Постановление Главы городского округа Серпухов Московской области от 04.10.2016 N 1930 "Об утверждении Положения о политике Администрации городского округа Серпухов Московской области по обработке и защите персональных данных" (с изменениями и дополнениями)

Постановление Главы городского округа Серпухов Московской области
от 4 октября 2016 г. N 1930
"Об утверждении Положения о политике Администрации городского округа Серпухов Московской области по обработке и защите персональных данных"

В соответствии с Федеральными законами от 06.10.2003 N 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации", от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", от 09.02.2009 N 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления", Постановлениями Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и иными нормативно-правовыми актами, действующими на территории Российской Федерации, на основании Устава Муниципального образования "Городской округ Серпухов Московской области"

постановляю:

1. Утвердить Положение о политике Администрации городского округа Серпухов Московской области по обработке и защите персональных данных (прилагается).

2. МКУ "Управление по обеспечению деятельности Администрации города Серпухова" (Г.Н. Брандаусова) опубликовать (обнародовать) настоящее постановление.

3. Контроль за исполнением настоящего постановления возложить на заместителя главы Администрации А.В. Севрюгина.

Глава городского округа

А.В. Жариков

Положение
о политике Администрации городского округа Серпухов по обработке и защите персональных данных
(утв. постановлением Главы городского округа Серпухов Московской области
от 4 октября 2016 г. N 1930)

1. Общие положения

Политика Администрации городского округа Серпухов в области обработки и защиты персональных данных (далее - политика) определяет цели и задачи системы обеспечения информационной безопасности и устанавливает совокупность правил, требований и принципов в области информационной безопасности, которыми руководствуется Администрация городского округа Серпухов, включая отраслевые (функциональные) органы, в своей деятельности.

Основными целями политики являются защита обрабатываемых персональных данных и обеспечение эффективной работы всей информационно-вычислительной системы Администрации городского округа Серпухов (далее - Администрация) при осуществлении деятельности.

Общее руководство обеспечением информационной безопасности Администрации осуществляет Глава городского округа Серпухов. В отраслевых (функциональных) органах Администрации Глава городского округа Серпухов с правом юридического лица, руководство обеспечением информационной безопасности осуществляет руководитель данного подразделения.

Постоянно действующая комиссия по информационной безопасности Администрации городского округа Серпухов (далее - комиссия) организует и координирует действия сотрудников отраслевых (функциональных) органов Администрации городского округа Серпухов Московской области в вопросах защиты информации.

Контроль за соблюдением требований по информационной безопасности осуществляет ответственный по обеспечению информационной безопасности и организации обработки персональных данных в Администрации городского округа Серпухов Московской области.

Сотрудники Администрации Глава городского округа Серпухов обязаны соблюдать порядок обращения с конфиденциальными документами, ключевыми носителями и другой защищаемой информацией, соблюдать требования настоящей политики и иных документов, регламентирующих деятельность в области информационной безопасности.

Настоящая политика распространяется на все отраслевые (функциональные) органы Администрации и обязательна, к исполнению всеми ее сотрудниками.

Положения настоящей политики применимы для использования во внутренних нормативных и методических документах Администрации.

Настоящая политика является общедоступным документом, декларирующим основы деятельности Администрации при обработке персональных данных.

2. Информация об операторе, осуществляющем обработку персональных данных

2.1. Наименование: Администрация городского округа Серпухов

ИНН: 5043014695

Адрес местонахождения: г. Серпухов, ул. Советская, 88.

Почтовый адрес: 142203, г. Серпухов, ул. Советская, 88,

тел. +7 (4967) 35-01-01, факс +7 (4967) 79-01-82.

E-mail: info@serpuhov.ru. Интернет-страница: www.serpuhov.ru.

Регистрационный номер в реестре операторов персональных данных - 09-0037695, приказ N 32 от 12 февраля 2009 г.

3. Ответственный за обработку персональных данных

3.1. В соответствии со ст. 18.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" оператор назначил ответственного за организацию обработки персональных данных.

3.2. Ответственный за организацию обработки персональных данных осуществляет внутренний контроль соответствия обработки персональных данных Федеральному закону от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, требованиям к защите персональных данных, настоящей политике Администрации городского округа Серпухов и другим локальным актам.

