Распоряжение администрации Шпаковского муниципального района Ставропольского края от 19.06.2017 N 177-р "Об организации мероприятий по защите персональных данных в администрации Шпаковского муниципального района Ставропольского края"

В целях исполнения требований законодательства Российской Федерации, а также подзаконных актов в области защиты персональных данных:

1. Утвердить прилагаемый регламент эксплуатации системы DocShell (далее - регламент).

2. Назначить ответственным пользователем системы DocShell консультанта отдела массовых коммуникаций и информационных технологий администрации Шпаковского муниципального района Ставропольского края Винограднего А.И.

3. Начальникам отделов администрации Шпаковского муниципального района Ставропольского края организовать мероприятия по внесению следующих изменений в должностные инструкции следующих сотрудников:

1) должностную инструкцию ответственного пользователя системы DocShell дополнить следующими обязанностями:

а) обеспечивать внесение всех необходимых сведений в систему DocShell и подготавливает предоставляемые системой документы по организации обработки и защиты персональных данных;

б) осуществлять корректировку необходимых сведений в системе DocShell и актуализирует документы по организации обработки и защиты персональных данных;

2) должностную инструкцию лиц, ответственных за кадровые вопросы дополнить следующими обязанностями:

а) предоставлять информацию о кадровых изменениях лицу, ответственному за обеспечение безопасности персональных данных;

б) проводить ознакомление сотрудников под подпись с документами по организации обработки и защиты персональных данных;

3) должностную инструкцию лиц, ответственных за юридические вопросы дополнить следующими обязанностями:

а) предоставлять информацию об изменении в положении, адресах и реквизитах лицу, ответственному за обеспечение безопасности персональных данных;

4) должностную инструкцию лиц, ответственных за ИТ - сервисы и системы дополнить следующими обязанностями:

а) предоставлять информацию об изменениях информационных систем и автоматизированных рабочих мест, участвующих в обработке персональных данных, лицу, ответственному за обеспечение безопасности персональных данных;

б) предоставлять информацию о заявках на доступ к информационным системам персональных данных лицу, ответственному за обеспечение безопасности персональных данных;

5) должностную инструкцию руководителей подразделений, участвующих в обработке персональных данных, дополнить следующими обязанностями:

а) предоставлять информацию об изменениях мест хранения персональных данных в подразделении лицу, ответственному за обеспечение безопасности персональных данных;

б) предоставлять информацию об изменениях состава персональных данных, обрабатываемых в подразделении, целей и оснований для обработки персональных данных лицу, ответственному за обеспечение безопасности персональных данных.

4. Признать утратившим силу распоряжение администрации Шпаковского муниципального района от 08.06.2015 N 149-р "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных".

5. Контроль за выполнением настоящего распоряжения возложить на заместителя главы администрации Шпаковского муниципального района Ставропольского края Марченко С.А.

Глава Шпаковского муниципального района Ставропольского края

В.В. Ростегаев

УТВЕРЖДЕН

распоряжением администрации

Шпаковского муниципального района

Ставропольского края

от 19 июня 2017 г. N 177-р

Регламент
эксплуатации системы DocShell

DocShell	-	Система автоматизации организационных мероприятий по защите информации и иным видам деятельности
АРМ	-	Автоматизированное рабочее место
ИБ	-	Информационная безопасность
МЭ	-	Межсетевой экран
НСД	-	Несанкционированный доступ
ПДн	-	Персональные данные
ПО	-	Программное обеспечение
СКЗИ	-	Средство криптографической защиты информации
СЗИ	-	Средство защиты информации

I. Общие сведения

1. Основания для разработки документа.

Документ предназначен для поддержания соответствия организационных мер по обработке и защите информации, применяемых в администрации Шпаковского муниципального района Ставропольского края (далее - администрация) требованиям законодательства РФ.

2. Назначение и область действия документа.

Настоящий документ регламентирует деятельность, связанную с использованием DocShell, в том числе:

1) регулярные мероприятия, которые необходимо выполнять при эксплуатации DocShell;

2) состав и функции ролей, ответственных за выполнение мероприятий;

3) источники данных, необходимых для выполнения мероприятий;

4) перечень документов, изменяемых при выполнении мероприятий.

3. Общая схема DocShell.

"Общая схема DocShell"

II. Роли персонала, участвующего в эксплуатации DocShell

В эксплуатации DocShell принимает участие ответственный пользователь Администрации который при необходимости обращается к специалистам технической поддержка и эксперты DocShell.

