Приложение. Положение о порядке обработки и обеспечения безопасности персональных данных в Администрации города Челябинска. Распоряжение Администрации города Челябинска от 30.04.2021 N 4986 "Об утверждении Положения о порядке обработки и обеспечения безопасности персональных данных в Администрации города Челябинска" (с изменениями и дополнениями)

Приложение
к распоряжению Администрации города
от 30 апреля 2021 г. N 4986

Положение
о порядке обработки и обеспечения безопасности персональных данных в Администрации города Челябинска

I. Общие положения

1. Настоящее Положение о порядке обработки и обеспечения безопасности персональных данных в Администрации города Челябинска (далее - Положение) разработано в соответствии с Конституцией Российской Федерации, Федеральным законом Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"), Федеральным законом от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации", Указом Президента Российской Федерации от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказом Федеральной службы по техническому и экспертному контролю от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

2. Настоящее Положение устанавливает порядок обработки и обеспечения безопасности персональных данных, регулирует отношения, связанные с обработкой персональных данных, осуществляемой в структурных подразделениях аппарата Администрации города Челябинска и ее отраслевых (функциональных) органах (далее - Администрация города).

3. Под сферу действия настоящего Положения попадают отношения, связанные с обработкой персональных данных с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

4. Настоящее Положение устанавливает процедуры, направленные на выявление и предотвращение нарушений действующего законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

II. Обработка персональных данных

5. Операторами персональных данных являются структурные подразделения Администрации города Челябинска и ее отраслевые (функциональные) органы, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Операторы и работники Администрации города, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.

Типовые формы обязательств лиц, осуществляющих обработку персональных данных, о неразглашении сведений, содержащих персональные данные, утверждаются правовыми актами Администрации города.

6. При обработке персональных данных должны соблюдаться следующие общие требования:

1) при определении объема и содержания обрабатываемых персональных данных Администрация города руководствуется Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами;

2) при принятии решений, затрагивающих интересы субъектов персональных данных, Администрация города не вправе основываться на сведениях, полученных исключительно в результате автоматизированной обработки персональных данных субъекта персональных данных;

3) персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях;

4) Администрацией города обеспечивается защита персональных данных субъектов от их неправомерного использования, утраты;

5) субъекты персональных данных (их законные представители) должны быть ознакомлены под подпись с организационно-распорядительными документами Администрации города, устанавливающими порядок обработки и обеспечения безопасности персональных данных, а также об их правах и обязанностях в этой области.

7. Обработка персональных данных включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Способы обработки персональных данных работников включают:

1) копирование оригиналов документов;

2) внесение сведений в учетные формы (на бумажных и электронных носителях);

3) формирование персональных данных в ходе их обработки;

4) внесение персональных данных в информационные системы персональных данных Администрации города;

5) непосредственное получение оригиналов необходимых документов.

8. Обработка персональных данных в Администрации города осуществляется в рамках реализации полномочий органа местного самоуправления на территории города Челябинска в целях:

1) реализации норм законодательства о муниципальной службе и противодействии коррупции;

2) контроля над эффективным и целевым расходованием средств бюджета города Челябинска;

3) финансовой поддержки социально ориентированных общественных организаций и субъектов малого и среднего предпринимательства;

4) предоставления муниципальных услуг;

5) обеспечения размещения муниципальных заказов;

6) обеспечения прав граждан на социальную помощь;

7) реализации жилищной политики (обеспечение граждан, нуждающихся в улучшении жилищных условий, жилыми помещениями);

8) обеспечения образовательного процесса в учреждениях образования города (проведение конкурсов, олимпиад, государственной итоговой аттестации, дистанционного обучения);

9) организации и проведения культурно-массовых мероприятий;

10) защиты законных прав и интересов жителей города;

11) подготовки документов для наград и поощрений жителей города;

12) обеспечения прав граждан на обращение в органы местного самоуправления;

13) реализации прав граждан на получение информации о деятельности Администрации города, а также справок, копий правовых актов, иных документов Администрации города;

14) исполнения договоров и соглашений, стороной которых является субъект персональных данных;

15) реализации трудовых отношений, ведения бухгалтерского учета и отчетности в Администрации города;

16) реализации кадровой политики в Администрации города, подготовки и ведения кадрового резерва, резерва руководящих кадров руководителей муниципальных предприятий и учреждений;

17) защиты государственной тайны, работы со сведениями, составляющими государственную тайну;

18) исполнения отдельных переданных государственных полномочий в сфере охраны окружающей среды;

19) государственной регистрации актов гражданского состояния и совершения других юридически значимых действий в рамках переданных органам местного самоуправления отдельных государственных полномочий;

20) в иных случаях, предусмотренных федеральным законодательством.

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

9. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

10. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральными законами, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральными законами.

11. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо федеральными законами.

Порядок и условия уничтожения персональных данных утверждаются правовыми актами Администрации города в установленном порядке.

12. Оператором может осуществляться обработка персональных данных, доступ к которым имеет неограниченный круг лиц, в случаях, предусмотренных федеральным законодательством, с согласия субъекта персональных данных, а также по его просьбе. В целях информационного обеспечения населения в Администрации города могут создаваться общедоступные источники персональных данных.

Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

13. Обработка специальных категорий персональных данных может производиться Администрацией города в случаях и порядке, предусмотренных федеральным законодательством.

14. Перечень лиц, ответственных за организацию обработки персональных данных, утверждается правовыми актами Администрации города.

Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

1) доводить до сведения работников Администрации города положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

2) осуществлять внутренний контроль за соблюдением операторами, а также работниками Администрации города, в должностные обязанности которых входит обработка персональных данных, законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

3) осуществлять контроль за приемом и обработкой обращений и запросов субъектов персональных данных или их представителей.

Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных утверждаются правовыми актами Администрации города в установленном порядке.

15. Перечни персональных данных, обрабатываемых в Администрации города, перечни должностей, ответственных за проведение мероприятий по обеспечению безопасности обрабатываемых персональных данных, а также перечни должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к ним, утверждаются правовыми актами Администрации города.

16. В Администрации города должен вестись учет информационных систем персональных данных, оператором которых является Администрация города.

III. Согласие субъекта персональных данных

17. Обработка персональных данных осуществляется с согласия субъекта персональных данных. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральными законами.

В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных, полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает его законный представитель.

В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают его наследники, если такое согласие не было дано субъектом персональных данных при его жизни.

18. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.

19. Обработка персональных данных субъектов персональных данных может осуществляться либо с их письменного согласия, либо без получения такого согласия в следующих случаях:

1) обработка персональных данных необходима для исполнения договора (в том числе трудового), стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

2) обработка персональных данных осуществляется на основании Трудового кодекса Российской Федерации или иного Федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия Администрации города как работодателя;

3) обработка персональных данных осуществляется для статистических или иных научных целей, при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно;

5) персональные данные являются общедоступными;

6) по требованию полномочных государственных органов в случаях, предусмотренных федеральным законодательством.

20. Форма согласия на обработку персональных данных утверждается правовыми актами Администрации города в установленном порядке и должна содержать:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование (фамилию, имя, отчество) и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие, а также порядок его отзыва;

9) подпись субъекта персональных данных.

Типовые формы согласия приведены в приложениях 1 и 2 к настоящему Положению.

21. Оператор с согласия субъекта персональных данных вправе поручить обработку персональных данных другому лицу на основании заключаемого муниципального контракта в порядке и случаях, определяемых федеральным законодательством.

Типовые формы согласия субъекта персональных данных на передачу его персональных данных другому лицу утверждаются правовыми актами Администрации города.

22. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в порядке и случаях, предусмотренных федеральным законодательством. Формы отзыва согласия на обработку персональных данных утверждаются правовыми актами Администрации города в установленном порядке.

23. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо федеральными законами.

24. В случае отказа субъекта персональных данных от дачи согласия на обработку персональных данных работником Администрации города, принимающим заявление, должны быть разъяснены юридические последствия отказа. Формы отказа субъекта персональных данных могут утверждаться правовыми актами Администрации города в установленном порядке.

IV. Права субъекта персональных данных

25. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федеральных законов;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральными законами;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом "О персональных данных";

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные Федеральным законом "О персональных данных" или другими федеральными законами.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено федеральными законами.

26. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

27. В случае, если сведения, указанные в пункте 25 настоящего Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 25 настоящего Положения, и ознакомления с такими персональными данными не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральными законами, принятыми в соответствии с ними нормативными правовыми актами или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

28. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 25 настоящего Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 27 настоящего Положения, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 36 настоящего Положения, должен содержать обоснование направления повторного запроса.

Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 27 и 28 настоящего Положения. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.

29. В случае, если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных федеральным законодательством, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные федеральным законодательством и настоящим Положением права субъекта персональных данных;

5) источник получения персональных данных.

30. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий 7 рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения.

В срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные.

Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

31. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки.

В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

32. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение 7 рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

33. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий 3 рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

34. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона "О персональных данных" или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

35. Непосредственный контроль за соблюдением установленного действующим законодательством Российской Федерации и настоящим Положением порядка обработки персональных данных осуществляет лицо, ответственное за организацию обработки персональных данных.

V. Рассмотрение запросов субъектов персональных данных или их представителей

36. Сведения, указанные в пункте 25 настоящего Положения, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя.

37. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

38. В день поступления запроса оператору от субъекта персональных данных указанный запрос регистрируется в установленном порядке. На запросе проставляется штамп, в котором указывается входящий номер и дата регистрации документа, а также осуществляется его проверка на повторность.

После регистрации запросы субъектов персональных данных передаются не позднее следующего рабочего дня руководителям и ответственным работникам оператора, имеющим доступ к запрашиваемым персональным данным в соответствии с их должностными обязанностями, для подготовки ответа.

39. Запросы субъектов персональных данных рассматриваются ответственным за организацию обработки персональных данных в срок не более 3 дней со дня регистрации и направляются непосредственным исполнителям.

Исполнитель обеспечивает рассмотрение запросов субъектов персональных данных и подготовку ответа в течение 30 дней со дня регистрации запроса оператором. Документы после подписания регистрируются в установленном порядке и направляются субъекту персональных данных.

