотрудник Администрации городского округа, осуществляющий обработку информации ограниченного доступа, в т.ч. ПДн в ИС.
9.2. Пользователь ИС несет ответственность за некачественное, неполное, несвоевременное исполнение или неисполнение своих обязанностей, предусмотренных «Инструкцией пользователя ИС».

Дата изменения: 08.06.2017 10:11

Администрация