Кроме того, пользователь взаимодействует со следующими ответственными лицами в организации:

1) лицом ответственным за кадровые вопросы;

2) лицом ответственными за юридические вопросы;

3) лицом ответственным за ИТ - сервисы;

4) руководителями подразделений, участвующих в обработке ПДн.

Далее приводится описание функций ролей.

4. Пользователь.

Пользователь выполняет функции по поддержанию в актуальном состоянии организационно распорядительных документов в области обработки, защиты персональных данных и эксплуатации СКЗИ в администрации Шпаковского района СК.

Пользователь осуществляет:

1) взаимодействие с ответственными лицами администрации для получения актуальной информации о процессе обработки ПДн, в том числе и вопросов по эксплуатации СКЗИ;

2) сбор и обновление сведений об обработке ПДн и об эксплуатации СКЗИ в соответствии с данным регламентом;

3) внесение сведений в DocShell в соответствующие документы;

4) привлечение экспертов DocShell, если необходима консультация по интересующим вопросам;

5) выгрузка и внедрение в делопроизводство обновленных версий документов, сбор необходимых подписей;

6) донесение информации об изменениях в документах до всех заинтересованных лиц.

5. Эксперты DocShell.

Эксперты DocShell осуществляют:

1) ответы на запросы пользователей системы в рамках оказания технической поддержки и консультаций;

2) привлекаются для экспертной проверки правильности заполнения аккаунтов пользователей.

III. Эксплуатация DocShell

Ответственный пользователь DocShell обязан выполнять следующие мероприятия не реже раза одного раза в 2 недели:

1) выявление необходимости актуализации и корректировка информации о материальных носителях персональных данных, хранящиеся в помещениях администрации (пункт 6 раздела 4 Регламента);

2) выявление необходимости актуализации и корректировка перечня лиц, участвующих в обработке персональных данных без использования средств автоматизации (пункт 7 раздела 4 Регламента);

3) выявление необходимости актуализации и корректировка перечня лиц, участвующих в обработке персональных данных в информационных системах (пункт 8 раздела 4 Регламента);

4) выявление необходимости актуализации и корректировка информации о хранилищах СКЗИ и ключей к ним (пункт 9 раздела 4 Регламента);

5) выявление необходимости актуализации и корректировка перечня лиц, использующих СКЗИ (пункт 10 раздела 4 Регламента);

6) выявление необходимости актуализации и корректировка информацию об используемых СКЗИ (пункт 11 раздела 4 Регламента);

7) при наличии изменений выгрузка, печать и передача на утверждение измененных документов (пункт 21 раздела 4 Регламента).

Ответственный пользователь DocShell обязан выполнять следующие мероприятия не реже одного раза в квартал:

1) выполнение проверки наличия изменений в документах в связи с изменениями законодательства РФ (пункт 12 раздела 4 Регламента);

2) выявление необходимости актуализации и корректировка целей обработки персональных данных в администрации (пункт 13 раздела 4 Регламента);

3) выявление необходимости актуализации и корректировка перечня категорий субъектов, персональные данные которых обрабатываются в Администрации (пункт 14 раздела 4 Регламента);

4) выявление необходимости актуализации и корректировка перечня категорий персональных данных которые обрабатываются в администрации (пункт 15 раздела 4 Регламента);

5) выявление необходимости актуализации и корректировка перечня правовых оснований для обработки персональных данных в администрации (пункт 16 раздела 4 Регламента);

6) выявление необходимости актуализации и корректировка данных содержащихся в уведомлении Роскомнадзора об обработке персональных данных в администрации (пункт 17 раздела 4 Регламента);

7) при наличии изменений выгрузка, печать и передача на утверждение измененных документов (пункт 21 раздела 4 Регламента).

Ответственный пользователь DocShell обязан выполнять следующие мероприятия не реже одного раза в полгода:

1) выявление необходимости актуализации и корректировка состава информационных систем персональных данных или ключевых характеристик информационных систем, которые могут повлиять на их уровень защищенности (пункт 18 раздела 4 Регламента);

2) выявление необходимости актуализации и корректировка оценки возможного вреда субъектам персональных данных (пункт 19 раздела 4 Регламента);

3) выявление необходимости актуализации и корректировка характеристик информационных систем, которые могут повлиять на актуальность угроз безопасность персональных данных (пункт 20 раздела 4 Регламента);

4) при наличии изменений выгрузка, печать и передача на утверждение измененных документов (пункт 21 раздела 4 Регламента).

При выполнении мероприятий ответственный пользователь DocShell также использует документ "Руководство по использованию онлайн-сервиса DocShell. Модуль "Персональные данные", доступный на в разделе "Справка" DocShell.