40. Сведения, указанные в пункте 25 настоящего Положения, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

41. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных при получении запроса оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на статью 14 Федерального закона "О персональных данных" или иной федеральный закон, являющийся основанием для такого отказа, в срок, не превышающий 30 дней со дня обращения субъекта персональных данных либо с даты регистрации данного запроса.

VI. Меры по обеспечению безопасности персональных данных при их обработке

42. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

43. Обеспечение безопасности персональных данных, обрабатываемых в Администрации города, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по их защите:

1) определение актуальных угроз безопасности персональных данных, в том числе при их обработке в информационных системах персональных данных Администрации города (далее - ИСПДн);

2) применение организационных и технических мер по обеспечению безопасности персональных данных, в том числе при их обработке в ИСПДн, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает необходимый уровень защищенности персональных данных;

3) применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия требованиям по безопасности информации;

4) учет машинных носителей персональных данных;

5) обеспечение функционирования средств обработки персональных данных, а также средств защиты информации в соответствии с эксплуатационной и технической документацией;

6) установление правил доступа к персональным данным, в том числе обрабатываемым в ИСПДн, а также обеспечение регистрации и учета действий, совершаемых с персональными данными;

7) обнаружение и регистрация фактов несанкционированного доступа к персональным данным, несанкционированной повторной и дополнительной записи информации после ее извлечения из ИСПДн;

8) восстановление персональных данных, модифицированных или удаленных (уничтоженных) вследствие несанкционированного доступа к ним;

9) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и защищенностью ИСПДн.

44. Для персональных данных должен быть определен их уровень защищенности в соответствии с регламентирующими документами согласно пункту 1 настоящего Положения.

45. Перечни информационных систем персональных данных утверждаются правовыми актами Администрации города.

46. Ответственные за обеспечение безопасности персональных данных при их обработке в информационных системах утверждаются правовыми актами Администрации города.

47. В должностные обязанности лиц, ответственных за обеспечение безопасности персональных данных при их обработке в информационных системах, должно входить:

1) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

4) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учет машинных носителей персональных данных;

6) обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;

7) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

VII. Порядок работы персонала ИСПДн в части обеспечения безопасности персональных данных при их обработке в ИСПДн

48. Допуск работников к персональным данным фиксируется в Журнале фактического допуска сотрудников к информации, содержащейся в информационных системах персональных данных Администрации города (приложение 3 к настоящему Положению). Обязанность по ведению данного журнала возлагается на лицо, ответственное за обеспечение информационной безопасности в Администрации города (далее - ответственный за ИБ).

49. Вход пользователя в систему должен осуществляться по персональному паролю.

50. Все магнитные, оптические и другие машинные носители персональных данных подлежат обязательному учету. На носители информации наносится маркировка, позволяющая идентифицировать и организовать их учет. Машинные носители информации, в том числе с резервными копиями персональных данных, регистрируются в журнале учета машинных носителей персональных данных (приложение 4 к настоящему Положению).

Журнал учета машинных носителей персональных данных ведется ответственным за ИБ.

51. При работе со съемными машинными носителями информации пользователь каждый раз перед началом работы обязан проверить их на отсутствие вирусов с использованием штатных антивирусных программ. В случае обнаружения вирусов пользователь обязан немедленно прекратить их использование и действовать в соответствии с требованиями настоящего Положения.

52. Каждый сотрудник, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки персональных данных и имеющий доступ к аппаратным средствам, программному обеспечению (далее - ПО) и данным ИСПДн, несет персональную ответственность за свои действия и обязан:

1) строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами ИСПДн;

2) знать и строго выполнять правила работы со средствами защиты информации, установленными на автоматизированном рабочем месте (далее - АРМ);

3) хранить в тайне свой пароль (пароли). В соответствии с пунктами 90, 91 настоящего Положения и с установленной периодичностью менять свой пароль (пароли);

4) хранить установленным порядком свое индивидуальное устройство идентификации (ключ) и другие реквизиты в сейфе (металлическом шкафу);

5) выполнять требования правил антивирусной защиты в полном объеме.

Немедленно известить ответственного за ИБ в случае утери индивидуального устройства идентификации (ключа) или при подозрении компрометации личных ключей и паролей, а также при обнаружении:

- несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств ИСПДн;

- отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию АРМ, выхода из строя или неустойчивого функционирования периферийных устройств, а также перебоев в системе электроснабжения;

- некорректного функционирования установленных на АРМ технических средств защиты;

- непредусмотренных отводов кабелей и подключенных устройств.

53. Пользователю АРМ категорически запрещается:

1) использовать компоненты программного и аппаратного обеспечения в неслужебных целях;

2) самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств ИСПДн или устанавливать дополнительно любые программные и аппаратные средства, не предусмотренные архивом дистрибутивов установленного ПО АРМ;

3) осуществлять обработку персональных данных в присутствии посторонних (не допущенных к данной информации) лиц;

4) записывать и хранить конфиденциальную информацию (содержащую сведения ограниченного распространения) на неучтенных машинных носителях информации;

5) оставлять включенным без присмотра АРМ, не активизировав средства защиты от несанкционированного доступа (временную блокировку экрана и клавиатуры);

6) оставлять без личного присмотра на рабочем месте или где бы то ни было свое персональное устройство идентификации, машинные носители и распечатки, содержащие защищаемую информацию (сведения ограниченного распространения);

7) умышленно использовать недокументированные свойства и ошибки в ПО или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации;

8) размещать средства ИСПДн так, чтобы с них существовала возможность визуального считывания информации.

