Приложение 7. Регламент работы ответственного за организацию обработки персональных данных в Министерстве образования и науки Республики Северная Осетия-Алания. Приказ Министерства образования и науки Республики Северная Осетия-Алания от 30.04.2021 N 401 "О мерах, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" в Министерстве образования и науки Республики Северная Осетия-Алания"

Приложение 7

к приказу Министерства

образования и науки

Республики Северная Осетия-Алания

от 30.04.2021 г. N 401

Регламент
работы ответственного за организацию обработки персональных данных в Министерстве образования и науки Республики Северная Осетия-Алания

1. Общие положения

1.1. Ответственный за организацию обработки персональных данных (далее - ответственный) является государственным гражданским служащим Министерства образования и науки Республики Северная Осетия-Алания (далее - Министерство), относящимся к высшей и (или) главной группе должностей категории "руководители".

1.2. Ответственный назначается приказом Министра образования и науки Республики Северная Осетия-Алания (далее - Министр).

1.3. Ответственный подчиняется непосредственно Министру и проводит мероприятия по защите персональных данных в интересах Министерства.

1.4. Ответственный в своей деятельности руководствуется:

- Конституцией Российской Федерации;

- Федеральными законами Российской Федерации и нормативными правовыми актами органов государственной власти по вопросам защиты персональных данных;

- государственными стандартами Российской Федерации в области защиты информации;

- руководящими и нормативными правовыми актами Федеральной службы по техническому и экспортному контролю России;

- локальными нормативными актами Министерства по защите персональных данных;

- настоящим должностным регламентом.

2. Задачи и функции ответственного за организацию обработки персональных данных в Министерстве

2.1. На ответственного за организацию обработки персональных данных в Министерстве возложены следующие задачи:

2.1.1. Разработка, внедрение и актуализация локальных актов по вопросам обработки персональных данных в Министерстве.

2.1.2. Организация внутреннего контроля за соблюдением должностными лицами Министерства норм законодательства Российской Федерации по обработке персональных данных, в том числе требований, предъявляемых к защите персональных данных.

2.1.3. Доведение до сведения служащих Министерства, непосредственно осуществляющих обработку персональных данных, положений законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных, и проведение обучения указанных работников.

2.1.4. Организация приема и обработки обращений и запросов субъектов персональных данных или их представителей и осуществление контроля за приемом и обработкой таких обращений и запросов в Министерстве.

2.1.5. Организация комплексной защиты объектов информатизации Министерства, а именно:

информационных ресурсов, представленных в виде документированной информации на магнитных, оптических носителях, информационных массивов и баз данных, содержащих персональные данные в Министерстве;

средств и систем информатизации (средств вычислительной техники, информационно-вычислительных комплексов, локальных вычислительных сетей и корпоративных информационных систем), программных средств (операционных систем, систем управления базами данных, другого общесистемного и прикладного программного обеспечения), систем связи и передачи данных используемых для реализации процессов ведения деятельности, обработки информации, содержащей персональные данные в Министерстве.

2.1.6. Организация защиты персональных данных государственных гражданских служащих и работников Министерства.

2.1.7. Организация контроля состояния и проведение оценки эффективности системы обеспечения информационной безопасности персональных данных, а также реализация мер по ее совершенствованию в Министерстве.

2.2. Для решения поставленных задач ответственный за организацию обработки персональных данных в Министерстве осуществляет следующие функции:

2.2.1. Разработка и внедрение правовых, организационных и технических мер по комплексному обеспечению безопасности персональных данных в Министерстве.

2.2.2. Обеспечение соблюдения режима конфиденциальности при обработке персональных данных в Министерстве.

2.2.3. Планирование работы по защите персональных данных в Министерстве.

2.2.4. Контроль за выполнением мер по защите персональных данных в Министерстве, анализ материалов контроля, выявление недостатков и нарушений. Разработка и реализация мер по их устранению.

2.2.5. Контроль за выполнением плановых заданий, договорных обязательств, а также сроков, полноты и качества работ по защите персональных данных, выполняемых контрагентами.

2.2.6. Организация доступа государственных гражданских служащих Министерства к персональным данным в соответствии с возложенными на них служебными обязанностями.

2.2.7. Обеспечение соответствия проводимых работ по защите персональных данных технике безопасности, правилам и нормам охраны труда.

2.2.8. Проведение оценки возможного ущерба, который может быть причинен субъектам персональных данных в случае нарушения законодательства по защите персональных данных в Министерстве.

2.2.9. Актуализация организационно-распорядительной документации Министерства по защите персональных данных при изменении существующих и выходе новых нормативных правовых актов по вопросам обработки персональных данных.

