Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
Приказ Управления информатизации Пензенской области от 6 апреля 2011 г. N 21-о/д "Об утверждении нормативных актов, регламентирующих обработку персональных данных в Управлении информатизации Пензенской области" (утратил силу)
Приказ Управления информатизации Пензенской области от 6 апреля 2011 г. N 21-о/д
"Об утверждении нормативных актов, регламентирующих обработку персональных данных в Управлении информатизации Пензенской области"
ГАРАНТ:
Приказом Министерства промышленности, развития предпринимательства, инновационной политики и информатизации Пензенской области от 20 января 2016 г. N 2 настоящий приказ признан утратившим силу
Текст настоящего документа приводится в соответствии с текстом приказа, опубликованным в газете "Пензенские губернские ведомости" N 70 от 31 августа 2011 г.
В целях соблюдения требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и в соответствии с Положением об обработке персональных данных Управления информатизации Пензенской области приказываю:
1. Утвердить и ввести в действие прилагаемые
- "Положение об обработке персональных данных в Управлении информатизации Пензенской области".
- Типовую форму "Акта об уничтожении персональных данных";
- Типовую форму "Журнала учета электронных носителей персональных данных";
- Типовую форму "Журнала регистрации и учета обращений субъектов персональных данных";
- "Инструкция Администратора безопасности ИСПДн Управления информатизации Пензенской области";
- "Инструкция по проведению антивирусного контроля для объектов ПЭВМ Управления Информатизации Пензенской области";
- "Инструкция по работе пользователей ИСПДн Управления информатизации Пензенской области";
- "Список помещений управления информатизации Пензенской области, располагающихся по адресу: г. Пенза, ул. Московская, 75, в которых разрешена обработка сведений, содержащих персональные данные";
- "Перечень автоматизированных и информационных систем, в которых производится обработка конфиденциальной информации и персональных данных Управления информатизации Пензенской области".
2. Опубликовать настоящий приказ в газете "Пензенские губернские ведомости".
3. Контроль за выполнением настоящего приказа оставляю за собой.
|
Начальник Управления |
А.В. Антонов |
Утверждено
приказом
Управления информатизации
Пензенской области
от 6 апреля 2011 г. N 21-о/д
Положение об обработке персональных данных в Управлении информатизации Пензенской области
1. Общие положения
1.1. Настоящее Положение по обработке персональных данных (далее - Положение) Управления информатизации Пензенской области (далее - Управление) разработано в соответствии с:
- Федеральным законом Российской Федерации от 27 июля 2006 года N 152-ФЗ "О персональных данных";
- Трудовым кодексом Российской Федерации (от 30.12.2001 N 197-ФЗ);
- Федеральным законом Российской Федерации от 20 февраля 1995 года N 24-ФЗ "Об информации, информатизации и защите информации";
- Федеральным законом Российской Федерации от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
- Гражданским кодексом Российской Федерации;
- Указом Президента РФ от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела".
1.2. Цель разработки Положения - определение порядка обработки персональных данных работников и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании своих полномочий; обеспечение защиты прав и свобод человека и гражданина, в т.ч. работника, при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3. Порядок ввода в действие и изменения Положения.
1.3.1. Настоящее Положение вступает в силу с момента его утверждения начальником Управления.
1.3.2. Все изменения в Положение вносятся приказом.
1.4. Все работники Управления, участвующие в обработке персональных данных, должны быть ознакомлены с настоящим Положением под роспись.
1.5. Режим конфиденциальности персональных данных снимается в случае прекращения деятельности организации, а также в случае их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии учреждения, если иное не определено законом.
2. Основные определения
2.1. Для целей настоящего Положения используются следующие основные понятия:
Персональные данные субъекта - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, социальная и другая информация;
Под персональными данными работника Управления понимаются сведения о фактах, событиях и обстоятельствах жизни сотрудника, позволяющие идентифицировать его личность и содержащиеся в личном деле сотрудника либо подлежащие включению в его личное дело.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
Обработка персональных данных - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных субъектов;
Конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным субъектов, требование не допускать их распространения без согласия субъекта или иного законного основания;
Распространение персональных данных - действия, направленные на передачу персональных данных субъектов определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных субъектов в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным лиц каким-либо иным способом;
Использование персональных данных - действия (операции) с персональными данными, совершаемые должностным лицом в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных субъектов, в том числе их передачи;
Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных физических лиц или в результате которых уничтожаются материальные носители персональных данных субъектов;
Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту;
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с Федеральными законами не распространяется требование соблюдения конфиденциальности;
Информация - сведения (сообщения, данные) независимо от формы их представления;
Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
3. Состав персональных данных
3.1. В состав персональных данных входят:
- персональные данные работников Управления.
3.2 Персональные данные работников:
3.2.1. В состав персональных данных работников входят сведения: фамилия, имя, отчество, пол, дата рождения, адрес проживания, паспортные данные, реквизиты полиса ОМС, ИНН, фотография, СНИЛС, данные трудовой книжки, данные документов воинского учета, данные об образовании, сведения о доходах, сведения о трудовой деятельности субъекта, сведения о близких родственниках.
3.2.2. Комплекс документов, сопровождающий процесс оформления трудовых отношений работника в Управление, при его приеме, переводе, увольнении.
3.2.2.1. Информация, представляемая работником или претендентом на замещение вакантной должности при поступлении на работу в Управление или при прохождении конкурсных мероприятий, должна иметь документальную форму. При заключении трудового договора в соответствии со статьей 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
- паспорт или иной документ, удостоверяющий личность;
- трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
- страховое свидетельство государственного пенсионного страхования;
- документы воинского учета - для военнообязанных и лиц, подлежащих воинскому учету;
- документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
- свидетельство о присвоении ИНН (при его наличии у работника или кандидата);
- согласие на обработку персональных данных.
