Постановление Администрации Дубенского муниципального района Республики Мордовия от 27.09.2018 N 534 "Об утверждении положения о защите персональных данных Администрации Дубенского муниципального района Республики Мордовия" (с изменениями и дополнениями)

Постановление Администрации Дубенского муниципального района Республики Мордовия от 27 сентября 2018 г. N 534
"Об утверждении положения о защите персональных данных Администрации Дубенского муниципального района Республики Мордовия"

В соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", постановлением Правительства РФ от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказом ФСТЭК России от 18 февраля 2013 года N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", приказом ФСТЭК России от 11 февраля 2013 года N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", администрация Дубенского муниципального района постановляет:

1. Утвердить положение о защите персональных данных администрации Дубенского муниципального района Республики Мордовия.

2. Опубликовать настоящее постановление в официальном печатном издании Дубенского муниципального района Республики Мордовия - Информационном бюллетене Дубенского муниципального района и разместить на официальном сайте органов местного самоуправления Дубенского муниципального района http://dubenki.e-mordovia.ru.

3. Настоящее постановление вступает в силу с момента опубликования.

Глава Дубенского муниципального района

С.Г. Плешаков

Положение
о защите персональных данных Администрации Дубенского муниципального района Республики Мордовия
(утв. постановлением администрации Дубенского муниципального района от 27 сентября 2018 г. N 534)

Содержание

1. Общие положения

2. Основные понятия, используемые в настоящем положении

3. Общие принципы и условия обработки персональных данных

4. Получение персональных данных граждан

5. Хранение и использование персональных данных граждан

6. Передача персональных данных граждан третьим лицам

7. Общедоступные источники персональных данных

8. Обеспечение безопасности персональных данных при их обработке в ИС

9. Состав мероприятий, проводимых для обеспечения защиты информации

10. Порядок обработки персональных данных без использования средств вычислительной техники

11. Права и обязанности гражданина в области защиты его персональных данных

12. Ответственность за нарушение законодательства об охране ПДн

Приложение 1

Приложение 2

Приложение 3

Приложение 4

Приложение 5

Приложение 6

Приложение 7

Приложение 8

Приложение 9

Приложение 10

Приложение 11

Приложение 12

Приложение 13

Приложение 14

Приложение 15

Приложение 16

Приложение 17

Приложение 18

1 Общие положения

1.1. Настоящее Положение разработано в соответствии с Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119, и устанавливает методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационной системах (далее - ИС) администрации Дубенского муниципального района Республики Мордовия (далее - администрация), а также определяет порядок создания, обработки и защиты персональных данных.

1.2. Основанием для разработки данного Положения являются:

- Конституция Российской Федерации от 12 декабря 1993 г. (ст. 2, 17-24, 41);

- часть 1 и 2, часть 4 Гражданского кодекса Российской Федерации;

- Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

- Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Указ Президента Российской Федерации от 06 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера";

- Постановление Правительства Российской Федерации от 01 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

- Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

- Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

- Распоряжение администрации Дубенского муниципального района от 05.09.2018 года N 232 "О защите персональных данных";

- Регламентирующие документы ФСТЭК России об обеспечении безопасности персональных данных:

1.3. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах, информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации и без использования таковых, а также гарантии их защиты и ответственность за нарушение норм, регулирующих обработку и защиту персональных данных.

1.4. Цель настоящего Положения - защита персональных данных, обрабатываемых в информационных системах администрации, а также персональных данных работников администрации от несанкционированного доступа. Персональные данные являются конфиденциальной, строго охраняемой информацией. Конфиденциальность, сохранность и защита персональных данных обеспечиваются отнесением их к сфере негосударственной тайны.

1.5. Общее руководство, координацию работ, организацию применения технических средств защиты и текущий контроль деятельности по защите персональных данных в администрации выполняет работник, назначенный постановлением администрации Дубенского муниципального района.

1.6. Настоящее Положение распространяется на персональные данные обрабатываемые в ИС администрации независимо от вида носителя, на котором она зафиксирована, согласно "Перечню информационных ресурсов, подлежащих защите в Администрации Дубенского муниципального района Республики Мордовия".

1.7. Положение вступает в силу с момента его утверждения постановлением администрации Дубенского муниципального района и действует без ограничения срока.

1.8. При необходимости приведения настоящего Положения в соответствие с вновь принятыми законодательными актами, изменения вносятся на основании постановления администрации Дубенского муниципального района.