3. Права ответственного за организацию обработки персональных данных

3.1. Ответственный за обработку персональных данных вправе:

3.1.1. Иметь доступ к информации, касающейся обработки персональных данных в Министерстве и включающей:

- цели обработки персональных данных;

- категории обрабатываемых персональных данных;

- категории субъектов персональных данных, персональные данные;

- которых обрабатываются;

- правовые основания обработки персональных данных;

- перечень действий с персональными данными, общее описание используемых в Министерстве способов обработки персональных данных;

- описание мер, предусмотренных статьями 18.1 и 19 Федерального закона "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

- дату начала обработки персональных данных;

- срок или условия прекращения обработки персональных данных;

- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

3.1.2. Осуществлять контроль за деятельностью структурных подразделений Министерства по выполнению ими требований по защите персональных данных.

3.1.3. Принимать необходимые меры при обнаружении несанкционированного доступа к персональным данным, как работниками Министерства, так и третьими лицами, и докладывать о принятых мерах Министру с предоставлением информации о субъектах, нарушивших режим доступа.

3.1.4. Давать структурным подразделениям Министерства, а также отдельным специалистам Министерства обязательные для исполнения указания по вопросам, входящим в компетенцию ответственного.

3.1.5. Запрашивать и получать от всех структурных подразделений Министерства сведения, справочные и другие материалы, необходимые для осуществления деятельности ответственного.

3.1.6. Готовить и вносить предложения на проведение работ по защите персональных данных; о привлечении к проведению работ по оценке эффективности защиты персональных данных на объектах Министерства (на договорной основе) учреждений и организаций, имеющих лицензию на соответствующий вид деятельности; о закупке необходимых технических средств защиты и другой спецтехники, имеющих в обязательном порядке сертификат качества.

3.1.7. Проходить обучение по защите персональных данных в учебных центрах и курсах повышения квалификации.

3.1.8. Составлять акты и другую техническую документацию о степени защищенности объектов информатизации.

3.1.9. Вносить Министру предложения о наказании отдельных сотрудников Министерства, имеющих санкционированный доступ к персональным данными, допустивших серьезные нарушения при обработке персональных данных.

3.1.10. Представлять интересы Министерства при осуществлении государственного контроля и надзора за обработкой персональных данных уполномоченным органом по защите прав субъектов персональных данных.

4. Обязанности ответственного за организацию обработки персональных данных в Министерстве

4.1. Знать и выполнять требования действующих нормативных правовых актов в области защиты персональных данных, а также внутренних инструкций, распоряжений, регламентирующих порядок действий по защите персональных данных.

4.2. Участвовать в установке и настройке средств защиты, в контрольных и тестовых испытаниях и проверках элементов информационных систем персональных данных (далее - ИСПДн), вести их учет.

4.3. Участвовать в приемке новых программных средств.

4.4. Обеспечить доступ к защищаемым персональным данным пользователям ИСПДн согласно их правам, в соответствии с матрицей доступа.

4.5. Уточнять в установленном порядке обязанности пользователей ИСПДн по обработке объектов защиты.

4.6. Вести контроль над процессом осуществления резервного копирования объектов защиты.

4.7. Анализировать состояние защиты ИСПДн и их отдельных подсистем.

4.8. Контролировать неизменность состояния средств защиты, их параметров и режимов защиты.

4.9. Контролировать физическую сохранность средств и оборудования ИСПДн.

4.10. Контролировать исполнение пользователями парольной политики.

4.11. Контролировать работу пользователей в сетях общего пользования и (или) международного обмена.

4.12. Своевременно анализировать журнал учета событий, регистрируемых средствами защиты, с целью выявления возможных нарушений.

4.13. Не допускать установку, использование, хранение и размножение в ИСПДн программных средств, не связанных с выполнением функциональных задач.

4.14. Не допускать к работе в ИСПДн посторонних лиц.

4.15. Осуществлять периодические контрольные проверки рабочих станций и тестирование правильности функционирования средств защиты ИСПДн.

4.16. Представлять по требованию Министра отчет о состоянии защиты ИСПДн и о нештатных ситуациях на объектах ИСПДн и допущенных пользователями нарушениях установленных требований по защите информации.

4.17. В случае отказа работоспособности технических средств и программного обеспечения ИСПДн, в том числе средств защиты, принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности.

4.18. Принимать меры по реагированию в случае возникновения внештатных ситуаций и аварийных ситуаций с целью ликвидации их последствий.

5. Ответственность

Ответственный за обработку персональных данных несет ответственность за надлежащее и своевременное выполнение возложенных задач и функций по организации обработки персональных данных в Министерстве в соответствии с положениями законодательства Российской Федерации в области персональных данных.

6. Показатели эффективности и результативности профессиональной деятельности ответственного за обработку персональных данных

Количество замечаний (письменных и устных), полученных Министерством из федеральных органов исполнительной власти, их территориальных подразделений, правоохранительных органов, органов государственной и исполнительной власти Республики Северная Осетия-Алания по вопросам защиты персональных данных в Министерстве.