3.2.2.2. В личное дело работника заносятся следующие анкетные и биографические сведения:
а) письменное заявление с просьбой о поступлении на гражданскую службу и замещении должности государственной гражданской службы Российской Федерации (далее - должность гражданской службы);
б) собственноручно заполненная и подписанная гражданином Российской Федерации анкета установленной формы с приложением фотографии;
в) документы о прохождении конкурса на замещение вакантной должности гражданской службы (если гражданин назначен на должность по результатам конкурса);
г) копия паспорта и копии свидетельств о государственной регистрации актов гражданского состояния;
д) копия трудовой книжки или документа, подтверждающего прохождение военной или иной службы;
е) копии документов о профессиональном образовании, профессиональной переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания (если таковые имеются);
ж) копии решений о награждении государственными наградами, присвоении почетных, воинских и специальных званий, присуждении государственных премий (если таковые имеются);
з) копия акта государственного органа о назначении на должность гражданской службы;
и) экземпляр служебного контракта, а также экземпляры письменных дополнительных соглашений, которыми оформляются изменения и дополнения, внесенные в служебный контракт;
к) копии актов государственного органа о переводе работника на иную должность гражданской службы, о временном замещении им иной должности гражданской службы;
л) копии документов воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);
м) копия акта государственного органа об освобождении работника от замещаемой должности гражданской службы, о прекращении служебного контракта или его приостановлении;
н) аттестационный лист работника, прошедшего аттестацию, и отзыв об исполнении им должностных обязанностей за аттестационный период;
о) экзаменационный лист работника и отзыв об уровне его знаний, навыков и умений (профессиональном уровне) и о возможности присвоения ему классного чина государственной гражданской службы Российской Федерации;
п) копии документов о присвоении гражданскому служащему классного чина государственной гражданской службы Российской Федерации (иного классного чина, квалификационного разряда, дипломатического ранга);
р) копии документов о включении работника в кадровый резерв, а также об исключении его из кадрового резерва;
с) копии решений о поощрении работника, а также о наложении на него дисциплинарного взыскания до его снятия или отмены;
т) копии документов о начале служебной проверки, ее результатах, об отстранении работника от замещаемой должности гражданской службы;
у) документы, связанные с оформлением допуска к сведениям, составляющим государственную или иную охраняемую законом тайну, если исполнение обязанностей по замещаемой должности гражданской службы связано с использованием таких сведений;
ф) сведения о доходах, имуществе и обязательствах имущественного характера работника;
х) копия страхового свидетельства обязательного пенсионного страхования;
ц) копия свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации;
ч) копия страхового медицинского полиса обязательного медицинского страхования граждан;
ш) медицинское заключение установленной формы об отсутствии у гражданина заболевания, препятствующего поступлению на гражданскую службу или ее прохождению;
щ) справка о результатах проверки достоверности и полноты представленных гражданским служащим сведений о доходах, имуществе и обязательствах имущественного характера, а также сведений о соблюдении гражданским служащим ограничений, установленных федеральными законами;
ы) согласие на обработку персональных данных работника.
3.2.2.3 В личное дело работника вносятся также письменные объяснения работника, если такие объяснения даны им после ознакомления с документами своего личного дела.
К личному делу работника приобщаются иные документы, предусмотренные федеральными законами и иными нормативными правовыми актами Российской Федерации.
3.2.2.4. В отделе кадров Управления создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:
- документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Управления, руководителям структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы Управления и другие учреждения);
- документация по организации работы структурных подразделений (положения о структурных подразделениях, должностные инструкции работников, приказы, распоряжения, указания руководства Управления); документы по планированию, учету, анализу и отчетности в части работы с персоналом Управления.
3.2.2.5. В бухгалтерии Управления создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:
- налоговые карты работников;
- СЗВ-К;
- реестр заработной платы.
4. Обработка персональных данных
4.1. Обработка персональных данных работников:
4.1.1. Обработка персональных данных работника осуществляется для обеспечения соблюдения законов и иных нормативных правовых актов, предусмотренными законодательством РФ и внутренними документами Управления. Цели обработки - обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействие гражданскому служащему в прохождении государственной гражданской службы Российской Федерации (далее - гражданская служба), в обучении и должностном росте, обеспечение личной безопасности работника и членов его семьи, а также обеспечение сохранности принадлежащего ему имущества и имущества государственного органа, учета результатов исполнения им должностных обязанностей.
4.1.2. Принципы обработки персональных данных сотрудника Управления:
а) персональные данные следует получать лично у сотрудника Управления. В случае возникновения необходимости получения персональных данных работника у третьей стороны следует известить об этом сотрудника заранее, получить его письменное согласие и сообщить сотруднику о целях, предполагаемых источниках и способах получения персональных данных;
б) запрещается получать, обрабатывать и приобщать к личному делу работника не установленные федеральными законами персональные данные о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;
в) при принятии решений, затрагивающих интересы сотрудника, запрещается основываться на персональных данных сотрудника, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;
4.1.3. Получение персональных данных работников:
4.1.3.1. Работник обязан предоставлять Управлению достоверные сведения о себе и своевременно сообщать ему об изменении своих персональных данных. Специалист по персоналу проверяет достоверность сведений, предоставленных работником, сверяя данные, предоставленные работником, с имеющимися документами.
4.1.3.2. В случаях, когда Управление может получить необходимые персональные данные работника только у третьей стороны, Управление уведомляет об этом субъекта. Управление обязано сообщить субъекту о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение.
