По датам
Введите даты для поиска:
Полезное
Выборки
Типы документов
Приказ комитета образования ЕАО от 12.09.2014 N 541 "О мерах, направленных на обеспечение безопасности персональных данных"
КОМИТЕТ ОБРАЗОВАНИЯ ЕВРЕЙСКОЙ АВТОНОМНОЙ ОБЛАСТИ
ПРИКАЗ
от 12 сентября 2014 г. № 541
О МЕРАХ, НАПРАВЛЕННЫХ НА ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
Список изменяющих документов
(в ред. приказа комитета образования ЕАО
от 02.03.2015 № 93)
В соответствии с Федеральным законом Российской Федерации от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
ПРИКАЗЫВАЮ:
1. Утвердить:
- Положение о разрешительной системе допуска к информационным ресурсам, содержащим персональные данные, в комитете образования Еврейской автономной области согласно приложению № 1 к настоящему приказу;
- Порядок резервирования и восстановления баз данных и программного обеспечения в комитете образования Еврейской автономной области согласно приложению № 2 к настоящему приказу;
- Положение об обработке персональных данных в комитете образования Еврейской автономной области согласно приложению № 3 к настоящему приказу;
- Перечень сведений персональных данных, обрабатываемых в комитете образования Еврейской автономной области в связи с реализацией трудовых отношений, а также в связи с осуществлением государственных функций, согласно приложению № 4 к настоящему приказу;
- абзац исключен. - Приказ комитета образования ЕАО от 02.03.2015 № 93;
- Акт приема-передачи документов (иных материальных носителей), содержащих персональные данные государственного гражданского служащего (работника, замещающего должность, не являющуюся должностью гражданской службы) комитета образования Еврейской автономной области, согласно приложению № 6 к настоящему приказу;
- форму Согласия государственного гражданского служащего (работника, замещающего должность, не являющуюся должностью гражданской службы) комитета образования Еврейской автономной области на обработку его персональных данных согласно приложению № 7 к настоящему приказу;
- форму Согласия государственного гражданского служащего (работника, замещающего должность, не являющуюся должностью гражданской службы) комитета образования Еврейской автономной области на получение его персональных данных у третьей стороны согласно приложению № 8 к настоящему приказу;
- форму Согласия государственного гражданского служащего (работника, замещающего должность, не являющуюся должностью гражданской службы) комитета образования Еврейской автономной области на передачу его персональных данных третьей стороне согласно приложению № 9 к настоящему приказу;
- форму Обязательства государственного гражданского служащего (работника, замещающего должность, не являющуюся должностью гражданской службы) органа исполнительной власти или местного самоуправления о соблюдении конфиденциальности персональных данных и соблюдении правил их обработки согласно приложению № 10 к настоящему приказу.
2. Контроль за исполнением приказа возложить на первого заместителя председателя комитета образования Хромову Т.А.
3. Настоящий приказ вступает в силу со дня его опубликования.
Председатель комитета
Т.М.ПЧЕЛКИНА
Приложение № 1
к приказу комитета образования
Еврейской автономной области
от 12.09.2014 № 541
ПОЛОЖЕНИЕ
О РАЗРЕШИТЕЛЬНОЙ СИСТЕМЕ ДОПУСКА К ИНФОРМАЦИОННЫМ РЕСУРСАМ,
СОДЕРЖАЩИМ ПЕРСОНАЛЬНЫЕ ДАННЫЕ, В КОМИТЕТЕ ОБРАЗОВАНИЯ
ЕВРЕЙСКОЙ АВТОНОМНОЙ ОБЛАСТИ
Список изменяющих документов
(в ред. приказа комитета образования ЕАО
от 02.03.2015 № 93)
1. Общие положения
1.1. Положение о разрешительной системе допуска к информационным ресурсам, содержащим персональные данные (далее - Положение), в комитете образования Еврейской автономной области разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Постановлением Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и другими нормативными документами.
1.2. Разрешительная система допуска к информационным ресурсам Комитета представляет собой совокупность процедур оформления допуска субъектов к информационным ресурсам (далее - объекты допуска) комитета образования Еврейской автономной области и ответственных лиц, осуществляющих реализацию этих процедур.
1.3. Объектами допуска являются:
- документированная информация на бумажных носителях в виде отдельных документов или дел;
- информационные ресурсы в автоматизированных системах в виде баз данных, библиотек, архивов и на машинных носителях.
1.4. Субъектами допуска являются:
- сотрудники комитета образования Еврейской автономной области;
- юридические и физические лица, действующие на основании заключенных договоров или на других основаниях в рамках действующего законодательства.
1.5. Субъекты допуска несут персональную ответственность за соблюдение ими установленного в комитете образования Еврейской автономной области порядка обеспечения защиты информационных ресурсов.
1.6. Ответственными лицами комитета образования Еврейской автономной области, осуществляющими реализацию процедур оформления субъектов на допуск к информационным ресурсам, являются:
- Пчелкина Т.М. - председатель комитета;
- Дерябина И.Н. - ответственный за информационную безопасность.
