Приложение N 1. Инструкция ответственного за обработку персональных данных в структурном подразделении департамента финансов Администрации города Салехарда. Приказ департамента финансов администрации г. Салехард Ямало-Ненецкого автономного округа от 11.01.2017 N 4 "Об утверждении инструкций по защите персональных данных в департаменте финансов Администрации города Салехарда"

Приложение N 1
к приказу
департамента финансов
администрации г. Салехард
от 11 января 2017 г. N 4

Инструкция
ответственного за обработку персональных данных в структурном подразделении департамента финансов Администрации города Салехарда

Термины и определения

Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Администратор информационной безопасности - лицо, ответственное за защиту автоматизированных рабочих мест от несанкционированного доступа к информации.

Пользователь информационной системы персональных данных (ИСПДн) - лицо, назначаемое оператором для непосредственной обработки персональных данных в объеме служебной деятельности с использованием информационной системы персональных данных, а также результатов ее функционирования.

1. Общие положения

1.1. Настоящая Инструкция определяет основные обязанности и права ответственного лица за обработку персональных данных в структурном подразделении департамента финансов Администрации города Салехарда (далее - структурное подразделение).

1.2 Ответственным за обработку персональных данных в структурном подразделении (далее - Ответственный) является руководитель этого подразделения и назначается приказом департамента финансов Администрации города Салехарда (далее - Департамент финансов).

1.3. Назначенный Ответственный подчиняется ответственному за организацию обработки персональных данных Департамента финансов.

1.4. Ответственный осуществляет методическое руководство внутри своего подразделения в сфере организации обработки персональных данных.

1.5. Требования Ответственного, связанные с выполнением им своих служебных обязанностей обязательны для исполнения всеми работниками его структурного подразделения, имеющими санкционированный доступ к персональным данным.

1.6. Ответственный отвечает за качество проводимых им работ по контролю действий при работе в информационной системе персональных данных (далее - ИСПДн), состояние и поддержание установленного уровня защиты ИСПДн.

2. Обязанности ответственного

Ответственный обязан:

2.1. Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, регламентирующих порядок действий по организации обработки персональных данных.

2.2. Согласно утвержденному перечню должностей работников Департамента финансов, замещение которых предусматривает осуществление обработки персональных данных, предоставлять и разрабатывать для утверждения ответственному за организацию обработки персональных данных в Департаменте списки пользователей ИСПДн по установленной форме (изменения к списку лиц), доступ которых к обработке персональных данных необходим для выполнения должностных обязанностей.

2.3. Проводить консультации пользователей ИСПДн в своем структурном подразделении по соблюдению режима конфиденциальности.

2.4. Контролировать физическую сохранность средств и оборудования ИСПДн подразделения.

2.5. Контролировать соблюдение пользователями ИСПДн режима конфиденциальности, правил работы со съёмными машинными носителями информации, выполнению организационных мер по защите информации, а также принимать участие в проведении проверок уполномоченными структурами.

2.6. Взаимодействовать с администратором информационной безопасности по вопросам обеспечения и выполнения требований обработки персональных данных.

2.7. Знать перечень и условия обработки персональных данных в Департаменте финансов, а также перечень обрабатываемых персональных данных в своем структурном подразделении.

2.8. Знать перечень установленных в подразделении технических средств, входящих в состав информационных систем, и перечень задач, решаемых с их использованием.

2.9. Осуществлять контроль за порядком учёта, создания, хранения и использования машинных (выходных) документов, содержащих персональные данные.

2.10. При выявлении возможных каналов неправомерного вмешательства в процесс функционирования информационных систем и осуществления несанкционированного доступа к персональным данным и техническим средствам из состава информационных систем подразделения, сообщать о них администратору информационной безопасности.

2.11. Проводить разбирательства и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, нарушения правил работы с документами, содержащими персональные данные, или по другим нарушениям, которые могут привести к снижению уровня защищенности персональных данных.

3. Права ответственного

Ответственный имеет право:

3.1. Требовать от всех пользователей ИСПДн подразделения выполнения установленной технологии обработки персональных данных, инструкций и других нормативных правовых документов по обеспечению безопасности персональных данных.

3.2. Инициировать блокирование доступа работников к персональным данным, если это необходимо для предотвращения нарушения режима защиты персональных данных.

3.3. Инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения информационной безопасности, несоблюдения условий хранения носителей персональных данных, нарушения правил работы с документами, содержащими персональные данные, несанкционированного доступа, утраты, порчи защищаемых носителей персональных данных и технических средств из состава информационных систем или по другим нарушениям, которые могут привести к снижению уровня защищенности персональных данных.

3.4. Обращаться с предложением о приостановке процесса обработки персональных данных или отстранению от работы пользователя ИСПДн в случаях нарушения установленной технологии обработки персональных данных или нарушения режима конфиденциальности.

3.5. Подавать свои предложения по совершенствованию мер защиты персональных данных в ИСПДн, разработке и принятии мер по предотвращению возможных опасных последствий нарушений, приводящих к снижению уровня защищенности персональных данных.

4. Действия при обнаружении попыток несанкционированного доступа

4.1. При несанкционированном доступе к защищаемой информации (ПДн), а именно:

4.1.1. выявление (обнаружение) сеансов работы с персональными данными незарегистрированных пользователей или пользователей, нарушивших установленный порядок доступа, или превышающих свои полномочия по доступу к данным;

4.1.2. выявление (обнаружение) действий постороннего лица, пытающегося получить доступ (или уже получившего доступ) к ИСПДн, при использовании учётной записи администратора информационной безопасности или другого пользователя ИСПДн, методом подбора пароля, использования пароля, разглашенного владельцем учётной записи или любым другим методом.

4.2. Ответственный обязан:

4.2.1. по возможности пресечь дальнейший несанкционированный доступ к персональным данным;

4.2.2. известить администратора информационной безопасности о факте несанкционированного доступа, от имени учётной записи, которого была осуществлена попытка;

4.2.3. доложить ответственному за организацию обработки персональных данных Департамента финансов служебной запиской о факте несанкционированного доступа, его результате (успешный, неуспешный) и предпринятых действиях.

5. Ответственность

5.1. Ответственный несет персональную ответственность за:

5.1.1. соблюдение требований настоящей Инструкции;

5.1.2. правильность и объективность принимаемых решений.

5.2. При нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, ответственный несет ответственность в соответствии с законодательством Российской Федерации.