4.1.4. Хранение персональных данных работников:
4.1.4.1 Персональные данные работников хранятся в отделе кадров Управления. Личные дела работников хранятся в бумажном и электронном виде.
4.1.4.2. Документы, приобщенные к личному делу работника, брошюруются, страницы нумеруются, к личному делу прилагается опись.
Учетные данные сотрудников в соответствии с порядком, установленным Президентом Российской Федерации, хранятся кадровой службой Управления на электронных носителях. Кадровая служба обеспечивает их защиту от несанкционированного доступа и копирования.
4.1.4.3. Работник Управления, имеющий доступ к персональным данным работников в связи с исполнением трудовых обязанностей:
- обеспечивает хранение информации, содержащей персональные данные работника, исключающее доступ к ним третьих лиц;
- при уходе в отпуск, служебной командировке и иных случаях длительного отсутствия на своем рабочем месте сотрудник обязан передать документы и иные носители, содержащие персональные данные работников, лицу, на которое локальным актом Управления (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.
При увольнении сотрудника, имеющего доступ к персональным данным работников, документы и иные носители, содержащие персональные данные работников, передаются другому работнику, имеющему доступ к персональным данным работников, по указанию руководителя структурного подразделения.
4.1.5. Использование (доступ, комбинирование и т.д.) персональных данных работников:
4.1.5.1. Доступ к персональным данным работников имеют сотрудники Управления, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей. Перечень сотрудников, имеющих доступ к персональным данным работников, утверждается приказом начальника Управления.
В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией начальника Управления доступ к персональным данным работников может быть предоставлен иному работнику, который не включен в приказ о назначении ответственных работников для доступа к персональным данным работника и которым они необходимы в связи с исполнением трудовых обязанностей.
4.1.5.2. В случае если Управлению оказывают услуги юридические и физические лица на основании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к персональным данным работников, то соответствующие данные предоставляются только после подписания с ними соглашения о неразглашении конфиденциальной информации.
В исключительных случаях, исходя из договорных отношений с контрагентом, допускается наличие в договорах пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных работника.
4.1.5.3. Процедура оформления доступа к персональным данным работника включает в себя:
- ознакомление работника под роспись с настоящим Положением;
- получение с работника письменного обязательства о соблюдении конфиденциальности персональных данных субъекта и соблюдении правил их обработки.
4.1.5.4. Работники Управления, имеющие доступ к персональным данным работников, имеют право получать только те персональные данные работников, которые необходимы им для выполнения конкретных трудовых функций.
4.1.5.5. Список лиц, ответственных за обработку персональных данных, либо имеющих доступ к персональным данным работников, утверждается приказом начальника Управления.
4.1.5.6. Допуск к персональным данным работников других сотрудников Управления, не имеющих надлежащим образом оформленного доступа, запрещается.
4.1.5.7. Передача (обмен и т.д.) персональных данных работников между подразделениями Управления осуществляется только между работниками, имеющими доступ к персональным данным работников.
4.1.6. Доступ к персональным данным субъекта третьих лиц (физических и юридических):
4.1.6.1. Передача персональных данных работника третьей стороне не допускается без письменного согласия работника, за исключением случаев, установленных федеральным законом. Передача персональных данных работников третьим лицам осуществляется только с письменного согласия работника, в котором указывается перечень третьих лиц, которым осуществляется передача персональных данных работника Управления.
4.1.6.2. Не допускается передача персональных данных работников в коммерческих целях без его письменного согласия.
4.1.6.3. Работники Управления, передающие персональные данные работников третьим лицам, должны передавать их с обязательным составлением акта приема-передачи документов (иных материальных носителей), содержащих персональные данные субъектов. Акт должен содержать следующие условия:
- уведомление лица, получающего данные документы об обязанности использования полученной конфиденциальной информации лишь в целях, для которых она сообщена;
- предупреждение об ответственности за незаконное использование данной конфиденциальной информации в соответствии с Федеральными законами.
Передача документов (иных материальных носителей), содержащих персональные данные работников, осуществляется при наличии у лица, уполномоченного на их получение:
- договора на оказание услуг Управлению;
- соглашения о неразглашении конфиденциальной информации либо наличие в договоре с третьим лицом пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных работника;
- письма-запроса от третьего лица, которое должно включать в себя указание на основания получения доступа к запрашиваемой информации, содержащей персональные данные работника, ее перечень, цель использования, Ф.И.О. и должность лица, которому поручается получить данную информацию.
Ответственность за соблюдение вышеуказанного порядка предоставления персональных данных работника несет сотрудник Управления, а также руководитель структурного подразделения, осуществляющего передачу персональных данных работника третьим лицам.
4.1.6.4. Представителю работника (в том числе адвокату) персональные данные передаются в порядке, установленном действующим законодательством и настоящим Положением.
Информация передается при наличии одного из документов:
- нотариально удостоверенной доверенности представителя работника;
- письменного заявления работника, написанного в присутствии сотрудника, выполняющего обязанности работника отдела кадров Управления (если заявление написано работником не в присутствии сотрудника отдела кадров, то оно должно быть нотариально заверено).
4.1.6.5. Предоставление персональных данных работника государственным органам производится в соответствии с требованиями действующего законодательства и настоящим Положением.
4.1.6.6. Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника, за исключением случаев, когда передача персональных данных работника без его согласия допускается действующим законодательством РФ.
4.1.6.7. Документы, содержащие персональные данные работника, могут быть отправлены через организацию Федеральной почтовой связи. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие персональные данные, вкладываются в конверт, к нему прилагается сопроводительное письмо. На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией, и за незаконное ее разглашение законодательством предусмотрена ответственность. Далее, конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами для заказных почтовых отправлений.