VIII. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения баз данных и средств защиты информации

54. Целью резервного копирования персональных данных является обеспечение возможности их восстановления в кратчайшие сроки в случае утраты (уничтожения).

Резервное копирование осуществляется путем регулярного создания резервных и архивных копий обрабатываемой в ИСПДн информации.

55. Для создания резервных копий могут использоваться сервер резервного копирования, компактные (сменные) носители информации (CD/DVD-диски, внешние жесткие диски и другие), иные внешние носители информации, зарегистрированные в установленном порядке.

56. Резервному копированию и хранению подлежат персональные данные, обрабатываемые в ИСПДн, а также иная информация, определяемая как критичная для обеспечения бесперебойной работы ИСПДн.

57. Резервное копирование данных, обрабатываемых в ИСПДн, осуществляется уполномоченным сотрудником, в должностные обязанности которого входят функции по обеспечению работоспособности данной ИСПДн или функции по резервному копированию информации.

58. Сеансы резервного копирования настраиваются на внерабочее время с учетом возможности ИСПДн поддерживать работу с копируемыми данными, а также длительности выполнения процедуры резервного копирования. Полная резервная копия, являющаяся основным источником восстановления персональных данных, производится на внешнее хранилище информации, по возможности, отдаленное от ресурсов, на которых хранятся и обрабатываются резервируемые персональные данные.

59. Полная резервная копия содержит:

1) информацию, необходимую для восстановления работоспособности ИСПДн;

2) информацию, содержащуюся в ИСПДн;

3) рабочие копии установочных компонентов (дистрибутивов) ПО рабочих станций;

4) файлы конфигурации ИСПДн;

5) прочую необходимую информацию.

60. Восстановление информации из резервных копий может осуществляться в случаях:

1) потери данных;

2) необходимости исправления ошибочных операций с данными;

3) тестового восстановления.

IX. Контроль ИСПДн

61. Контроль защиты информации в ИСПДн - комплекс организационных и технических мероприятий, принятых в целях предупреждения и пресечения возможности получения техническими средствами охраняемых сведений, выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к информации, хищения технических средств и носителей информации, предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работоспособности систем информатизации.

62. Основными задачами контроля являются:

1) проверка организации выполнения мероприятий по защите информации в Администрации города, учета требований по защите информации в разрабатываемых плановых и распорядительных документах;

2) уточнение зон перехвата обрабатываемой на объектах информации, возможных каналов утечки информации, несанкционированного доступа к ней и программно-технических воздействий на информацию;

3) проверка выполнения установленных норм и требований по защите информации от утечки по техническим каналам, оценка достаточности и эффективности мероприятий по защите информации;

4) проверка выполнения требований по защите ИСПДн от несанкционированного доступа (далее - НСД);

5) проверка выполнения требований по антивирусной защите автоматизированных систем и АРМ;

6) проверка знаний работников по вопросам защиты информации и их соответствия требованиям уровня подготовки для конкретного рабочего места;

7) оперативное принятие мер по пресечению нарушений требований (норм) защиты информации в ИСПДн организации.

63. Контроль защиты информации проводится с учетом реальных условий по всем физическим полям, по которым возможен перехват информации, циркулирующей на объектах организации, и осуществляется по объектовому принципу, при котором на объекте одновременно проверяются все варианты защиты информации.

64. В ходе контроля проверяются:

1) соответствие принятых мер по обеспечению безопасности персональных данных;

2) своевременность и полнота выполнения требований настоящего Положения и других руководящих документов обеспечению безопасности персональных данных;

3) возможные технические каналы утечки информации, несанкционированного доступа к ней и программно-технических воздействий на информацию;

4) эффективность применения организационных и технических мероприятий по защите информации;

5) устранение ранее выявленных недостатков.

Кроме того, могут проводиться необходимые измерения и расчеты приглашенными для этих целей специалистами органа по аттестации ИСПДн.

65. Основными видами технического контроля на объекте организации являются контроль эффективности защиты информации от утечки по техническим каналам, контроль НСД к информации и программно-технических воздействий на информацию.

66. Полученные в ходе контроля результаты обрабатываются и анализируются в целях определения достаточности и эффективности предписанных мер защиты информации и выявления нарушений. При обнаружении нарушений норм и требований по защите информации штатный специалист (уполномоченный по защите информации) докладывает ответственному по защите информации, где допущены нарушения, для принятия им решения о прекращении обработки информации и проведения соответствующих организационных и технических мер по устранению нарушения. Результаты контроля защиты информации оформляются актами либо заносятся в соответствующие журналы учета результатов контроля.