1.9. Настоящее Положение распространяется на всех субъектов, ПДн которых обрабатываются в администрации, а также работников администрации, имеющих доступ и осуществляющих перечень действий с персональными данными граждан.

1.10. Работники администрации подлежат ознакомлению с данным документом в порядке, предусмотренном постановлением администрации Дубенского муниципального района, под личную подпись.

1.11. В обязанности работников, осуществляющих первичный сбор персональных данных граждан, входит получение согласия гражданина на обработку его персональных данных под личную подпись.

1.12. В настоящем Положении не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также вопросы применения криптографических методов и способов защиты информации.

2 Основные понятия, используемые в настоящем положении

Автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники.

Автоматизированная система (АС) - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Администратор безопасности - субъект доступа, ответственный за защиту АС от несанкционированного доступа к информации.

Блокирование ПДн - временное прекращение сбора, систематизации, накопления, использования, распространения ПДн, в том числе их передачи.

Информационная система персональных данных (ИСПДн) - информационная система, представляющая собой совокупность ПДн, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации или без использования таких средств.

Конфиденциальность ПДн - обязательное для соблюдения оператором или иным получившим доступ к ПДн лицом требование не допускать их распространение без согласия субъекта ПДн или наличия иного законного основания.

Неавтоматизированная обработка ПДн - обработка персональных данных (использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных), осуществляемая без использования средств вычислительной техники.

Несанкционированный доступ к информации (НСД) - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

Обезличивание ПДн - действия, в результате которых невозможно определить принадлежность ПДн конкретному субъекту ПДн.

Обработка информации - совокупность операций сбора, накопления, ввода-вывода, приема-передачи, записи, хранения, регистрации, уничтожения, преобразования и отображения, осуществляемых над информацией.

Обработка ПДн - действия (операции) с ПДн, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение ПДн.

Общедоступные ПДн - ПДн, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Объект защиты информации - информация, носитель информации или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации.

Организационно-технические мероприятия по обеспечению защиты информации - совокупность действий, направленных на применение организационных мер и программно-технических способов защиты информации на объекте информатизации.

Персональные данные (ПДн) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение ПДн - действия, направленные на передачу ПДн определенному кругу лиц (передача ПДн) или на ознакомление с ПДн неограниченного круга лиц, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом.

Уничтожение ПДн - действия, в результате которых невозможно восстановить содержание ПДн в информационной системе ПДн или в результате которых уничтожаются материальные носители ПДн.

3 Общие принципы и условия обработки персональных данных

3.1. Обработка персональных данных гражданина осуществляется на основе принципов:

1) Обработка персональных данных должна осуществляться на законной и справедливой основе.

2) Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3) Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4) Обработке подлежат только персональные данные, которые отвечают целям их обработки.

5) Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

6) При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Администрация должна принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

7) Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом N 152-ФЗ, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законодательством.

3.2. В целях обеспечения прав и свобод человека и гражданина администрация и его представители при обработке персональных данных гражданина обязаны соблюдать следующие общие требования:

1) Все персональные данные гражданина следует получать у него самого или у его полномочного представителя. Если персональные данные гражданина, возможно, получить только у третьей стороны, то гражданин должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

2) При определении объема и содержания обрабатываемых персональных данных гражданина администрация должна руководствоваться Конституцией Российской Федерации, законодательством РФ в сфере защиты персональных данных и обработки информации, Уставом Администрации и иными локальными нормативными актами в области защиты персональных данных.

3) Администрация не имеет права получать и обрабатывать персональные данные гражданина, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных Федеральным законом N 152-ФЗ.

4) Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении гражданина или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных Федеральным законом N 152-ФЗ.

5) Решение, порождающее юридические последствия в отношении гражданина или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме гражданина или в случаях, предусмотренных Федеральным законодательством, устанавливающим также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

6) Администрация обязана разъяснить гражданину порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты гражданином своих прав и законных интересов.

7) Администрация обязана рассмотреть возражение в течение тридцати дней со дня его получения и уведомить гражданина о результатах рассмотрения такого возражения.

8) Защита персональных данных гражданина от неправомерного их использования или утраты должна быть обеспечена администрацией за счет своих средств, в порядке, установленном Федеральным законодательством и другими нормативными документами.