5. Организация защиты персональных данных
5.1. Защита персональных данных субъекта от неправомерного их использования или утраты обеспечивается Управлением и за счет средств Управления.
5.2. Общую организацию защиты персональных данных лиц осуществляет специалист сектора защиты информации отдела администрирования. Также обеспечивает общий контроль за соблюдением сотрудниками Управления мер по защите персональных данных субъектов.
5.3. В обязанности кадровой службы государственного органа, осуществляющей ведение личных дел сотрудников Управления, входит:
а) приобщение документов к личным делам работников;
б) обеспечение сохранности личных дел работников;
в) обеспечение конфиденциальности сведений, содержащихся в личных делах сотрудников, в соответствии с Федеральным законодательством, иными нормативными правовыми актами Российской Федерации, а также в соответствии с настоящим Положением;
г) ознакомление сотрудника с документами своего личного дела не реже одного раза в год, а также по просьбе сотрудника и во всех иных случаях, предусмотренных законодательством Российской Федерации.
д) ознакомление сотрудников, которые участвуют в обработке персональных данных, под роспись с настоящим Положением;
е) получение с сотрудников письменного обязательства о соблюдении конфиденциальности персональных данных субъекта и соблюдении правил их обработки;
5.4. Организацию и контроль за защитой персональных данных физических лиц в структурных подразделениях Управления, сотрудники которых имеют доступ к персональным данным, осуществляют их непосредственные руководители.
5.5. Защите подлежит:
- информация о персональных данных субъекта;
- документы, содержащие персональные данные субъекта;
- персональные данные, содержащиеся на электронных носителях.
5.6. Защита сведений, хранящихся в электронных базах данных Управления, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается Системой защиты персональных данных.
6. Права участников обработки персональных данных
6.1. Работники Управления имеют право:
6.1.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
6.1.2. Требовать от Управления уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для деятельности Управления персональных данных;
6.1.3. Получать от Управления следующие данные:
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
6.1.4. Требовать извещения Управлением всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
6.1.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Управления при обработке и защите его персональных данных.
7. Заключительные положения
7.1. Иные права, обязанности, действия сотрудников, в трудовые обязанности которых входит обработка персональных данных субъектов, определяются также должностными инструкциями.
7.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с Федеральными законами.
7.3. Разглашение персональных данных субъекта (передача их посторонним лицам, в том числе работникам Управления, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные субъекта, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, локальными нормативными актами (приказами, распоряжениями) Управления, влечет наложение на сотрудника, имеющего доступ к персональным данным, дисциплинарного взыскания - замечания, выговора, увольнения.
7.4. Работники Управления, имеющие доступ к персональным данным субъектов, виновные в незаконном разглашении или использовании персональных данных лиц без согласия субъектов из корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут уголовную ответственность в соответствии со ст. 183 Уголовного кодекса РФ. Работники Управления, имеющие доступ к персональным данным субъектов и совершившие указанный дисциплинарный проступок, несут полную материальную ответственность в случае причинения его действиями ущерба (п. 7 ст. 243 Трудового кодекса РФ).
Приложение N 1
к Положению
об обработке персональных данных
в Управлении информатизации Пензенской области
Форма
Согласие на обработку персональных данных работника Управления
информатизации Пензенской области
N ______/____
Работник (далее - субъект) _____________________________________________,
(Ф.И.О.)
Адрес регистрации субъекта ______________________________________________
паспорт _________________________________________________________________
(серия, номер, когда и кем выдан)
Оператор персональных данных Управление информатизации Пензенской
области, расположенный по адресу: г. Пенза, ул. Московская, 75.
На основании данного согласия субъект предоставляет оператору право
обработки персональных данных, перечень которых приведен в п. 2.
1. Цели обработки персональных данных
Обработка персональных данных работника осуществляется в целях
обеспечения соблюдения Конституции Российской Федерации, федеральных
законов и иных нормативных правовых актов Российской Федерации,
содействия работнику в прохождении государственной гражданской службы
Российской Федерации (далее - гражданская служба), в обучении
и должностном росте, обеспечения личной безопасности работника и членов
его семьи, а также в целях обеспечения сохранности принадлежащего ему
имущества и имущества государственного органа, учета результатов
исполнения им должностных обязанностей.
2. Обрабатываемые персональные данные
Перечень обрабатываемых персональных данных включает в себя
следующие элементы: фамилия, имя, отчество, пол, дата рождения, адрес
проживания, паспортные данные, реквизиты полиса ОМС, ИНН, фотография,
СНИЛС, данные трудовой книжки, данные документов воинского учета, данные
об образовании, сведения о доходах, сведения о трудовой деятельности
субъекта, сведения о близких родственниках.
3. Действия (операции) с персональными данными в процессе обработки
Субъект дает право оператору осуществлять действия (операции)
с персональными данными, включая сбор, систематизацию, накопление,
хранение, обновление, изменение, использование, обезличивание,
блокирование, уничтожение. Также оператор размещает фотографию и рабочие
контакты на сайте Управления информатизации Пензенской области. Оператор
осуществляет распространение некоторых персональных данных органам
соцзащиты, налоговой инспекции, банку.
4. Сроки действия согласия и порядок его отзыва
Действие согласия на обработку персональных данных распространяется
на срок действия трудового договора. Отзыв согласия на обработку
персональных данных производится с письменного заявления субъекта.
В случае отзыва согласия на обработку персональных данных субъект обязан
уведомить об этом в письменной форме оператора не менее чем за месяц
до предполагаемой даты отзыва.