67. Невыполнение предписанных мероприятий по защите персональных данных считается предпосылкой к утечке информации (далее - предпосылка). По каждой предпосылке для выяснения обстоятельств и причин невыполнения установленных требований проводится расследование.

Для проведения расследования назначается комиссия с привлечением ответственного за ИБ. Комиссия обязана установить, имела ли место утечка сведений, обстоятельства ей сопутствующие, лиц, виновных в нарушении предписанных мероприятий по защите информации, причины и условия, способствовавшие нарушению, и выработать рекомендации по их устранению.

68. Ведение контроля защиты информации осуществляется путем проведения периодических, плановых и внезапных проверок объектов защиты. Периодические, плановые и внезапные проверки объектов организации проводятся, как правило, силами ответственного за ИБ в соответствии с утвержденным планом.

69. Одной из форм контроля защиты информации является обследование объектов ИСПДн. Оно проводится не реже одного раза в год рабочей группой, возглавляемой ответственным за обработку персональных данных.

70. Обследование объектов информатизации проводится с целью определения соответствия защищаемых помещений, основных и вспомогательных технических средств и систем требованиям по защите информации, установленным в "Аттестате соответствия" при наличии.

71. В ходе обследования проверяется:

1) соответствие класса обследуемого объекта ИСПДн условиям, сложившимся на момент проверки;

2) соблюдение организационно-режимных требований защищаемых помещений;

3) сохранность печатей, пломб на технических средствах передачи и обработки информации, а также на устройствах их защиты, отсутствие повреждений экранов корпусов аппаратуры, оболочек кабелей и их соединений с шинами заземления;

4) наличие электробытовой, радио- и телевизионной аппаратуры и устройств непромышленного изготовления, которые могут способствовать возникновению каналов утечки информации;

5) выполнение требований предписаний на эксплуатацию основных технических средств, систем по их размещению относительно вспомогательных технических средств, систем организации электропитания и заземления;

6) соответствие выполняемых на объекте ИСПДн мероприятий по защите информации данным, изложенным в техническом паспорте;

7) выполнение требований по защите автоматизированных систем от НСД;

8) выполнение требований по антивирусной защите.

72. Периодический контроль состояния защиты информации осуществляется Федеральной службой по техническому и экспортному контролю России (далее - ФСТЭК России) в соответствии с действующим законодательством Российской Федерации. Доступ представителя указанного федерального органа исполнительной власти на объекты для проведения проверки, а также к работам и документам в объеме, необходимом для осуществления контроля, обеспечивается в установленном порядке по предъявлении служебного удостоверения сотрудника, справки о допуске, а также предписания установленной формы на право проведения проверки.

X. Обязанности лиц, допущенных к обработке персональных данных

73. Работники, допущенные к обработке персональных данных, обязаны:

1) знать и выполнять требования настоящего Положения;

2) осуществлять обработку персональных данных в целях, определенных законодательством Российской Федерации и нормативно-правовыми актами Администрации города;

3) знакомиться только с теми персональными данными, к которым им разрешен доступ;

4) не разглашать известные им персональные данные, информировать своего непосредственного начальника о фактах нарушения порядка обработки персональных данных и о попытках несанкционированного доступа к ним;

5) предупреждать лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены;

6) выполнять требования по защите полученных персональных данных;

7) соблюдать правила пользования документами, содержащими персональные данные, порядок их обработки и защиты;

8) предоставлять письменные объяснения о допущенных нарушениях установленного порядка обработки персональных данных, а также о фактах их разглашения или утраты.

74. Первичные инструктажи проводятся ответственным за ИБ с пользователями ИСПДн при поступлении на работу сотрудника в соответствующий отдел Администрации города, где происходит обработка конфиденциальной информации в ИСПДн.

XI. Требования и правила регистрации и учета действий с персональными данными в ИСПДн

75. Целью регистрации событий безопасности является обнаружение несанкционированных действий, связанных с обработкой персональных данных. Мониторинг систем следует проводить с целью проверки эффективности применяемых мер и средств контроля и управления.

76. Перечень событий безопасности, подлежащих регистрации (при наличии технической возможности):

1) вход (выход), а также попытки входа субъектов доступа в ИСПДн;

2) попытки удаленного доступа в ИСПДн;

3) запуск (остановка) ИСПДн;

4) подключение машинных носителей информации к средствам обработки информации;

5) вывод информации на носители информации (в том числе на печать);

6) запуск (завершение) программ и процессов (заданий, задач), связанных с обработкой персональных данных;

7) заведение пользователя ИСПДн;

8) блокирование пользователя ИСПДн;

9) аннулирование (постоянное блокирование) пользователя ИСПДН;

10) удаление пользователя ИСПДн;

11) редактирование пользователя ИСПДн (без изменения полномочий);

12) изменение полномочий пользователя ИСПДн;

13) ошибка ввода пароля пользователя ИСПДн;

14) изменение пароля пользователя ИСПДн;

15) сброс пароля пользователя ИСПДн;

16) изменение прав доступа к защищаемым объектам ИСПДн;

17) удаление (очистка) журнала безопасности ИСПДн;

18) невозможность (ошибка) записи в журнал безопасности;

19) нарушения (попытки) политик доступа;

20) предупреждения или отказы ИСПДн и их компонентов;

21) изменения (попытки) параметров настройки системы безопасности, а также мер и средств контроля и управления.