3.3. Ответственным за организацию обработки персональных данных в Администрации городского округа Серпухов назначен главный эксперт оперативно-аналитического отдела Управления по обеспечению общественной безопасности Администрации городского округа Серпухов А.М. Мураткин, +7 (4967) 39-70-38, MAOAO16@yandex.ru.

4. Термины и определения

4.1. В настоящей политике используются следующие термины:

Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Аудит информационной безопасности администрации - процесс проверки выполнения установленных требований по обеспечению информационной безопасности. Может проводиться как самой Администрацией (внутренний аудит), так и с привлечением независимых внешних организаций (внешний аудит).

Информационная технология - совокупность правил, приемов и методов применения средств вычислительной техники для выполнения функций хранения, обработки, передачи и использования производственной, финансовой, аналитической или иной информации, связанной с функционированием Администрации.

Информационный технологический процесс - часть производственного технологического процесса, содержащая операции над информацией, необходимой для функционирования Администрации.

Информационная безопасность Администрации - состояние защищенности информационных активов в условиях угроз в информационной сфере. Защищенность достигается обеспечением совокупности свойств информационной безопасности - конфиденциальностью, целостностью, доступностью информационных активов и инфраструктуры Администрации.

Информационные активы Администрации - активы Администрации городского округа Серпухов, имеющие отношение к его информационной сфере и представляющие ценность для нее с точки зрения достижения уставных целей.

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.

Инцидент информационной безопасности - действительное, предпринимаемое или вероятное нарушение информационной безопасности, приводящее к нарушению доступности, конфиденциальности и целостности информационных активов Администрации.

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств в соответствии с законодательством.

Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя, если иное не предусмотрено.

Мониторинг информационной безопасности Администрации - постоянное наблюдение за объектами, влияющими на обеспечение информационной безопасности, сбор, анализ и обобщение результатов наблюдения под заданные цели. Объектом мониторинга в зависимости от целей может быть автоматизированная система или ее часть, информационные технологические процессы, информационные услуги и прочее.

Несанкционированный доступ к информации - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем.

Политика Администрации городского округа Серпухов в области обработки и защиты персональных данных - комплекс взаимоувязанных руководящих принципов и разработанных на их основе правил, процедур и практических приемов, принятых Администрацией для обеспечения информационной безопасности.

Риск - мера, учитывающая вероятность реализации угрозы и величину потерь (ущерба) от реализации этой угрозы.

Роль - заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом и объектом Администрации. К субъектам относятся сотрудники Администрации, посетители, а также инициируемые от их имени действия над объектами. Объектами являются аппаратные и программные средства, информационные ресурсы, услуги и процессы, составляющие автоматизированную систему.

Доступ к АС - процедура регистрации (создания учетной записи пользователя) для сотрудника Администрации и предоставления ему (или изменения его) прав доступа к ресурсам АС.

Режим конфиденциальности информации - организационно-технические мероприятия по обеспечению конфиденциальности информации (защите информации), включающие в себя:

- определение перечня информации, составляющей конфиденциальную информацию;

- ограничение доступа к конфиденциальной информации путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

- учет лиц, получивших доступ к конфиденциальной информации, и(или) лиц, которым такая информация была предоставлена или передана;

- регулирование отношений по использованию конфиденциальной информации работниками на основании трудовых договоров, контрагентами на основании гражданско-правовых договоров и соглашений, работниками со срочными трудовыми договорам и проходящих в Администрации практику (стажировку).

Средство криптографической защиты информации - средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности.

Угроза - опасность, предполагающая возможность потерь (ущерба).

Управление информационной безопасностью Администрации - совокупность целенаправленных действий, осуществляемых в рамках настоящей политики в условиях угроз в информационной сфере, включающая в себя оценку состояния объекта управления (например, оценку и управление рисками), выбор управляющих воздействий и их реализацию (планирование, внедрение и обслуживание защитных мер - защита информации).

Уязвимость - недостатки или слабые места информационных активов, которые могут привести к нарушению информационной безопасности Администрации при реализации угроз в информационной сфере.

Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

5. Обозначения и сокращения

АСП - аналог собственноручной подписи;	АС - автоматизированная система; ИС - информационная система;
ИБ - информационная безопасность; ПДн - персональные данные; ИСПДн - информационная система персональных данных;	СКЗИ - средство криптографической защиты информации; СУБД - система управления базами данных;
ЛВС - локальная вычислительная сеть;	ЭВМ - электронная вычислительная машина;
НСД - несанкционированный доступ;	ЭП - электронная подпись.

