Приложение. Положение об ответственном за организацию обработки персональных данных в министерстве топливно-энергетического комплекса и жилищно-коммунального хозяйства Краснодарского края. Приказ министерства топливно-энергетического комплекса и жилищно-коммунального хозяйства Краснодарского края от 14.06.2019 N 226 "О назначении ответственного за организацию обработки персональных данных в министерстве топливно-энергетического комплекса и жилищно-коммунального хозяйства Краснодарского края" (с изменениями и дополнениями)

Приложение

Утверждено
приказом министерства
топливно-энергетического комплекса
и жилищно-коммунального хозяйства
Краснодарского края
от 14.06.2019 N 226

Положение
об ответственном за организацию обработки персональных данных в министерстве топливно-энергетического комплекса и жилищно-коммунального хозяйства Краснодарского края

1. Общие положения

1.1. Ответственный за организацию обработки персональных данных (далее - ответственный) является сотрудником министерства топливно-энергетического комплекса и жилищно-коммунального хозяйства Краснодарского края (далее - министерство).

1.2. Ответственный назначается приказом министра.

1.3. Ответственный в вопросах организации обработки персональных данных подчиняется непосредственно министру и проводит мероприятия по защите персональных данных в интересах министерства.

1.4. Ответственный в своей деятельности руководствуется:

1) Конституцией Российской Федерации;

2) Федеральными законами Российской Федерации и нормативными правовыми актами органов государственной власти по вопросам защиты персональных данных;

3) Государственными стандартами Российской Федерации в области защиты информации;

4) руководящими и нормативными правовыми документами Федеральной Службы по техническому и экспортному контролю России;

5) локальными нормативными актами министерства по защите персональных данных;

6) Правилами внутреннего трудового распорядка;

7) настоящим Положением.

2. Задачи

На ответственного за организацию обработки персональных данных возложены следующие задачи:

2.1. Организация внутреннего контроля за соблюдением сотрудниками министерства норм законодательства Российской Федерации по обработке персональных данных, в том числе требований, предъявляемых к защите персональных данных.

2.2. Разработка, внедрение и актуализация локальных актов по вопросам обработки персональных данных.

2.3. Доведение до сведения сотрудников министерства, непосредственно осуществляющих обработку персональных данных, положений законодательства Российской Федерации, и локальных актов по вопросам обработки персональных данных, требований к защите персональных данных, а также проведение обучения сотрудников.

2.4. Осуществление контроля приёма и обработки обращений и запросов субъектов персональных данных или их законных представителей по вопросам обработки персональных данных и внесение предложений по организации приёма и обработки таких обращений и запросов.

2.5. Осуществление рассмотрения обращений и запросов субъектов персональных данных или их законных представителей по вопросам обработки персональных данных и организация предоставления субъектам персональных данных или их законным представителям информации, предусмотренной Федеральным законом Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

2.6. Организация комплексной защиты объектов информатизации министерства, а именно:

1) информационных ресурсов, представленных в виде документированной информации на магнитных, оптических носителях, информативных физических полей, информационных массивов и баз данных, содержащих персональные данные субъектов министерства;

2) средств и систем информатизации (средств вычислительной техники, информационно-вычислительных комплексов, локальных вычислительных сетей и корпоративных информационных систем), программных средств (операционных систем, систем управления базами данных, другого общесистемного и прикладного программного обеспечения), автоматизированных систем управления информационными, управленческими и технологическими процессами, систем связи и передачи данных, технических средств приёма, передачи и обработки информации (звукозаписи, звукоусиления, звуковоспроизведения, переговорных устройств и других технических средств обработки графической, смысловой и буквенно-цифровой информации), используемых для реализации процессов ведения деятельности, обработки информации, содержащей персональные данные субъектов министерства.

2.7. Организация защиты персональных данных субъектов министерства.

2.8. Разработка и проведение организационных мероприятий, обеспечивающих безопасность объектов защиты министерства, своевременное выявление и устранение возможных каналов утечки информации.

2.9. Организация проведения работ по технической защите информации на объектах информатизации, в информационно-вычислительных сетях, системах и средствах связи и телекоммуникаций министерства.

2.10. Реализация технических мер, обеспечивающих своевременное выявление возможных технических каналов утечки информации в подразделениях министерства.

2.11. Методическое руководство системой обеспечения информационной безопасности министерства.

2.12. Организация контроля состояния и проведения оценки эффективности системы обеспечения информационной безопасности персональных данных, а также реализация мер по её совершенствованию.

2.13. Внедрение в информационную инфраструктуру министерства современных методов и средств обеспечения информационной безопасности.

3. Функции

Для решения поставленных задач ответственный за организацию обработки персональных данных осуществляет следующие функции:

3.1. Участие в разработке и внедрении правовых, организационных и технических мер по комплексному обеспечению безопасности персональных данных.