5. Последствия отказа от согласия на обработку персональных данных
В случае отказа (отзыва согласия) субъекта на обработку персональных
данных оператор становится не в состоянии выполнять требования
законодательства РФ в области обеспечения кадрового делопроизводства,
также становится невозможным исполнение финансовых и социальных
обязанностей.
Дата Подпись ФИО
"___" _________ 20___ г. __________________ _____________________
Приложение N 2
к Положению
об обработке персональных данных
в Управлении информатизации Пензенской области
Форма
Согласие на обработку персональных данных претендента на замещение
вакантной должности или включение в кадровый резерв Управления
информатизации Пензенской области
N ______/____
Претендент (субъект) ___________________________________________________,
(Ф.И.О.)
Адрес регистрации субъекта ______________________________________________
паспорт _________________________________________________________________
(серия, номер, когда и кем выдан)
Оператор персональных данных Управление информатизации Пензенской
области, расположенный по адресу: г. Пенза, ул. Московская, 75.
На основании данного согласия субъект предоставляет оператору, право
обработки персональных данных, перечень которых приведен в п. 2.
1. Цели обработки персональных данных
Обработка персональных данных субъекта производится с целью
получения первичных данных о претенденте на замещение вакантной должности
или включения в кадровый резерв Управления информатизации Пензенской
области.
2. Обрабатываемые персональные данные
Перечень обрабатываемых персональных данных включает в себя
следующие элементы: фамилия, имя, отчество, пол, дата рождения, адрес
проживания, паспортные данные, ИНН, фотография, СНИЛС, данные трудовой
книжки, данные документов воинского учета, данные об образовании,
сведения о трудовой деятельности субъекта, сведения о близких
родственниках, информация о судимости.
3. Действия (операции) с персональными данными в процессе обработки
Субъект дает право оператору осуществлять действия (операции)
с персональными данными, включая сбор, систематизацию, накопление,
хранение, обновление, использование, обезличивание, блокирование,
уничтожение персональных данных субъекта.
4. Сроки действия согласия и порядок его отзыва
Действие согласия на обработку персональных данных распространяется
на срок от момента подписания данного согласия до момента исключения
субъекта из кадрового резерва, или до принятия решения по результатам
конкурса на замещение вакантной должности, или подписания трудового
соглашения с претендентом. В случае отзыва согласия на обработку
персональных данных субъект обязан уведомить об этом в письменной форме
оператора не менее чем за месяц до предполагаемой даты отзыва.
5. Последствия отказа от согласия на обработку персональных данных
В случае отказа (отзыва согласия) субъекта на обработку персональных
данных оператор становится не в состоянии выполнить необходимый комплекс
мер для организации участия субъекта в конкурсе на замещение вакантной
должности управления информатизации Пензенской области.
Дата Подпись ФИО претендента
"___" _________ 20___ г. __________________ _____________________
Приложение N 3
к Положению
об обработке персональных данных
в Управлении информатизации Пензенской области
Форма
Обязательство о неразглашении информации, содержащей персональные данные
Я, _____________________________________________________________________,
(Ф.И.О. сотрудника Управления информатизации Пензенской области)
исполняющий(ая) должностные обязанности по замещаемой должности
_________________________________________________________________________
________________________________________________________________________,
(должность, наименование структурного подразделения)
предупрежден(а) о том, что на период исполнения должностных обязанностей
в соответствии с должностным регламентом мне будет предоставлен допуск
к информации, содержащей персональные данные. Настоящим добровольно
принимаю на себя обязательства:
1. Не передавать и не разглашать третьим лицам информацию,
содержащую персональные данные, которая мне доверена (будет доверена)
или станет известной в связи с исполнением должностных обязанностей.
2. В случае попытки третьих лиц получить от меня информацию,
содержащую персональные данные, сообщать непосредственному начальнику.
3. Не использовать информацию, содержащую персональные данные,
с целью получения выгоды.
4. Выполнять требования нормативных правовых актов, регламентирующих
вопросы защиты персональных данных.
5. В течение года после прекращения права на допуск к информации,
содержащей персональные данные, не разглашать и не передавать третьим
лицам известную мне информацию, содержащую персональные данные.
Я предупрежден(а) о том, что в случае нарушения данного
обязательства буду привлечен(а) к дисциплинарной ответственности
и/или иной ответственности в соответствии с законодательством Российской
Федерации.
_____________________________ ________________________
(фамилия, инициалы) (подпись)
"____" ______________ ____ г.
Утверждена
приказом
Управления информатизации
Пензенской области
от 6 апреля 2011 г. N 21-о/д
Типовая форма акта об уничтожении персональных данных
Комиссия в составе:
Председатель - _____________________________________________________
Члены комиссии - ___________________________________________________
провела отбор носителей персональных данных и установила,
что в соответствии с требованиями руководящих документов по защите
информации __________________________________________________ информация,
записанная на них в процессе эксплуатации, подлежит гарантированному
уничтожению:
|
N п/п |
Дата |
Тип носителя |
Регистрационный номер носителя ПДн |
Примечание |
|
|
|
|
|
|
|
|
|
|
|
|
Всего съемных носителей _________________________________________________
(цифрами и прописью)
На указанных носителях персональные данные уничтожены путем
________________________________________________________________________.
(стирания на устройстве гарантированного уничтожения информации и т.п.)
Перечисленные носители ПДн уничтожены путем
________________________________________________________________________.
(разрезания, сжигания, механического уничтожения и т.п.)
Председатель комиссии: _________________/____________/
Члены комиссии: _________________/_____________/
_________________/____________/
Утверждена
приказом
Управления информатизации
Пензенской области
от 6 апреля 2011 г. N 21-о/д
Форма журнала учета электронных носителей персональных данных
Управление информатизации
Пензенской области
Начат "___" _________ ____ г.