6. Нормативные ссылки

6.1. Настоящая политика разработана с учетом следующих документов:

- Федеральный закон от 6 октября 2003 г. N 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации";

- Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и защите информации";

- Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

- Федеральный закон от 9 февраля 2009 г. N 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления";

- постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

- постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

- постановление Правительства Российской Федерации от 01 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

- приказ Федеральной службы по техническому и экспертному контролю от 18 февраля 2013 г. N 21 "Об утверждении состава и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

- устав Муниципального образования "Городской округ Серпухов Московской области".

7. Основные принципы обеспечения ИБ

Основными принципами обеспечения ИБ являются:

7.1. Постоянный и всесторонний анализ АС и информационных технологий с целью выявления уязвимостей информационных активов Администрации. Защита от угроз, исходящих от противоправных действий, уменьшение рисков и снижение потенциального вреда от аварий, непреднамеренных ошибочных действий персонала, технических сбоев, неправильных технологических и организационных решений в процессах обработки, передачи и хранения информации и обеспечение нормального функционирования технологических процессов.

7.2. Своевременное обнаружение проблем, потенциально способных повлиять на ИБ Администрации, корректировка моделей угроз. Необходимо учитывать, что с течением времени меняется характер угроз, поэтому следует своевременно, используя данные мониторинга и аудита, обновлять модели угроз.

7.3. Разработка и внедрение защитных мер, адекватных характеру выявленных угроз, с учетом затрат на их реализацию и совместимости этих мер с действующим технологическим процессом. При этом меры, принимаемые для обеспечения ИБ, не должны усложнять деятельность Администрации, а также повышать трудоемкость технологических процессов обработки информации и создавать дополнительные сложности.

7.4. Контроль эффективности принимаемых защитных мер.

7.5. Персонификация и адекватное разделение ролей и ответственности между работниками Администрации, исходя из принципа персональной и единоличной ответственности за совершаемые операции.

8. Цели и задачи информационной безопасности

8.1. Основными целями ИБ Администрации являются:

- повышение стабильности функционирования Администрации в целом;

- достижение адекватности мер по защите от реальных угроз ИБ;

- предотвращение или снижение ущерба от инцидентов ИБ.

8.2. Основными задачами деятельности по обеспечению ИБ Администрации являются:

- выполнение требований действующего законодательства Российской Федерации по обеспечению ИБ;

- контроль выполнения установленных требований по обеспечению ИБ;

- повышение эффективности мероприятий по обеспечению и поддержанию ИБ с учетом требований системы менеджмента качества;

- разработка и совершенствование организационно-распорядительных документов Администрации в области обеспечения ИБ;

- выявление, оценка и прогнозирование угроз ИБ;

- выработка рекомендаций по устранению уязвимостей;

- организация антивирусной защиты информационных активов;

- защита информации от НСД и утечки по техническим каналам связи.

9. Объекты защиты, виды защищаемой информации

9.1. Объектами защиты информации Администрации являются:

- персональные данные;

- управленческий процесс;

- межведомственное взаимодействие;

- финансово-экономическая информация;

- информационный технологический процесс;

- различного рода носители защищаемой информации, в том числе информационные ресурсы, документы на бумажных и машинных носителях, определенные как защищаемые.

9.2. Защищаемая информация делится на следующие виды:

- информация, составляющая коммерческую тайну (научно-техническая, технологическая, производственная, финансово-экономическая или иная информация, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны);

- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

- иная информация, не относящаяся ни к одному из указанных выше видов, которая определена как защищаемая в соответствии с нормативно-правовыми актами Российской Федерации.

Защищаемая информация определяется "Перечнем информации, содержащей сведения конфиденциального характера" Администрации.

10. Меры по обеспечению безопасности персональных данных при их обработке

10.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:

10.1.1. Назначением ответственного за организацию обработки персональных данных.

10.1.2. Утверждением Главой городского округа Серпухов локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

10.1.3. Осуществлением внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами.

10.1.4. Ознакомлением сотрудников Администрации, непосредственно осуществляющих обработку персональных данных, с требованиями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и обучением указанных работников.