IV. Описание мероприятий

6. Выявление необходимости актуализации и корректировка информации о материальных носителях персональных данных, хранящиеся в помещениях администрации.

Таблица N 1

События, которые могут привести к необходимости выполнения мероприятия	Источники и порядок получения информации	Разделы и документы DocShell, в которые необходимо вносить изменения
1	2	3
Увольнение или кадровые перестановки сотрудника	Запросить информацию о кадровых изменениях у ответственного за управление персоналом Запросить информацию о местах хранения (шкафы, сейфы) материальных носителей у руководителей подразделений, в которых ведется обработка ПДн Сравнить с предыдущими версиями документов	Модуль "Персональные данные" - Приказ об утверждении мест хранения материальных носителей Модуль "Документальное сопровождение эксплуатации СКЗИ" - Приказ о допуске лиц в помещения с СКЗИ
Переезд сотрудника в другой кабинет
Создание нового места хранения материальных носителей ПДн

7. Выявление необходимости актуализации и корректировка перечня лиц, участвующих в обработке персональных данных без использования средств автоматизации.

Таблица N 2

События, которые могут привести к необходимости выполнения мероприятия	Источники и порядок получения информации	Разделы и документы DocShell, в которые необходимо вносить изменения
1	2	3
Изменение полномочий сотрудника	Запросить информацию о кадровых изменениях у ответственного за управление персоналом Сравнить с предыдущими версиями документов	Модуль "Персональные данные" - Приказ об ответственности за обработку и защиту персональных данных
Увольнение или кадровые перестановки сотрудника
Прием на работу нового сотрудника

8. Выявление необходимости актуализации и корректировка перечня лиц, участвующих в обработке персональных данных в информационных системах.

Таблица N 3

События, которые могут привести к необходимости выполнения мероприятия	Источники и порядок получения информации	Разделы и документы DocShell, в которые необходимо вносить изменения
1	2	3
Изменение полномочий сотрудника	Запросить информацию о кадровых изменениях у ответственного за управление персоналом Запросить у ИТ подразделения информацию об изменениях состава АРМ, используемых в обработке ПДн Проверить заявки на доступ к информационным ресурсам или системам Сравнить с предыдущими версиями документов	Модуль "Персональные данные" - Приказ об ответственности за обработку и защиту персональных данных
Увольнение или кадровые перестановки сотрудника
Прием на работу нового сотрудника
Добавление/удаление нового АРМ для обработки ПДн

9. Выявление необходимости актуализации и корректировка информацию о хранилищах СКЗИ и ключей к ним.

Таблица N 4

События, которые могут привести к необходимости выполнения мероприятия	Источники и порядок получения информации	Разделы и документы DocShell, в которые необходимо вносить изменения
1	2	3
Увольнение или кадровые перестановки сотрудника	Запросить информацию о кадровых изменениях у лица ответственного за управление персоналом Запросить информацию о местах хранения (шкафы, сейфы) у руководителей подразделений, в которых хранятся СКЗИ, инсталлирующие носители и документация к ним Сравнить с предыдущими версиями документов	Модуль "Документальное сопровождение эксплуатации СКЗИ" - Журнал учета хранилищ СКЗИ и ключей к ним
Перемещение хранилища в другой кабинет
Создание нового места хранения СКЗИ, эксплуатационной документации и ключевых документов

10. Выявление необходимости актуализации и корректировка перечня лиц, использующих СКЗИ.

Таблица N 5

События, которые могут привести к необходимости выполнения мероприятия	Источники и порядок получения информации	Разделы и документы DocShell, в которые необходимо вносить изменения
1	2	3
Изменение полномочий сотрудника	Запросить информацию о кадровых изменениях у лица ответственного за управление персоналом Сравнить с предыдущими версиями документов	Модуль "Документальное сопровождение эксплуатации СКЗИ" - Журнал поэкземплярного учета СКЗИ, Журнал опломбирования, Приказ о допуске пользователей к работе с СКЗИ, Заключение о возможности эксплуатации СКЗИ, Заключение о допуске пользователей СКЗИ, Лицевой счёт, Протокол зачёта пользователей
Увольнение или кадровые перестановки сотрудника
Прием на работу нового сотрудника
Добавление нового СКЗИ или удаление существующего

11. Выявление необходимости актуализации и корректировка информацию об используемых СКЗИ.