Окончен "___" _______ ____ г.
На _______ листах
Журнал учета электронных носителей персональных данных
|
Учетный номер |
Дата постановки на учет |
Вид электронного носителя, место его хранения (размещения) |
Ответственный за использование и хранение |
||
|
Ф.И.О. |
подпись |
дата |
|||
|
1 |
2 |
3 |
4 |
5 |
6 |
|
|
|
|
|
|
|
Утверждена
приказом
Управления информатизации
Пензенской области
от 6 апреля 2011 г. N 21-о/д
Форма журнала регистрации и учета обращений субъектов персональных данных
Журнал учета обращений субъектов персональных данных о выполнении их
законных прав, при обработке персональных данных в ИСПДн
"_________________________________"
|
N |
ФИО |
Дата |
Цель |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Утверждена
приказом
Управления информатизации
Пензенской области
от 6 апреля 2011 г. N 21-о/д
Инструкция администратора безопасности ИСПДн Управления информатизации Пензенской области
1. Общие положения
Настоящая инструкция определяет общие правила работы пользователей в АС при обработке (наборе, редактировании, хранении) и уничтожении конфиденциальной информации Управления Информатизации Пензенской области.
Администратор безопасности назначается из числа сотрудников Управления информатизации Пензенской области и обеспечивает правильность использования и нормальное функционирование установленной системы защиты информации (СЗИ).
2. Основные функции Администратора безопасности информации
Контроль за выполнением требований действующих нормативных документов по вопросам обеспечения режима конфиденциальности и защиты персональных данных при проведении работ в ИСПДн Управления информатизации и его территориальных подразделений.
Настройка и сопровождение в процессе эксплуатации подсистемы управления доступом в ИСПДн:
реализация полномочий доступа (чтение, запись) для каждого пользователя к элементам защищаемых информационных ресурсов (файлам, каталогам, принтеру, сетевым ресурсам и т.д.);
ввод описаний пользователей ИСПДн в информационную базу СЗИ от несанкционированного доступа (НСД), внедренной в ИСПДн Управления информатизации и его территориальных подразделений;
своевременное удаление описаний пользователей из базы данных СЗИ при изменении списка допущенных к работе в ИСПДн лиц.
Контроль за периодическим проведением смены паролей для доступа к ИСПДн пользователями.
Настройка и сопровождение подсистемы регистрации и учета действий пользователей при работе в ИСПДн:
введение в базу данных СЗИ от НСД, внедренной в ИСПДн, описания событий, подлежащих регистрации в системном журнале;
регулярное проведение анализа системного журнала для выявления попыток НСД к защищаемым ресурсам;
своевременное информирование руководителя, ответственного за эксплуатацию ИСПДн Управления ЗАГС Пензенской области и его территориальных подразделений о несанкционированных действиях персонала и проведение расследования попыток НСД.
Сопровождение подсистемы обеспечения целостности информации в ИСПДн:
периодическое тестирование функций, внедренных в ИСПДн СЗИ, особенно при изменении программной среды и полномочий исполнителей;
восстановление программной среды, программных средств и настроек СЗИ при сбоях;
ведение двух копий программных средств СЗИ и контроль их работоспособности;
Сопровождение антивирусной подсистемы и системы защиты от программно-математических воздействий:
поддержание установленного порядка и правил антивирусной защиты информации в ИСПДн от компьютерных вирусов;
периодическое обновление антивирусных средств (баз данных), внедренных в ИСПДн, контроль за соблюдением пользователями порядка и правил проведения антивирусного тестирования ИСПДн Управления информатизации Пензенской области и его территориальных подразделений;
передача на место эксплуатации объекта обновлений антивирусного средства (баз данных) по электронной почте (в защищенной сети Управления информатизации) или другим способом при географической удаленности ИСПДн от г. Пенза.
Контроль за вскрытием и ремонтом (модернизацией) ПЭВМ, недопущением доступа посторонних лиц к конфиденциальной информации во время вскрытия, ремонта, модернизации ПЭВМ или устройств, последующим опечатыванием ПЭВМ (устройств), составлением соответствующих актов.
3. Обязанности Администратора безопасности
Администратор безопасности обязан:
обеспечивать функционирование и поддерживать работоспособность средств и систем защиты информации в пределах возложенных функций;
проводить инструктаж пользователей по правилам работы в ИСПДн с внедренными средствами защиты;
докладывать руководителю, ответственному за эксплуатацию ИСПДн Управления информатизации и его территориальных подразделений о неправомерных действиях пользователей, приводящих к нарушению требований по защите информации;
Проводить работу по выявлению возможных каналов утечки конфиденциальной информации, вести их учет и принимать меры к их устранению;
Вводить полномочия работников в разрешительную систему доступа, обеспечивать их своевременную корректировку;
следить за выполнением пользователями своих обязанностей, в т.ч. за проведением периодических антивирусных проверок;
по всем вопросам, касающимся функционирования средств защиты информации и не отраженным в настоящей инструкции, обращаться к руководствам администратора конкретных средств защиты, имеющимся на установочных дисках этих средств.
4. Права Администратора безопасности
Администратор безопасности имеет право:
участвовать в анализе ситуаций, касающихся функционирования средств защиты информации и расследования фактов несанкционированного доступа;
требовать прекращения обработки информации в случае нарушения установленного порядка работ или нарушения функционирования средств и систем защиты информации;
проходить повышение своей квалификации на учебных курсах.