10.1.5. Выполнением требований, установленных постановлением Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" при обработке персональных данных, осуществляемой без использования средств автоматизации.

10.1.6. Применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

10.1.7. Учетом машинных носителей персональных данных.

10.1.8. Выявлением фактов несанкционированного доступа к персональным данным и принятием мер направленных на пресечение аналогичного доступа.

10.1.9. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

10.1.10. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых в информационной системе персональных данных.

11. Права субъектов персональных данных

11.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных, а именно:

- подтверждение факта обработки персональных данных Администрацией;

- правовые основания и цели обработки персональных данных;

- цели и применяемые Администрацией способы обработки персональных данных;

- сведения о лицах (за исключением работников Администрации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Администрацией или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;

- информацию об осуществленной или предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Администрации, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.

11.2. Субъект персональных данных вправе требовать от оператора, который их обрабатывает, уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть призваны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

11.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

11.4. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к оператору с жалобой на нарушение данной политики. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

Жалобы и заявления по поводу соблюдения требований обработки данных рассматриваются в течение тридцати рабочих дней с момента поступления.

11.5. Субъект персональных данных вправе обжаловать действия или бездействие оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

11.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

12. Персональные данные обрабатываемые оператором

12.1. В рамках исполнения своих полномочий Администрацией обрабатываются персональные данные:

- в ходе обращений граждан в Администрацию;

- в ходе организации предоставления муниципальных услуг;

- в ходе выполнения иных функций Администрации направленных на удовлетворения потребностей местного населения.

При этом обрабатываются персональные данные граждан, официальных представителей юридических лиц, индивидуальных предпринимателей, обратившихся в Администрацию.

Кроме того, обработка персональных данных в Администрации осуществляется в ходе трудовых и иных непосредственно связанных с ними отношений, в которых Администрация выступает в качестве работодателя, в связи с реализацией Администрацией своих прав и обязанностей как юридического лица.

12.2. Администрация вправе:

12.2.1. Отстаивать свои интересы в суде.

12.2.2. Предоставлять персональные данные субъектов государственным, муниципальным и иным уполномоченным органам, и организациям, если это предусмотрено действующим законодательством Российской Федерации.

12.2.3. Отказывать в предоставлении персональных данных в случаях предусмотренных законодательством Российской Федерации.

12.2.4. Обрабатывать персональные данные субъекта без его согласия, в случаях предусмотренных законодательством Российской Федерации

13. Требования по обеспечению информационной безопасности

13.1. Общие требования по обеспечению ИБ формулируются для следующих областей:

- назначение и распределение ролей и доверия к сотрудникам;

- стадия жизненного цикла АС;

- эксплуатация АС;

- защита информационных технологических процессов;

- защита от аварийных сбоев в электроснабжении и телекоммуникационных каналах связи.

13.2. Требования по обеспечению ИБ при определении доступа и обеспечении доверия к сотрудникам Администрации:

13.2.1. Для эффективного выполнения целей Администрации и задач по управлению информационными системами определяются соответствующий доступ сотрудников Администрации. Доступ определяются исходя из задач, функциональных и процедурных требований, и обеспечиваются соответствующими ресурсами, а также персонифицируются с установлением ответственности за их исполнение. Ответственность фиксируется в должностных инструкциях.

13.2.2. С целью снижения рисков нарушения ИБ не рекомендуется в рамках одной роли совмещать следующие функции:

- разработки и сопровождения системы или программного обеспечения;

- разработки и эксплуатации системы или программного обеспечения;

- сопровождения и эксплуатации системы или программного обеспечения;

- администратора системы и администратора ИБ системы;

- выполнения операций в системе и контроля их выполнения.

13.2.3. Организация и координация действий сотрудников Администрации направленных на исполнение требований ИБ осуществляется постоянно действующей комиссией по информационной безопасности Администрации городского округа Серпухов Московской области.

13.2.4. Сотрудники Администрации, а также лица, принимаемые на работу по срочным трудовым договорам и для прохождения практики (стажировки), подписывают обязательство о неразглашении конфиденциальной информации.

13.2.5. Компетентность персонала Администрации в области обеспечения ИБ достигается с помощью обучения правилам безопасной (с точки зрения ИБ) работы, изучения соответствующих регламентирующих документов, осведомленности сотрудников об источниках потенциальных угроз и уязвимостях, а также периодических проверок его знаний и навыков.