Таблица N 6

События, которые могут привести к необходимости выполнения мероприятия	Источники и порядок получения информации	Разделы и документы DocShell, в которые необходимо вносить изменения
1	2	3
Изменение полномочий сотрудника	Запросить информацию о кадровых изменениях у лица ответственного за управление персоналом Запросить у лица ответственного за ИТ сервисы информацию об изменениях состава АРМ, используемых для эксплуатации СКЗИ Сравнить с предыдущими версиями документов	Модуль "Документальное сопровождение эксплуатации СКЗИ" - Журнал поэкземплярного учета СКЗИ, Журнал опломбирования, Приказ о допуске пользователей к работе с СКЗИ, Заключение о возможности эксплуатации СКЗИ, Заключение о допуске пользователей СКЗИ, Лицевой счёт, Протокол зачёта пользователей
Увольнение или кадровые перестановки сотрудника
Прием на работу нового сотрудника
Добавление/удаление нового АРМ для эксплуатации СКЗИ
Добавление нового СКЗИ или удаление существующего

12. Выполнение проверки наличия изменений в документах в связи с изменениями законодательства РФ.

Таблица N 7

События, которые могут привести к необходимости выполнения мероприятия	Источники и порядок получения информации	Разделы и документы DocShell, в которые необходимо вносить изменения
1	2	3
Изменения в законодательстве	Экспертами DocShell будут внесены изменения в шаблоны документов для соответствия новых требований. Необходимо проверить появился ли значок об изменении документов При необходимости задать уточняющий вопрос через модуль технической поддержки DocShell	Модуль "Персональные данные" - все документы Модуль "Документальное сопровождение эксплуатации СКЗИ" - все документы
Выход новых методических или информационных документов от регуляторов

13. Выявление необходимости актуализации и корректировка целей обработки персональных данных в администрации.

Таблица N 8

События, которые могут привести к необходимости выполнения мероприятия	Источники и порядок получения информации	Разделы и документы DocShell, в которые необходимо вносить изменения
1	2	3
Изменения в положении Администрации	Запросить информацию о об изменениях в положении у ответственного лица юридического подразделения Запросить информацию о изменении целей обработки, содержания и объема обрабатываемых ПДн у руководителей подразделений, в которых ведется обработка ПДн Сравнить с предыдущими версиями документов	Модуль "Персональные данные" - Положение о порядке обработки персональных данных (Правила обработки персональных данных), Уведомление об обработке персональных данных
Расширение или сокращение области деятельности Администрации
Изменение целей обработки, содержания и объема обрабатываемых ПДн

14. Выявление необходимости актуализации и корректировка перечня категорий субъектов, персональные данные которых обрабатываются в администрации.

Таблица N 9

События, которые могут привести к необходимости выполнения мероприятия	Источники и порядок получения информации	Разделы и документы DocShell, в которые необходимо вносить изменения
1	2	3
Изменения в положении Администрации	Запросить информацию о об изменениях в положении у ответственного лица юридического подразделения Запросить информацию о изменении целей обработки, содержания и объема обрабатываемых ПДн у руководителей подразделений, в которых ведется обработка ПДн Сравнить с предыдущими версиями документов	Модуль "Персональные данные" - Положение о порядке обработки персональных данных (Правила обработки персональных данных), Уведомление об обработке персональных данных, Заключение об оценке вреда субъектам персональных данных
Расширение или сокращение области деятельности Администрации
Изменение целей обработки, содержания и объема обрабатываемых ПДн

15. Выявление необходимости актуализации и корректировка перечня категорий персональных данных которые обрабатываются в администрации.

Таблица N 10

События, которые могут привести к необходимости выполнения мероприятия	Источники и порядок получения информации	Разделы и документы DocShell, в которые необходимо вносить изменения
1	2	3
Изменения в положении Администрации	Запросить информацию о об изменениях в положении у ответственного лица юридического подразделения Запросить информацию о изменении целей обработки, содержания и объема обрабатываемых ПДн у руководителей подразделений, в которых ведется обработка ПДн Сравнить с предыдущими версиями документов	Модуль "Персональные данные" - Положение о порядке обработки персональных данных (Правила обработки персональных данных), Уведомление об обработке персональных данных, Заключение об оценке вреда субъектам персональных данных
Расширение или сокращение области деятельности Администрации
Изменение целей обработки, содержания и объема обрабатываемых ПДн

16. Выявление необходимости актуализации и корректировка перечня правовых оснований для обработки персональных данных в администрации.