3.2. Контроль обеспечения соблюдения режима конфиденциальности при обработке персональных данных и внесение предложений по соблюдению такого режима.

3.3. Разработка планов по защите персональных данных на объектах министерства.

3.4. Контроль выполнения мер по защите персональных данных, анализ материалов контроля, выявление недостатков и нарушений. Разработка и реализация мер по их устранению.

3.5. Обеспечение взаимодействия с контрагентами по вопросам организации и проведения проектно-изыскательских, научно-исследовательских, опытно-конструкторских и других работ по защите информации. Участие в разработке технических заданий на выполняемые исследования и работы.

3.6. Контроль выполнения плановых заданий, договорных обязательств, а также сроков, полноты и качества работ по защите персональных данных, выполняемых контрагентами.

3.7. Разработка и внесение предложений по обеспечению финансирования работ по защите персональных данных, в том числе выполняемых по договорам.

3.8. Участие в проведении работ по технической защите информации на объектах информатизации министерства. Оценка эффективности принятых мер по технической защите информации.

3.9. Внесение предложений по обеспечению выбора, установке, настройке и эксплуатации средств защиты информации в соответствии с организационно-распорядительной и эксплуатационной документацией.

3.10. Контроль организации режима обеспечения безопасности помещений, в которых происходит обработка персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в такие помещения, а также внесение предложений по обеспечению безопасности таких помещений.

3.11. Участие в организации доступа сотрудников министерства к персональным данным в соответствии с возложенными на них трудовыми обязанностями и подготовка предложений по организации такого доступа.

3.12. Разработка и внедрение локальных актов, определяющих перечень сотрудников министерства, имеющих доступ к персональным данным.

3.13. Контроль размещения устройств ввода (отображения) информации, исключающего ее несанкционированный просмотр.

3.14. Проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства по защите персональных данных.

3.15. Участие в разработке и реализации политики по работе с инцидентами по информационной безопасности, в части персональных данных.

3.16. Внесение предложений по актуализации внутренней организационно-распорядительной документации по защите персональных данных при изменении существующих и выходе новых нормативных правовых документов по вопросам обработки персональных данных и подготовка соответствующих необходимых проектов документов.

4. Права

Ответственный за организацию обработки персональных данных имеет право:

4.1. Осуществлять контроль за деятельностью структурных подразделений министерства по выполнению ими требований по защите персональных данных.

4.2. Составлять акты, докладные записки, отчёты для рассмотрения руководством министерства, при выявлении нарушений порядка обработки персональных данных.

4.3. Принимать необходимые меры при обнаружении несанкционированного доступа к персональным данным как сотрудниками министерства, так и третьими лицами, и докладывать о принятых мерах министру с предоставлением информации о субъектах, нарушивших режим доступа.

4.4. Вносить на рассмотрение министра предложения, акты, заключения о приостановлении работ в случае обнаружения каналов утечки (или предпосылок к утечке) информации ограниченного доступа.

4.5. Давать структурным подразделениям министерства, а также отдельным специалистам обязательные для исполнения указания по вопросам, входящим в компетенцию ответственного.

4.6. Запрашивать и получать от всех структурных подразделений министерства сведения, справочные и другие материалы, необходимые для осуществления деятельности ответственного.

4.7. Составлять акты и другую техническую документацию о степени защищенности объектов информатизации.

4.8. Вносить предложения:

- о проведении работ по защите персональных данных;

- о привлечении к проведению работ по оценке эффективности защиты персональных данных на объектах министерства (на договорной основе) учреждений и организаций, имеющих лицензию на соответствующий вид деятельности;

- о закупке необходимых технических средств защиты и другой спецтехники, имеющих в обязательном порядке сертификат качества.

4.9. Осуществлять визирование договоров с контрагентами с целью правового обеспечения передачи им персональных данных субъектов министерства в ходе выполнения работ по этим договорам.

5. Взаимодействия (служебные связи)

5.1. Ответственный за организацию обработки персональных данных выполняет свои задачи осуществляя взаимодействие со всеми структурными подразделениями министерства.

5.2. Для выполнения своих функций и реализации предоставленных прав ответственный за организацию обработки персональных данных взаимодействует с территориальными и региональными подразделениями Федеральной службы по техническому и экспортному контролю России, Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, Федеральной службы безопасности Российской Федерации, министерства внутренних дел Российской Федерации и другими представителями исполнительной власти Российской Федерации.

6. Ответственность

6.1. Ответственный за организацию обработки персональных данных несет ответственность за надлежащее и своевременное выполнение возложенных задач и функций по организации обработки персональных данных в министерстве в соответствии с положениями законодательства Российской Федерации в области персональных данных.

Начальник отдела по защите государственной тайны, информационной безопасности и мобилизационной работе

О.В. Шабля