Утверждена
приказом
Управления информатизации
Пензенской области
от 6 апреля 2011 г. N 21-о/д
Инструкция по проведению антивирусного контроля для объектов ПЭВМ Управления информатизации Пензенской области
1. Настоящая Инструкция предназначена для пользователей, хранящих и обрабатывающих информацию в ИСПДн Управления информатизации Пензенской области, а также для администраторов безопасности ИСПДн.
2. В целях обеспечения антивирусной защиты в ИСПДн производится антивирусный контроль.
3. Ответственность за поддержание установленного в настоящей Инструкции порядка проведения антивирусного контроля возлагается на Администратора безопасности.
4. К применению в ИСПДн допускается лицензионное антивирусное средство.
5. На ПЭВМ ИСПДн запрещается установка программного обеспечения, не связанного с выполнением функций, предусмотренных технологическим процессом обработки информации.
6. Пользователи ИСПДн при работе с отчуждаемыми машинными носителями информации (МНИ) обязаны перед началом работы осуществить проверку МНИ на предмет отсутствия компьютерных вирусов.
7. Администратор безопасности (служба администрирования) осуществляет периодическое обновление антивирусных пакетов и контроль их работоспособности.
8. Администратор безопасности проводит периодическое тестирование всего установленного программного обеспечения на предмет отсутствия компьютерных вирусов.
9. При обнаружении компьютерного вируса пользователь обязан немедленно поставить в известность Администратора безопасности и прекратить любые действия в ИСПДн.
10. Администратор безопасности проводит в случае необходимости лечение зараженных файлов путем выбора соответствующего пункта меню антивирусной программы и после этого вновь проводит антивирусный контроль.
11. В случае обнаружения на МНИ нового вируса, не поддающегося лечению, Администратор безопасности обязан запретить использование МНИ.
12. В случае обнаружения на ЖМД не поддающегося лечению вируса Администратор безопасности обязан поставить в известность руководителя, ответственного за эксплуатацию ИСПДн, запретить работу в ИСПДн и в возможно короткие сроки обновить пакет антивирусных программ.
Утверждена
приказом
Управления информатизации
Пензенской области
от 6 апреля 2011 г. N 21-о/д
Инструкция по работе пользователей ИСПДн Управления информатизации Пензенской области
ГАРАНТ:
Нумерация разделов приводится в соответствии с источником
4. Общие положения
4.1. Настоящая инструкция определяет общие правила работы пользователей при обработке персональных данных в информационных системах персональных данных (далее - ИСПДн) Управления Информатизации Пензенской области.
4.2. Персональные данные (ПДн) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
4.3. Допуск пользователей для работы в ИСПДн осуществляется в соответствии со списком лиц, допущенных до работы.
4.4. Пользователь допускается к работе в ИСПДн только после изучения настоящей Инструкции.
4.5. Пользователь ИСПДн должен знать операционную среду, программные средства, в которых производится обработка ПДн, основные компоненты средств вычислительной техники и средств защиты информации (СЗИ), изучить нормативные акты по обработке персональных данных, знать предписания на эксплуатацию ИСПДн.
4.6. Использование для обработки ПДн ПЭВМ (или отдельных ее компонентов), не имеющей предписания на эксплуатацию, или эксплуатация с нарушением требований предписания для решения задач, связанных с обработкой ПДн, запрещается.
5. Работа с использованием средств вычислительной техники
5.1. Перед началом работы пользователь обязан удостовериться в целостности компонентов ПЭВМ. Для этого путем визуального осмотра необходимо удостовериться в отсутствии следов вскрытия/повреждения корпусов устройств, отсутствии подключения к ним сторонних компонентов и средств коммуникации.
5.2. Вход пользователя в систему осуществляется на основе предъявления (по запросу системы) персонального идентификатора (имени пользователя) и ввода личного пароля длиной не менее 6 символов, определяемого конкретным пользователем.
5.3. В целях предотвращения несанкционированного доступа посторонних лиц к ресурсам пользователя и/или ИСПДн осуществляется периодическая (раз в три месяца) замена пароля пользователя. Замена личного пароля осуществляется пользователем самостоятельно. В случае отказа системы в идентификации пользователя, либо неподтверждения личного пароля следует немедленно обратиться к Администратору безопасности.
5.4. Экран видеомонитора в помещении необходимо располагать во время работы так, чтобы исключалась возможность ознакомления с отображаемой на них информацией посторонними лицами.
5.5. Пользователь решает поставленные задачи в соответствии с полномочиями доступа к ресурсам ИСПДн, присвоенными Администратором безопасности данному пользователю. При этом для хранения файлов, содержащих персональные данные, разрешается использовать только специально выделенные каталоги на жестком магнитном диске (ЖМД) ПЭВМ, а также учтенные в предназначенном для этого журнале носители информации.
5.6. Перед началом работы с файлами, хранящимися на съемных носителях информации, должны осуществить проверку содержимого носителя на наличие компьютерных вирусов. Антивирусный контроль ПЭВМ должен осуществляться пользователем не реже одного раза в неделю.
5.7. Пользователю запрещается:
а) приносить на рабочие места неучтенные носители информации и пользоваться ими при эксплуатации ПЭВМ;
б) записывать и хранить информацию на неучтенных носителях информации;
в) выносить из помещений размещения ПЭВМ ИСПДн, отдельные блоки, узлы и иное оборудование, относящееся к ИСПДн;
г) принимать и передавать носители информации лицам, не имеющим на то специального разрешения, знакомить с конфиденциальной информацией других сотрудников;
д) уничтожать конфиденциальные машинные носители информации без надлежащего оформления;
е) иметь на рабочем месте неучтенные магнитные носители информации, ПЭВМ личного пользования и другое компьютерное оборудование личного пользования;
ж) производить какие-либо изменения в электрических схемах, монтаже и размещении технических средств;
з) сообщать (или передавать) посторонним лицам личные атрибуты доступа к ресурсам вычислительной техники;
и) привлекать посторонних лиц для производства ремонта средств вычислительной техники;
к) совместно хранить конфиденциальные и неконфиденциальные (общедоступные) сведения в одном каталоге на жестком диске ПЭВМ (на одном отчуждаемом носителе информации).