3.3. Администрация вправе поручить обработку персональных данных другому лицу с согласия гражданина, если иное не предусмотрено Федеральным законом N 152-ФЗ, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение администрации). Лицо, осуществляющее обработку персональных данных по поручению администрации, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом N 152-ФЗ. В поручении администрации должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона N 152-ФЗ.

3.4. Лицо, осуществляющее обработку персональных данных по поручению администрации, не обязано получать согласие гражданина на обработку его персональных данных.

3.5. В случае если администрация поручает обработку персональных данных другому лицу, ответственность перед гражданином за действия указанного лица несет администрация. Лицо, осуществляющее обработку персональных данных по поручению администрации, несет ответственность перед администрацией.

3.6. Надзорно-контрольные органы имеют доступ к защищаемой информации исключительно в сфере своей компетенции.

3.7. К числу массовых потребителей персональных данных вне администрации относятся государственные и негосударственные функциональные структуры: налоговые инспекции, правоохранительные органы, органы статистики, страховые агентства, военкоматы, пенсионные фонды, ФОМС, подразделения муниципальных органов управления и др.

3.8. Администрация при обработке персональных данных граждан обязано принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

4 Получение персональных данных граждан

4.1. Получение персональных данных преимущественно осуществляется путем представления их самим гражданином, на основании его письменного согласия, за исключением случаев, прямо предусмотренных действующим законодательством РФ.

В случаях, предусмотренных Федеральным законодательством, обработка персональных данных осуществляется только с согласия гражданина в письменной форме. Равнозначным содержащему собственноручную подпись гражданина согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом N 152-ФЗ электронной подписью. Согласие гражданина в письменной форме на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению администрации, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых администрацией способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено Федеральным законодательством;

9) подпись субъекта персональных данных.

Для обработки персональных данных, содержащихся в согласии в письменной форме, дополнительное согласие на обработку не требуется.

В случае недееспособности гражданина или не достижения гражданином возраста 14 лет согласие на обработку его персональных данных дает в письменной форме его законный представитель.

4.2. В случае необходимости проверки персональных данных гражданина администрация заблаговременно должна сообщить об этом гражданину, о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа гражданина дать письменное согласие на их получение.

5 Хранение и использование персональных данных граждан

5.1. Информация персонального характера гражданина хранится и обрабатывается с соблюдением требований действующего Российского законодательства о защите персональных данных.

5.2. Обработка персональных данных осуществляется администрацией смешанным путем:

- неавтоматизированным способом обработки персональных данных;

- автоматизированным способом обработки персональных данных (с помощью ПЭВМ и специальных программных продуктов).

5.3. Персональные данные граждан хранятся на бумажных носителях и в электронном виде.

5.4. Ответственные лица за хранение документов, содержащих персональные данные граждан, назначены распоряжением администрации Дубенского муниципального района.

5.5. Хранение оконченных производством документов, содержащих персональные данные граждан, осуществляется в помещениях администрации, предназначенных для хранения отработанной документации.

Ответственные лица за хранение оконченных производством документов, содержащих персональные данные граждан, назначаются распоряжением администрации Дубенского муниципального района.

5.6. Возможна передача персональных данных граждан по внутренней сети организации с использованием технических и программных средств защиты информации, с доступом только для работников администрации, допущенных к работе с персональными данными граждан распоряжением администрации Дубенского муниципального района и только в объеме, необходимом данным работникам для выполнения своих должностных обязанностей.

5.7. Хранение персональных данных граждан осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Хранение документов, содержащих персональные данные граждан, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению с оформлением Акта уничтожения (Приложение 2).

5.8. Администрация обеспечивает ограничение доступа к персональным данным граждан лицам, не уполномоченным Федеральным законодательством, либо работодателем для получения соответствующих сведений.

5.9. Доступ к персональным данным граждан имеют работники администрации, допущенные к работе с персональными данными распоряжением администрации Дубенского муниципального района. В должностные инструкции данных работников включается пункт об обязанности сохранения информации, являющейся конфиденциальной.