77. В ИСПДн, где установлены средства защиты информации (далее - СЗИ), проверка электронного журнала производится в соответствии с прилагаемым к указанным СЗИ Руководством.

В ИСПДн, где защита от несанкционированного доступа реализована организационно-распорядительными мероприятиями, проверка электронного журнала обращений проводится внутренними средствами операционной системы.

78. В общем случае записи журналов безопасности должны храниться не менее 3 месяцев, причем в оперативном доступе (онлайн) - не менее 2 недель. Для различных событий ИСПДн сроки хранения соответствующих записей могут отличаться.

79. Состав и содержание информации о событиях безопасности, включаемой в записи регистрации о событиях безопасности, должны, как минимум, обеспечить следующие возможности по идентификации:

1) даты и времени события безопасности;

2) типа и описания события безопасности;

3) субъекта доступа (пользователь и (или) процесс), связанного с данным событием безопасности;

4) объекта доступа (защищаемый ресурс, внешнее устройство и другие);

5) способа, средства доступа, используемых технологий доступа;

6) результата события безопасности (успешно или неуспешно).

80. Если в ходе периодических, плановых или внезапных проверок ИСПДн выявлены случаи НСД к информации конфиденциального характера, то вступают в силу пункты 65, 66 настоящего Положения.

XII. Правила антивирусной защиты

81. К использованию на АРМ допускаются только лицензионные антивирусные средства, централизованно закупленные у разработчиков (поставщиков) указанных средств, сертифицированные ФСТЭК России.

82. Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), информация на съемных носителях (магнитных дисках, CD-ROM, другие). Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель).

83. На АРМ запрещается установка ПО, не связанного с выполнением функций, предусмотренных технологическим процессом обработки информации.

84. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках) пользователь самостоятельно (или вместе с ответственным за ИБ) должен провести внеочередной антивирусный контроль своего АРМ.

85. В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов пользователь обязан:

1) приостановить обработку данных в ИСПДн;

2) немедленно поставить в известность о факте обнаружения зараженных вирусом файлов ответственного за ИБ, владельца зараженных файлов, а также смежные отделы, использующие эти файлы в работе;

3) совместно с владельцем провести анализ зараженных вирусом файлов и выявить возможность дальнейшего их использования;

4) провести лечение или уничтожение зараженных файлов.

86. Ответственность за организацию антивирусного контроля в ИСПДн в соответствии с требованиями настоящего Положения возлагается на ответственного за ИБ.

87. Ответственность за проведение мероприятий антивирусной защиты в конкретной ИСПДн Администрации города и соблюдение требований настоящего Положения возлагается на ответственного за ИБ и всех пользователей данной ИСПДн.

XIII. Правила парольной защиты

88. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ИСПДн и контроль действий пользователей при работе с паролями возлагается на ответственного за ИБ.

89. Личные пароли должны выбираться пользователями самостоятельно с учетом следующих требований:

1) пароль должен включать не менее 6 символов;

2) в числе символов пароля обязательно должны присутствовать буквы в верхнем или нижнем регистрах, цифры и (или) специальные символы (@, #, $, &, *, %, другие);

3) символы паролей для рабочих станций, на которых установлено средство защиты информации от несанкционированного доступа, должны вводиться в режиме латинской раскладки клавиатуры;

4) пароль не должен содержать в себе легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ), а также общепринятые сокращения (ЭВМ, ЛВС, USER, подобные);

5) при смене пароля новое значение должно отличаться от предыдущего;

6) пользователь не имеет права сообщать личный пароль другим лицам.

Владельцы паролей должны быть ознакомлены с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.

90. В случае возникновения нештатных ситуаций, форс-мажорных обстоятельств и подобной технологической необходимости использования имен и паролей сотрудников (исполнителей) в их отсутствие сотрудники обязаны сразу же после смены своих паролей их новые значения (вместе с именами соответствующих учетных записей) в запечатанном конверте или опечатанном пенале передавать на хранение руководителю структурного подразделения. Запечатанные конверты (пеналы) с паролями исполнителей должны храниться в недоступном месте у руководителя структурного подразделения.

91. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в течение 180 дней.

92. Удаление учетной записи пользователя в случае прекращения его полномочий (увольнение, переход на другую работу внутри предприятия и другие обстоятельства) должна производиться ответственным за ИБ немедленно после окончания последнего сеанса работы данного пользователя с системой.

93. В случае компрометации личного пароля пользователя ИСПДн должны быть немедленно предприняты меры по восстановлению парольной защиты.

94. Контроль действий пользователей при работе с паролями, соблюдение порядка их смены, хранения и использования возлагается на ответственного за ИБ.

XIV. Правила обновления общесистемного и прикладного программного обеспечения, технического обслуживания ИСПДн

95. Все изменения конфигураций технических и программных средств АРМ должны производиться только на основании заявки ответственного за эксплуатацию конкретного ИСПДн.