13.2.6. Обязанности сотрудников по выполнению требований ИБ включаются в должностные инструкции.

13.3. Требования по обеспечению ИБ АС администрации на стадиях жизненного цикла:

13.3.1. ИБ АС должна обеспечиваться на всех стадиях жизненного цикла АС, автоматизирующих технологические и управленческие процессы Администрации, с учетом всех сторон, вовлеченных в процессы жизненного цикла АС.

13.3.2. Ввод в действие и снятие с эксплуатации СКЗИ, средств защиты от НСД АС осуществляется при участии работников ответственных за ИБ.

13.4. Требования по обеспечению ИБ при эксплуатации АС:

13.4.1. Разграничение прав доступа ролей пользователей;

13.4.2. Соблюдение требований документов по парольной, антивирусной защите и резервному копированию;

13.4.3. Использование в составе АС только сертифицированных или разрешенных к применению средств защиты информации.

13.4.4. Соблюдение организационно-технической документации АС;

13.4.5. Соблюдение требований регламента использования ресурсов глобальной сети Интернет в Администрации городского округа Серпухов Московской области.

13.4.6. Соблюдение документов, описывающих порядок применения СКЗИ в технологических процессах Администрации.

13.5. Требования по обеспечению ИБ информационных технологических процессов Администрации:

Система обеспечения ИБ информационного технологического процесса Администрации строится в соответствии с требованиями пунктов 11.2 - 11.4 настоящей Политики и иных нормативных документов по вопросам ИБ.

13.5.1. Информационный технологический процесс Администрации определяется в положениях, распоряжениях и других нормативно-методических документах.

13.5.2. Сотрудники Администрации, в том числе администраторы АС и администраторы ИБ, не должны обладать всей полнотой полномочий для бесконтрольного создания, уничтожения и изменения информации, а также проведения операций по изменению состояния записей в базах данных.

13.5.3. При работе с информацией должны проводиться контроль целостности данной информации.

13.5.4. Обязанности по администрированию доступа пользователей к информации, передаваемой по электронным каналам связи, возлагаются на администраторов соответствующих ИС с отражением этих функций в их должностных инструкциях.

13.5.5. Комплекс мер по обеспечению ИБ технологического процесса администрации должен предусматривать:

- защиту информации от искажения, фальсификации, переадресации, несанкционированного доступа и (или) уничтожения;

- минимально необходимый, гарантированный доступ работника администрации только к тем ресурсам информационного технологического процесса, которые необходимы ему для исполнения служебных обязанностей или реализации прав, предусмотренных технологией обработки информации;

- контроль исполнения установленной технологии подготовки, обработки, передачи и хранения информации;

- восстановление информации в случае ее умышленного или случайного разрушения (искажения) или выхода из строя средств вычислительной техники;

- гарантированную доставку сообщений администрации информационного обмена.

14. Общие требования по обработке персональных данных

14.1. Администрацией должен быть определен и документально зафиксирован перечень ИСПДн.

14.2. Для каждой ИСПДн администрации должны быть определены и документально зафиксированы:

- цель обработки персональных данных в ИСПДн;

- объем и содержание персональных данных, обрабатываемых в ИСПДн;

- перечень действий с персональными данными и способы обработки персональных данных в ИСПДн.

Объем и содержание персональных данных, а также перечень действий и способы обработки персональных данных должны соответствовать действующему законодательству Российской Федерации.

14.3. Информационные технологические процессы, в рамках которых обрабатываются персональные данные в ИСПДн, должны быть документированы.

14.4. В Администрации должен быть определен и документально зафиксирован перечень (список) работников, осуществляющих обработку персональных данных в ИСПДн, либо имеющих доступ к персональным данным.

Доступ работников к персональным данным и обработка персональных данных работниками администрации должны осуществляться только для выполнения их должностных обязанностей.

14.5. Сотрудники администрации, осуществляющие обработку персональных данных в ИСПДн, должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также должны быть ознакомлены под роспись со всей совокупностью требований по обработке и обеспечению безопасности персональных данных в части касающихся их должностных обязанностей.