6 Передача персональных данных граждан третьим лицам

6.1. Передача персональных данных граждан третьим лицам осуществляется администрацией только с письменного согласия гражданина, с подтверждающей визой Главы Дубенского муниципального района за исключением случаев, если:

1) передача необходима для защиты жизни и здоровья гражданина, либо других лиц, и получение его согласия невозможно;

2) в целях обследования и лечения гражданина, не способного из-за своего состояния выразить свою волю;

3) по запросу органов дознания, следствия, прокуратуры и суда в связи с проведением расследования или судебным разбирательством, в соответствии с Законом об оперативно-розыскной деятельности;

4) в случае оказания помощи несовершеннолетнему в возрасте до 14 лет, для информирования его родителей или законных представителей;

5) при наличии оснований, позволяющих полагать, что права и интересы гражданина могут быть нарушены противоправными действиями других лиц;

6) в иных случаях, прямо предусмотренных Федеральным законодательством.

6.2. В целях соблюдения Федерального законодательства и иных нормативных правовых актов Российской Федерации возможна передача персональных данных граждан:

1) для содействия в трудоустройстве, обучении, повышения их квалификации, переподготовке, проведения аттестации на квалификационную категорию, получении грамот, наград и иных форм поощрений;

2) в иных случаях, прямо предусмотренных Федеральным законодательством.

Лица, которым в установленном Федеральным законом N 152-ФЗ порядке переданы сведения, составляющие персональные данные гражданина, несут дисциплинарную, административную или уголовную ответственность за разглашение в соответствии с законодательством Российской Федерации.

6.3. Передача персональных данных гражданина третьим лицам осуществляется на основании запроса третьего лица с разрешающей визой Главы Дубенского муниципального района при условии соблюдения требований, предусмотренных п. 7.1 настоящего Положения.

Администрация обеспечивает ведение Журнала учета обращений граждан по вопросам обработки персональных данных (Приложение 5) по запросам третьих лиц, в котором регистрируются поступившие запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных, а также отмечается, какая именно информация была передана.

В случае если лицо, обратившееся с запросом, не уполномочено Федеральным законодательством на получение персональных данных гражданина, либо отсутствует письменное согласие гражданина на передачу его персональных данных, администрация обязана отказать в предоставлении персональных данных. В данном случае лицу, обратившемуся с запросом, выдается мотивированный отказ в предоставлении персональных данных в письменной форме, копия отказа хранится в администрации.

7 Общедоступные источники персональных данных

7.1. Включение персональных данных гражданина в общедоступные источники персональных данных возможно только при наличии его письменного согласия.

7.2. При обезличивании персональных данных согласие гражданина на включение персональных данных в общедоступные источники персональных данных не требуется.

7.3. Сведения о гражданине могут быть исключены из общедоступных источников персональных данных по требованию самого гражданина, либо по решению суда или иных уполномоченных государственных органов.

8 Обеспечение безопасности персональных данных при их обработке в ИС

8.1. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона "О персональных данных".

8.2. Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

8.3. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее - оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе

8.4. Для обеспечения защиты информации, содержащейся в информационной системе, оператором назначается структурное подразделение или должностное лицо (работник), ответственные за защиту информации.

8.5. Для проведения работ по защите информации в ходе создания и эксплуатации информационной системы обладателем информации (заказчиком) и оператором в соответствии с законодательством Российской Федерации при необходимости привлекаются организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности".

8.6. Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании".

8.7. Защита информации, содержащейся в информационной системе, является составной частью работ по созданию и эксплуатации информационной системы и обеспечивается на всех стадиях (этапах) ее создания и в ходе эксплуатации путем принятия организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в информационной системе, в рамках системы (подсистемы) защиты информации информационной системы (далее - система защиты информации информационной системы).

8.8. Организационные и технические меры защиты информации, реализуемые в рамках системы защиты информации информационной системы, в зависимости от информации, содержащейся в информационной системе, целей создания информационной системы и задач, решаемых этой информационной системой, должны быть направлены на исключение:

- неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);

- неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);

- неправомерного блокирования информации (обеспечение доступности информации).

- Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия:

- формирование требований к защите информации, содержащейся в информационной системе;

- разработка системы защиты информации информационной системы;

- внедрение системы защиты информации информационной системы;

- аттестация информационной системы по требованиям защиты информации и ввод ее в действие;

- обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;

- обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

8.9. Обеспечение безопасности персональных данных при их неавтоматизированной обработке (без использования средств вычислительной техники) осуществляется в соответствии с постановлением Правительства РФ от 15.09.2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (раздел 10 настоящего "Положения...").