96. Право внесения изменений в конфигурацию аппаратно-программных средств защищенных АРМ предоставляется:

- в отношении системных и прикладных программных средств - ответственному за ИБ;

- в отношении аппаратных средств, а также в отношении программно-аппаратных средств защиты - уполномоченным сотрудникам органа по аттестации ИСПДн.

97. Изменение конфигурации аппаратно-программных средств АРМ кем-либо, кроме вышеперечисленных уполномоченных сотрудников и подразделений, запрещено.

98. Процедура внесения изменений в конфигурацию системных и прикладных программных средств АРМ инициируется заявкой ответственного за эксплуатацию ИСПДн.

99. В заявке могут указываться следующие виды необходимых изменений в составе аппаратных и программных средств АРМ подразделения:

1) установка (развертывание) на АРМ программных средств, необходимых для решения определенной задачи (добавление возможности решения данной задачи) в ИСПДн;

2) обновление (замена) на АРМ программных средств, необходимых для решения определенной задачи (обновление версий, используемых для решения определенной задачи программ);

3) удаление с АРМ программных средств, использовавшихся для решения определенной задачи (исключение возможности решения данной задачи на АРМ).

100. Заявку ответственного за эксплуатацию ИСПДн, в которой требуется произвести изменения конфигурации, рассматривает ответственный за ИБ и подтверждает или не подтверждает производственную необходимость проведения указанных в заявке изменений для непосредственного исполнения работ по внесению изменений в конфигурацию АРМ, указанного в заявке ИСПДн.

101. Подготовка обновления, модификации общесистемного и прикладного ПО ИСПДн, тестирование, стендовые испытания (при необходимости) и передача исходных текстов, документации и дистрибутивных носителей программ в архив дистрибутивов установленного ПО, внесение необходимых изменений в настройки средств защиты от НСД и средств контроля целостности файлов на АРМ (обновление) и удаление системных и прикладных программных средств производятся уполномоченными специалистами. Работы производятся в присутствии ответственного за эксплуатацию данной ИСПДн.

102. Установка или обновление подсистем ИСПДн должны проводиться в строгом соответствии с технологией проведения модификаций программных комплексов данных подсистем.

103. Установка и обновление ПО на АРМ производится только с оригинальных лицензионных дистрибутивных носителей информации, полученных установленным порядком, прикладного ПО - с эталонных копий программных средств, полученных из архива дистрибутивов установленного ПО.

104. Все добавляемые программные и аппаратные компоненты должны быть предварительно установленным порядком проверены на работоспособность и отсутствие не предусмотренных разработчиком программных и аппаратных компонентов функций.

105. После установки (обновления) ПО ответственный за ИБ должен настроить средства управления доступом к компонентам АРМ, проверить работоспособность ПО, правильность их настройки и произвести соответствующую запись в журнале учета нештатных ситуаций АРМ, выполнения профилактических работ, установки и модификации программных средств АРМ (приложение 5 к настоящему Положению), сделать отметку о выполнении (на обратной стороне заявки) в Техническом паспорте.

106. При возникновении ситуаций, требующих передачи АРМ в ремонт, ответственный за его эксплуатацию докладывает об этом ответственному за ИБ, который в свою очередь связывается с сотрудниками органа по аттестации при наличии "Аттестата соответствия" и предпринимает необходимые меры для затирания защищаемой информации, которая хранилась на дисках компьютера. Оригиналы заявок (документов), на основании которых производились изменения в состав программных средств АРМ с отметками о внесении изменений, должны храниться вместе с техническим паспортом на ИСПДн и журналом учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств АРМ у ответственного за ИБ.

107. Факт уничтожения данных, находившихся на диске компьютера, оформляется актом за подписью ответственного за ИБ и сотрудника, ответственного за эксплуатацию данной ИСПДн.

XV. Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации

108. Порядок работы с техническими СЗИ определен в соответствующих инструкциях, руководстве по настройке и использованию СЗИ, обязательных для исполнения как сотрудниками, обрабатывающими конфиденциальную информацию, так и администратором безопасности ИСПДн.

109. Право проверки соблюдения условий использования средств защиты информации имеет ответственный за ИБ.

110. Пользователю ИСПДн категорически запрещается обработка конфиденциальной информации с отключенными СЗИ.

111. Ответственному за ИБ запрещается менять настройки программно-аппаратных СЗИ, предустановленные сотрудником органа по аттестации в ходе настройки системы обеспечения безопасности персональных данных при аттестации ИСПДн.

112. Если в ходе периодических, плановых или внезапных проверок ИСПДн выявлено нарушение требования пункта 103 настоящего Положения, то вступают в силу пункты 64, 65 настоящего Положения.

113. При контроле работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации осуществляется:

1) контроль работоспособности (неотключения) программного обеспечения и средств защиты информации;

2) проверка правильности функционирования (тестирование на тестовых данных, приводящих к известному результату) программного обеспечения и средств защиты информации, объем и содержание которой определяется администратором ИБ;

3) контроль соответствия настроек программного обеспечения и средств защиты информации параметрам настройки, приведенным в эксплуатационной документации на систему защиты информации и средства защиты информации;

4) восстановление работоспособности (правильности функционирования) и параметров настройки программного обеспечения и средств защиты информации (при необходимости), в том числе с использованием резервных копий и (или) дистрибутивов.