5.8. В случае возникновения неполадок в работе необходимо незамедлительно поставить в известность администратора безопасности либо системного администратора.
3. Особенности организации обработки персональных данных без использования средств автоматизации
3.1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).
3.2. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
3.3. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).
3.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
- типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
- типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;
- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
- типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
3.5. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:
- необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;
- копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;
- персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.
3.6. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
- при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
- при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
3.7. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
3.8. Правила, предусмотренные пунктами 9 и 10 настоящего Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
3.9. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
3.10. Обработка персональных данных без использования средств автоматизации должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
3.11. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
3.12. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.
4. Организация парольной защиты и порядок ее применения при работе на объектах информатизации
4.1. Личные пароли доступа к объекту информатизации, системе защиты от НСД, выдаются пользователям Администратором информационной безопасности, и при этом необходимо руководствоваться следующими требованиями:
а) длина пароля должна быть не менее 8-буквенно-цифровых символов;
б) пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, дни рождения и другие памятные даты, номера телефонов, автомобилей, адреса места жительства, наименования АРМ, общепринятые сокращения (ЭВМ, ЛВС, USER, SYSOP, GUEST, ADMINISTRATOR и т.д.), и другие данные, которые могут быть подобраны злоумышленником путем анализа информации об ответственном исполнителе;
в) не использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов;
г) не использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, 1234567 и т.п.);
д) при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4 позициях;
е) в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, а также цифры;
ж) не использовать ранее использованные пароли.
4.2. Лица, использующие паролирование, обязаны:
а) четко знать и строго выполнять требования настоящей инструкции и других руководящих документов по паролированию;
б) своевременно сообщать Администратору информационной безопасности о нештатных ситуациях, нарушениях работы подсистем защиты от НСД, возникающих при работе с паролями.
При организации парольной защиты запрещается
записывать свои пароли в очевидных местах, внутренности ящика стола, на мониторе ПЭВМ, на обратной стороне клавиатуры и т.д.;
хранить пароли в записанном виде на отдельных листах бумаги;
сообщать посторонним лицам свои пароли, а также сведения о применяемой системе защиты от НСД.
4.3. Полная плановая смена паролей на ОВТ проводится не реже одного раза в год.
4.4. Удаление (в т.ч. внеплановая смена) личного пароля любого пользователя ОВТ должно производиться в следующих случаях:
а) в случае подозрения на дискредитацию пароля;
б) по окончании срока действия;
в) в случае прекращения полномочий (увольнение, переход на другую работу внутри организации) пользователя после окончания последнего сеанса работы с системой;
г) по указанию Администратора информационной безопасности.
4.5. Для предотвращения доступа к персональным данным, находящимся в ПЭВМ, минуя ввод пароля, пользователь во время перерыва в работе обязан осуществить блокирование системы нажатием комбинации Ctrl+Alt+l или кнопки "Блокировать".
Порядок применения (смены) паролей при работе на ПЭВМ, оборудованных системой защиты от НСД, приведен в эксплуатационной документации на СЗИ.
Утвержден
приказом
Управления информатизации
Пензенской области
от 6 апреля 2011 г. N 21-о/д
Список помещений Управления информатизации Пензенской области, располагающихся по адресу: г. Пенза, ул. Московская, 75, в которых разрешена обработка сведений, содержащих персональные данные
|
N п/п |
Наименование |
Номер кабинета |
|
1 |
Бухгалтерия Управления информатизации |
521 |
|
2 |
Рабочее место специалиста по кадрам Управления информатизации |
506 |
Утвержден
приказом
Управления информатизации
Пензенской области
от 6 апреля 2011 г. N 21-о/д
Перечень автоматизированных и информационных систем, в которых производится обработка конфиденциальной информации и персональных данных Управления информатизации Пензенской области
|
N п/п |
Название АС (ИСПДн) |
Класс системы |
Тип обработки ПДн |
Состав серверного и прикладного ПО |
Защищаемые информационные ресурсы КИ и ПДн |
Описание каналов передачи данных |
Структура |
Местонахождение ИСПДн |
|||
|
Кол-во АРМ |
Кол-во серверов |
Операционная система |
Прикладное ПО |
|
|||||||
|
1 |
Кадры |
- |
Многопользовательская, с разграничением прав |
1 |
- |
Windows XP |
MS Office 2003 |
БД |
ЛВС с подключением к Internet. |
локальная |
Пенза, Московская, 75 |
|
2 |
Бухгалтерия |
- |
Многопользовательская, с разграничением прав |
1 |
- |
Windows XP |
MS Office 2003 |
БД |
ЛВС с подключением к Internet. |
локальная |
Пенза, Московская, 75 |
Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приказ Управления информатизации Пензенской области от 6 апреля 2011 г. N 21-о/д "Об утверждении нормативных актов, регламентирующих обработку персональных данных в Управлении информатизации Пензенской области"
Текст приказа опубликован в газете "Пензенские губернские ведомости" N 70 от 31 августа 2011 г.
Приказом Министерства промышленности, развития предпринимательства, инновационной политики и информатизации Пензенской области от 20 января 2016 г. N 2 настоящий приказ признан утратившим силу