9 Состав мероприятий, проводимых для обеспечения защиты информации

9.1. Формирование требований к защите информации, содержащейся в информационной системе, предполагает проведение следующих мероприятий:

9.1.1. Обследование информационной системы:

- сбор и анализ необходимых сведений об ИС;

- анализ способов, режимов, целей и оснований по обработке ПДн;

- определение информации, подлежащей обработке в информационной системе;

- определение перечня объектов защиты

- анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система

- выявление существующих информационно-организационных и технических мер защиты ПДн;

- анализ организационно-распорядительной документации (ОРД) по обеспечению безопасности ПДн;

9.1.2. Классификация информационной системы:

- определение степени возможного ущерба от нарушения конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), целостности (неправомерные уничтожение или модифицирование) или доступности (неправомерное блокирование) информации

- определение значимости обрабатываемой в ИС информации и масштаба информационной системы

- определение масштаба информационной системы

9.1.3. Определение угроз безопасности информации, составление Модели угроз безопасности информации.

9.1.4. Определение требований к системе защиты информации информационной системы:

- определение базового набора мер защиты информации для установленного класса защищенности информационной системы;

- адаптация базового набора мер защиты информации;

- уточнение адаптированного базового набора мер защиты информации с учетом не выбранных ранее мер защиты информации;

- дополнение уточненного адаптированного базового набора мер защиты информации;

9.2. Разработка системы защиты информации информационной системы.

9.2.1. Проектирование системы защиты информации информационной системы;

- определение типов субъектов и объектов доступа, методов управления доступом и правил разграничения доступа субъектов доступа к объектам доступа, подлежащих реализации в информационной системе;

- выбор мер защиты информации, подлежащих реализации в системе защиты информации информационной системы;

- определение видов и типов средств защиты информации, обеспечивающих реализацию технических мер защиты информации;

- определение структуры системы защиты информации информационной системы, включая состав (количество) и места размещения ее элементов;

- выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации;

- определение параметров настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации;

- определение мер защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями.

9.2.2. Разработка эксплуатационной документации на систему защиты информации информационной системы, включающей в себя:

- структуру системы защиты информации информационной системы;

- состав, места установки, параметры и порядок настройки средств защиты информации, программного обеспечения и технических средств;

- правила эксплуатации системы защиты информации информационной системы.

9.2.3. Макетирование и тестирование системы защиты информации информационной системы:

- проверка работоспособности и совместимости выбранных средств защиты информации с информационными технологиями и техническими средствами;

- проверка выполнения выбранными средствами защиты информации требований к системе защиты информации информационной системы;

- корректировка проектных решений, разработанных при создании информационной системы и (или) системы защиты информации информационной системы;

- корректировка проектной и эксплуатационной документации на систему защиты информации информационной системы.

9.3. Внедрение системы защиты информации информационной системы;

- установка и настройка средств защиты информации в информационной системе;

- разработка документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации;

- внедрение организационных мер защиты информации;

- предварительные испытания системы защиты информации информационной системы;

- опытную эксплуатацию системы защиты информации информационной системы;

- анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению;

- приемочные испытания системы защиты информации информационной системы.

9.4. Аттестация информационной системы и ввод её в действие.

- Проведение аттестационных испытаний по утвержденной и согласованной программе и методике испытаний.

- Оформление заключения по результатам проведения аттестации и Аттестата соответствия требованиям по безопасности информации.

9.5. Обеспечение защиты информации в ходе эксплуатации аттестационной информационной системы.

- Администрирование системы защиты информации информационной системы;

- Выявление инцидентов и реагирование на них;

- Управление конфигурацией аттестованной информационной системы и ее системы защиты информации;

- Контроль за обеспечением уровня защищенности информации, содержащейся в информационной системе.

9.6. Обеспечение защиты информации при выходе при выводе её из эксплуатации аттестационной информационной системы или после принятия решения об окончании обработки информации.

- Архивирование информации, содержащейся в информационной системе;

- Уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации.

10 Порядок обработки персональных данных без использования средств вычислительной техники

10.1. Обработка персональных данных без использования средств вычислительной техники (далее - неавтоматизированная обработка персональных данных) осуществляется в виде документов на бумажных носителях.

10.2. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.

10.3. При неавтоматизированной обработке персональных данных на бумажных носителях:

- не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы;

- персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);

- документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;

- дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.

10.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовые формы), должны соблюдаться следующие условия:

- типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

- типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных - при необходимости получения письменного согласия на обработку персональных данных;

- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержа