Постановление Главы Чернушинского муниципального района Пермского края от 25.03.2015 N 276 "Об утверждении плана мероприятий по организации защиты персональных данных в администрации Чернушинского муниципального района"

В соответствии с федеральными законами от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27 июля 2006 г. N 152-ФЗ "О персональных данных", от 09 февраля 2009 г. N 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления" и принятыми в соответствии с ними иными нормативными правовыми актами, регламентирующими вопросы защиты персональных данных и иной информации ограниченного доступа, постановляю:

1. Утвердить прилагаемый план мероприятий по организации защиты персональных данных в администрации Чернушинского муниципального района (далее - План мероприятий).

2. Управляющему делами, руководителям отраслевых (функциональных) органов администрации Чернушинского муниципального района принять меры по исполнению Плана мероприятий.

3. Контроль за исполнением данного постановления возложить на управляющего делами администрации Чернушинского муниципального района Кузнецову Л.А.

Глава муниципального района

М.В. Шестаков

План
мероприятий по организации защиты персональных данных в администрации Чернушинского муниципального района
(утв. постановлением главы муниципального района от 25 марта 2015 г. N 276)

N п/п	Наименование мероприятия	Срок выполнения	Ответственные	Примечание
1	Назначение ответственных за осуществление мероприятий по защите персональных данных, внесение соответствующих дополнений в договоры или должностные инструкции сотрудников	до 01.04.2015	Управляющий делами, руководители отраслевых (функциональных) органов	Ответственный осуществляет: контроль соблюдения сотрудниками, обрабатывающими персональные данные, правил обработки и обеспечения безопасности персональных данных
2	Назначение администратора безопасности информационных систем персональных данных, внесение соответствующих дополнений в договоры или должностные инструкции сотрудников	до 01.04.2015	Управляющий делами, руководители отраслевых (функциональных) органов	Основная задача администратора - обеспечение технической защищенности персональных данных в подразделении.
3	Подготовка уведомлений сотрудников об обработке их персональных данных	регулярно	Ответственное лицо, определенное правовым актом
4	Получение письменных согласий сотрудников и других субъектов персональных данных на обработку сведений о них	регулярно	Ответственное лицо, определенное правовым актом
5	Разработка нормативных правовых актов по вопросам обработки персональных данных: 1. Политики информационной безопасности; 2. Положения о порядке обработки персональных данных; 3. Положения по защите персональных данных; 4. Плана мероприятий по обеспечению безопасности персональных данных; 5. Перечня персональных данных; - перечня информационных систем персональных данных; 6. Инструкции по обработке персональных данных без использования средств автоматизации; 7. Положения о комиссии для определения уровня защищенности; 8. Положения о разграничении прав доступа к персональным данным; 9. Инструкции по работе с обращениями субъектов персональных данных; 10. Инструкции (должностной инструкции) администратора безопасности информационных систем персональных данных; 11. Инструкции пользователя информационной системы персональных данных; 12. Инструкции по обеспечению безопасности рабочих мест обработки персональных данных; 13. Порядка резервирования и восстановления работоспособности ИСПДн; 14. Инструкции по работе со съемными носителями, содержащими персональные данные; 15. Инструкции о порядке физической охраны помещений, содержащих носители персональных данных; 16. Порядка уничтожения носителей персональных данных; 17. Перечня сотрудников, допущенных к обработке персональных данных; 18. Формы согласия на обработку персональных данных; 19. Формы отзыва согласия на обработку персональных данных; 20. Инструкции по работе с обезличенными персональными данными; 21. Инструкции осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных	до 01.05.2015	Управляющий делами, руководители отраслевых (функциональных) органов	1. Документ определяет основные требования к персоналу ИСПДн, степень ответственности персонала, структуру и необходимый уровень защищенности, статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в ИСПДн. 2. Документ определяет порядок обработки персональных данных работников; права и обязанности организации и работников, связанные с обработкой персональных данных; защиту персональных данных работников. Все работники должны быть ознакомлены с ним под роспись. 3. Документ определяет основные цели и задачи, а также общую стратегию построения системы защиты персональных данных. 4. Определяет какие мероприятия должны быть исполнены и в какой срок. 5. Определяет какие персональные данные обрабатываются в организации, правовые основания их обработки. В перечне указываются сроки и места хранения информации, содержащей персональные данные. 6. В инструкции приводятся особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации, а также меры по обеспечению их безопасности. 7. Назначается комиссия для определения уровня защищенности информационных систем персональных данных организации и прописывается порядок ее работы. 8. В данном документе определяется список лиц, ответственных за обработку персональных данных в информационных системах персональных данных, а также их уровень прав доступа к обрабатываемым персональным данным. 9. Определяет порядок реагирования на обращения субъектов персональных данных. К порядку прилагаются формы запросов, заявок, уведомлений. 10. Определяет обязанности и полномочия администратора информационной безопасности. 11. Определяет обязанности и полномочия пользователей ИСПДн. 12. Определяет требования по защите рабочих мест ИСПДн, на которых ведется обработка и хранение персональных данных. 13. Определяет меры и средства поддержания непрерывности работы и восстановления работоспособности ИСПДн. 14. Определяет порядок работы со съемными носителями персональных данных. 15. Определяет обязанности должностных лиц и порядок взаимодействия между структурными подразделениями Оператора по обеспечению безопасности носителей персональных данных. 16. Определяет как правильно уничтожать носители персональных данных. 17. Утверждает перечень сотрудников, допущенных к обработке персональных данных, как в ИСПДн, так и без использования средств автоматизации. 18. Форма (шаблон) согласия на обработку персональных данных. 19. Форма (шаблон) отзыва согласия на обработку персональных данных 20. Разрабатывается в соответствии с Постановлением Правительства Российской Федерации от 21.03.2012 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных". 21. Разрабатывается в соответствии с Постановлением Правительства Российской Федерации от 21.03.2012 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных".
6	Заведение и ведение следующих журналов: 1. Журнал антивирусных проверок 2. Журнал учета логинов 3. Журнал учета обращений субъектов персональных данных 4. Журнал учета СЗИ 5. Журнал учета съемных носителей	до 01.05.2015	Администраторы безопасности Ответственное лицо, определенное правовым актом	1. Журнал заполняется администратором безопасности по результатам каждой антивирусной проверки серверов и рабочих мест информационной системы. 2. Журнал заполняется администратором безопасности. В нем указываются логины, присвоенные каждому сотруднику, имеющему доступ к информационной системе. 3. В журнале фиксируются все обращения субъектов персональных данных, а также ответы на них. 4. Журнал заполняется администратором безопасности. В нем фиксируются все средства защиты информации, установленные в организации. Указывается место установки и учетные номера средств защиты 5. Журнал заполняется администратором безопасности. В журнале указываются учетные номера всех съемных носителей, содержащих персональные данные.
7	Направление в уполномоченный орган (Роскомнадзор) уведомления о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации	регулярно	Ответственное лицо, определенное правовым актом	Уведомление направляется при вводе в эксплуатацию новых информационных систем персональных данных, либо при внесении изменений в существующие
8	Повышение квалификации сотрудников в области защиты персональных данных	постоянно	Управляющий делами, руководители отраслевых (функциональных) органов	Ответственных за выполнение работ - не менее раз в два года, повышение осведомленности сотрудников - постоянно (данное обучение проводит ответственный за защиту персональных данных подразделения)
9	Проведение внутренних проверок состояния защиты персональных данных	до 01.06.2015	Управляющий делами, руководители отраслевых (функциональных) органов	Внутренняя проверка проводится не реже одного раза в год
10	Инвентаризация информационных ресурсов	раз в полгода	Администраторы безопасности	Проводится с целью выявления присутствия и обработки в них ПД
11	Классификация информационных систем персональных данных (ИСПД)	при необходимости	Администраторы безопасности	Классификация проводится при создании ИСПДн, при выявлении в информационных системах ПД, при изменении состава, структуры самой ИСПДн или технических особенностей ее построения (изменилось ПО, топология и прочее)
12	Выявление угроз безопасности и разработка моделей угроз и нарушителя	при необходимости	Администраторы безопасности	Разрабатывается при создании системы защиты ИСПДн
13	Аттестация (сертификация) СЗПД или декларирование соответствия по требованиям безопасности ПД	при необходимости	Администраторы безопасности	Проводится совместно с лицензиатами ФСТЭК
14	Эксплуатация ИСПД и контроль безопасности ПД	постоянно	Администраторы безопасности
15	Понижение требований по защите персональных данных путем сегментирования ИСПДн, отключения от сетей общего пользования, обеспечения обмена между ИСПДн с помощью сменных носителей, создания автономных ИСПДн на выделенных АРМ и прочих доступных мер	при необходимости	Администраторы безопасности	В случае создания ИСПДн, а также приведения имеющихся ИСПДн в соответствии с требованиями закона.