Таблица N 11

События, которые могут привести к необходимости выполнения мероприятия	Источники и порядок получения информации	Разделы и документы DocShell, в которые необходимо вносить изменения
1	2	3
Изменения в положении Администрации	Запросить информацию о об изменениях в положении у ответственного лица юридического подразделения Запросить информацию о изменении оснований для обработки ПДн у руководителей подразделений, в которых ведется обработка ПДн Сравнить с предыдущими версиями документов	Модуль "Персональные данные" - Положение о порядке обработки персональных данных (Правила обработки персональных данных), Уведомление об обработке персональных данных
Расширение или сокращение области деятельности Администрации
Изменение целей обработки, содержания и объема обрабатываемых ПДн
Выход новых поясняющих документов от регуляторов
Изменения в законодательстве
Выход новых методических или информационных документов от регуляторов

17. Выявление необходимости актуализации и корректировка данных содержащихся в уведомлении Роскомнадзора об обработке персональных данных в администрации.

Таблица N 12

События, которые могут привести к необходимости выполнения мероприятия	Источники и порядок получения информации	Разделы и документы DocShell, в которые необходимо вносить изменения
1	2	3
Изменение состава СЗИ/СКЗИ	Загрузить предыдущую версию Уведомления обработке персональных данных совместно с ответственным за управление персоналом, сотрудником юридического подразделения, руководителями подразделений, в которых ведется обработка ПДн, проверить наличие изменений	Модуль "Персональные данные" - Уведомление об обработке персональных данных
Изменение состава организационных мер
Переезд Администрации и БД с ПДн в новое место
Появление новых возможностей: трансграничная передача, биометрических ПДн и т.п.
Изменение лица, ответственного за организацию обработки ПДн
Появление филиалов или обособленных подразделений Администрации

18. Выявление необходимости актуализации и корректировка состава информационных систем персональных данных или ключевых характеристик информационных систем, которые могут повлиять на их уровень защищенности.

Таблица N 13

События, которые могут привести к необходимости выполнения мероприятия	Источники и порядок получения информации	Разделы и документы DocShell, в которые необходимо вносить изменения
1	2	3
Ввод в эксплуатацию новых ИС	Запросить у ИТ подразделения информацию об изменениях состава ИС, используемых в обработке ПДн Запросить у ИТ подразделения информацию об количестве субъектов ПДн обрабатываемых в ИС Сравнить с предыдущими версиями документов	Модуль "Персональные данные" - Акт установления уровня защищенности информационных систем персональных данных, Акт классификации государственной информационной системы или муниципальной информационной системы Модуль "Модель угроз"
Прекращение работы с существующими ИС
Изменение характеристик ИС: кол-во субъектов, тип обрабатываемых данных и т.п.

19. Выявление необходимости актуализации и корректировка оценки возможного вреда субъектам персональных данных.

Таблица N 14

События, которые могут привести к необходимости выполнения мероприятия	Источники и порядок получения информации	Разделы и документы DocShell, в которые необходимо вносить изменения
1	2	3
Изменения в положении Администрации	Запросить информацию о об изменениях в положении у ответственного лица юридического подразделения Запросить информацию о изменении оснований для обработки ПДн у руководителей подразделений, в которых ведется обработка ПДн Отметить изменения в мерах защиты ИС Сравнить с предыдущими версиями документов	Модуль "Персональные данные" - Заключение об оценке вреда субъектам персональных данных
Расширение или сокращение области деятельности Администрации
Изменение целей обработки, содержания и объема обрабатываемых ПДн
Изменение состава СЗИ/СКЗИ
Изменение состава организационных мер

20. Выявление необходимости актуализации и корректировка характеристик информационных систем, которые могут повлиять на актуальность угроз безопасность персональных данных.

Таблица N 15

События, которые могут привести к необходимости выполнения мероприятия	Источники и порядок получения информации	Разделы и документы DocShell, в которые необходимо вносить изменения
1	2	3
Изменения в технической структуре ИСПДн	Запросить у ИТ подразделения информацию об изменениях характеристик ИС, используемых в обработке ПДн Отметить изменения в мерах защиты ИС Сравнить с предыдущими версиями документов	Модуль "Модель угроз"
Переезд Администрации и БД с ПДн в новое место
Применение новых СЗИ/СКЗИ
Появление филиалов или обособленных подразделений Администрации
Выход новых нормативных документов

21. Выгрузка, печать и передача на утверждение измененных документов.

Таблица N 16

События, которые могут привести к необходимости выполнения мероприятия	Источники и порядок получения информации	Разделы и документы DocShell, в которые необходимо вносить изменения
1	2	3
При наличии изменений в соответствии с пунктами 4.1 - 4.15 данного регламента	Выгрузить измененные документы, помеченные для печати Согласовать в соответствии с правилами документооборота Подписать и утвердить документы	Модуль "Персональные данные" - все документы, помеченные значком печати (принтера) - выгрузить