14.6. В Администрации должен быть определен и документально зафиксирован порядок доступа работников в помещения, в которых ведется обработка персональных данных.

14.7. Администрацией должен быть определен и документально зафиксирован порядок хранения материальных носителей персональных данных, устанавливающий:

- места хранения материальных носителей персональных данных;

- требования по обеспечению безопасности персональных данных;

- работников, ответственных за реализацию требований по обеспечению безопасности персональных данных;

- порядок контроля выполнения требований по обеспечению безопасности персональных данных.

15. Управление информационной безопасностью, функции по обеспечению ИБ

15.1. Управление информационной безопасностью Администрации включает в себя:

- актуализацию настоящей политики;

- разработку нормативных и методических документов обеспечения ИБ;

- обеспечение штатного функционирования комплекса средств ИБ Администрации;

- осуществление контроля (мониторинга) функционирования системы ИБ;

- обучение с целью поддержки (повышения) квалификации сотрудников Администрации;

- оценку рисков, связанных с нарушениями ИБ.

15.2. Основными функциями по обеспечению ИБ являются:

- разработка технических, организационных и административных планов реализации политики ИБ;

- проведение единой технической политики, организация и координация работ по защите информации;

- участие в согласовании проектов всех внутренних документов, затрагивающих вопросы безопасности технологий, используемых в Администрации;

- подготовка рекомендаций по выбору средств защиты информации;

- администрирование средств защиты информации в части обеспечения работоспособности прикладного программного обеспечения и их обновления;

- осуществление методического руководства отраслевыми (функциональными) органами Администрации по вопросам ИБ;

- участие в обеспечении бесперебойной работы АС и восстановлении её работы после сбоев;

- обучение пользователей безопасной работе с информационными активами;

- контроль соблюдения требований по использованию антивирусных средств;

- участие в расследовании событий, связанных с инцидентами ИБ, и в случае необходимости выход с предложениями по применению санкций в отношении лиц, осуществивших НСД, например, нарушивших требования инструкций и т.п. по обеспечению ИБ Администрации;

- организация аттестации объектов по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени секретности и (или) конфиденциальности;

- организация и проведение работ по контролю эффективности проводимых мероприятий и принимаемых мер по защите информации;

- организация в установленном порядке расследования причин и условий появления нарушений в области защиты информации и разработка предложений по устранению недостатков и предупреждению подобного рода нарушений, а также осуществление контроля за устранением этих нарушений;

- разработка предложений по организации и совершенствованию системы защиты информации;

- подготовка отчетов о состоянии работы по защите информации.

16. Порядок пересмотра политики

16.1. Пересмотр настоящей политики производится не реже одного раза в три года и имеет целью приведение в соответствие определенных политикой защитных мер к реальным условиям и текущим требованиям по защите информации.

16.2. Пересмотр политики осуществляется постоянно действующей комиссией по информационной безопасности Администрации городского округа Серпухов.

16.3. С момента утверждения политики Главой городского округа Серпухов, утрачивает силу предыдущая политика.

17. Ответственность за нарушение законодательства в области обработки персональных данных

17.1. Руководители Администрации и руководители отраслевых (функциональных) органов несут ответственность за необеспечение конфиденциальности ПДн и несоблюдение прав и свобод субъектов ПДн в отношении их ПДн, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну.

17.2. Сотрудники Администрации несут персональную ответственность за несоблюдение требований по обработке и обеспечению безопасности ПДн, установленных "Положением по обработке и защите персональных данных в Администрации городского округа Серпухов", в соответствии с законодательством Российской Федерации.

17.3. Сотрудник Администрации может быть привлечен к ответственности в случаях:

17.3.1. Умышленного или неосторожного раскрытия ПДн.

17.3.2. Утраты материальных носителей ПДн.

17.3.3. Нарушения требований "Положения по обработке и защите персональных данных в Администрации городского округа Серпухов" и других нормативных документов Администрации в части вопросов доступа и работы с ПДн.

17.4. В случаях нарушения установленного порядка обработки и обеспечения безопасности ПДн, несанкционированного доступа к ПДн, раскрытия ПДн и нанесения Администрации, его сотрудникам, клиентам и контрагентам материального или морального ущерба виновные лица несут уголовную, административную, дисциплинарную, гражданско-правовую и материальную ответственность, предусмотренную законодательством Российской Федерации.