XVI. Порядок охраны и допуска посторонних лиц в защищаемые помещения

114. Вскрытие и закрытие защищаемых помещений осуществляется сотрудниками, работающими в данных помещениях.

115. При закрытии защищаемых помещений и сдачи их под охрану сотрудники, ответственные за помещения, проверяют закрытие окон, выключают освещение, бытовые приборы, оргтехнику и проверяют противопожарное состояние помещения, а документы и носители информации, на которых содержится конфиденциальная информация, помещают для хранения в опечатываемый сейф (металлический шкаф).

116. Защищаемое помещение сдается под охрану следующим образом:

1) опечатывается помещение и пенал с ключами;

2) получается подтверждение с поста охраны о включении сигнализации и постановке помещения под охранную сигнализацию;

3) факт опечатывания помещения подтверждается охранником;

4) сдается помещение и пенал с ключами под подпись с указанием даты и времени сдачи под охрану.

117. Сотрудник, имеющий право на вскрытие защищаемых помещений:

1) получает на посту охраны пенал с ключами от помещения под подпись в журнале приема (сдачи) под охрану защищаемых помещений и ключей от них с указанием фамилии, даты и времени;

2) производит запись в журнале о вскрытии помещения с указанием фамилии и времени;

3) проверяет оттиск печати на двери помещения и исправность запоров;

4) вскрывает помещение.

118. При обнаружении нарушений целостности оттисков печатей, повреждения запоров или наличия других признаков, указывающих на возможное проникновение в помещение посторонних лиц, помещение не вскрывается, а составляется акт в присутствии охранника. О происшествии немедленно сообщается ответственному за ИБ.

Одновременно принимаются меры по охране места происшествия, и до прибытия ответственного за ИБ в помещение никто не допускается.

119. Ответственный за ИБ организует проверку АРМ, ИСПДн на предмет несанкционированного доступа к конфиденциальной информации и наличия документов и машинных носителей информации, о чем докладывается непосредственно заместителю Главы города, ответственному за организацию обработки персональных данных.

120. При срабатывании охранной сигнализации в защищаемых помещениях в нерабочее время сотрудник охраны сообщает о случившемся ответственному за помещение. Помещения вскрывать запрещается.

121. Защищаемые помещения вскрываются ответственным за помещение в присутствии сотрудника охраны с составлением акта.

122. При передаче дежурства, если помещение в течение дня не вскрывалось, а также в выходные и праздничные дни принимающая дежурство смена поста охраны проверяет целостность печатей на дверях с записью в журнале приема и сдачи дежурства и журнале приема (сдачи) под охрану защищаемых помещений и ключей от них.

123. В соответствии с требованиями настоящего Положения при обработке конфиденциальной информации в ИСПДн исключить неконтролируемое пребывание посторонних лиц в пределах границ контролируемой зоны ИСПДн, определенной Техническим паспортом.

XVII. Требования по учёту машинных носителей персональных данных

124. На всех объектах информатизации Администрации города должен быть обеспечен учет машинных носителей информации, используемых для хранения и обработки персональных данных.

125. Обязательному учету подлежат:

1) съемные машинные носители информации (флэш-накопители, внешние накопители на жестких дисках и иные устройства);

2) машинные носители информации, встроенные в средства вычислительной техники (накопители на жестких дисках);

3) портативные вычислительные устройства со встроенными носителями информации (ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные аналогичные по функциональности устройства).

126. Учет машинных носителей включает присвоение им регистрационных номеров. Для идентификации машинных носителей информации могут использоваться серийные номера, присвоенные производителями, номера инвентарного учета, в том числе инвентарные номера технических средств, имеющих встроенные носители информации, и иные номера. Регистрационный номер наносится на несъемную часть корпуса носителя информации.

127. Учет всех типов машинных носителей информации или, при невозможности, целиком портативных вычислительных устройств, ведется в журнале учета машинных носителей информации и портативных вычислительных устройств.

128. Учёт носителей информации, использующихся в ИСПДн, контроль правил хранения носителей информации и ведение журнала возлагается на ответственного за ИБ.

129. При регистрации носителей информации (до первой записи на них персональных данных) должна указываться следующая информация:

1) ограничительная пометка доступа ("Персональные данные (ПДн)" или "Для служебного пользования (ДСП)");

2) ответственный за использование или владелец носителя информации;

3) идентификатор носителя информации.

130. Должен быть организован регулярный контроль наличия учтенных носителей информации.

131. Все персональные данные и их носители уничтожаются в порядке, предусмотренном для уничтожения документов с пометкой "ДСП", по достижении цели, для которой они собирались и использовались, если иное не установлено действующим законодательством Российской Федерации.

XVIII. Порядок обработки персональных данных без использования средств автоматизации

132. Порядок обработки персональных данных, осуществляемой без средств автоматизации, утверждается организационно-распорядительным документом Администрации города.

Временно исполняющий обязанности Заместителя Главы города по экономическому развитию и инвестициям

В.В. Смирнов