2. Термины и определения
2.1. Информационная система (далее - ИС) - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
2.2. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
2.3. Администратор ИС - лицо, ответственное за функционирование ИС в установленном штатном режиме работы.
2.4. Администратор безопасности - должностное лицо, ответственное за обеспечение безопасности информации, в том числе персональных данных, обрабатываемой в информационных системах комитета образования Еврейской автономной области.
(п. 2.4 в ред. приказа комитета образования ЕАО от 02.03.2015 № 93)
2.5. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.6. Документ - материальный носитель с зафиксированной на нем в любой форме информацией в виде текста, звукозаписи, изображения и (или) их сочетания, который имеет реквизиты, позволяющие его идентифицировать, и предназначен для передачи во времени и в пространстве в целях общественного использования и хранения.
2.7. Допуск к информации - возможность получения информации и ее использования.
2.8. Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
(п. 2.8 в ред. приказа комитета образования ЕАО от 02.03.2015 № 93)
2.9. Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, представления, распространения информации и способы осуществления таких процессов и методов.
2.10. Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
2.11. Матрица допуска - таблица, отображающая правила разграничения доступа к информации ограниченного доступа (персональным данным).
2.12. Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своему функциональному предназначению и техническим характеристикам.
2.13. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.14. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.15. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.16. Правила разграничения допуска - совокупность правил, регламентирующих права допуска субъектов допуска к объектам допуска.
2.17. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.18. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.19. Средства вычислительной техники - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
2.20. Субъект допуска (субъект) - лицо или процесс, действия которого регламентируются правилами разграничения допуска.
2.21. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.22. ЛВС - локально-вычислительная сеть, в которую включены персональные компьютеры комитета образования Еврейской автономной области, обеспечивающая единое информационное пространство.
3. Порядок формирования информационных ресурсов Комитета
3.1. Порядок формирования информационных ресурсов на бумажных носителях.
3.1.1. Формирование информационных ресурсов на бумажных носителях осуществляется в структурных подразделениях комитета образования Еврейской автономной области в соответствии с постановлением губернатора ЕАО от 28.09.2012 № 237 "Об утверждении Инструкции по делопроизводству в аппарате губернатора и правительства Еврейской автономной области и органах исполнительной власти Еврейской автономной области, формируемых правительством Еврейской автономной области".
3.2. Порядок формирования информационных ресурсов в ИС.
3.2.1. Информационные ресурсы, формируемые в ИС, подразделяются на:
- сетевые ресурсы с допуском одной группы пользователей (ресурсы структурного подразделения комитета образования Еврейской автономной области);
- ресурсы пользователя.
3.2.2. Общедоступные информационные ресурсы и информационные ресурсы, содержащие персональные данные, формируются в ИС.
3.2.3. Решение о формировании новых информационных ресурсов принимает руководитель структурного подразделения комитета образования Еврейской автономной области, инициирующий это решение.
3.2.4. В служебной записке на имя председателя комитета образования Еврейской автономной области начальник структурного подразделения комитета образования Еврейской автономной области обосновывает необходимость создания нового информационного ресурса и указывает, в интересах каких групп пользователей информационные ресурсы создаются.
3.2.5. Непосредственное формирование нового сетевого информационного ресурса осуществляет администратор ИС. На исполненной служебной записке администратор ИС проставляет отметку о создании и местонахождении информационного ресурса.
3.2.6. Исполненная администратором ИС служебная записка передается администратору безопасности, который вносит изменения и дополнения в "Матрицу допуска к информационным ресурсам ИС" и в "Перечень информационных ресурсов, содержащих персональные данные, подлежащих защите в ИС".
4. Допуск к информационным ресурсам сотрудников Комитета
4.1. Допуск сотрудников к информационным ресурсам, содержащим персональные данные, осуществляется в объеме, необходимом для выполнения ими должностных обязанностей.
4.2. Процедура оформления допуска к информационным ресурсам, содержащим персональные данные, включает в себя:
4.2.1. Оформление заявки администратору ИС, которая представляется руководителем структурного подразделения комитета образования Еврейской автономной области, согласованной вышестоящим руководителем. В заявке указывается наименование информационного ресурса и уровень допуска к данному ресурсу конкретного сотрудника комитета образования Еврейской автономной области.
4.2.2. Проверку администратором информационной безопасности на соответствие требуемых прав допуска с реально необходимыми для выполнения должностных (функциональных) обязанностей данного сотрудника комитета образования Еврейской автономной области. Согласованная заявка является разрешением на допуск и основанием для регистрации пользователя в локальной вычислительной сети ИС администратором ИС.
4.2.3. Изучение сотрудником Инструкции пользователя при обращении с персональными данными комитета образования Еврейской автономной области и правил их обработки.
5. Допуск к информационным ресурсам комитета образования Еврейской автономной области сторонних организаций, деятельность которых не связана с использованием функций комитета образования Еврейской автономной области.
5.1. К организациям, деятельность которых не связана с исполнением функций комитета образования Еврейской автономной области, могут относиться:
(в ред. приказа комитета образования ЕАО от 02.03.2015 № 93)
правоохранительные органы;
судебные органы;
органы статистики;
органы исполнительной и законодательной власти субъектов Российской Федерации;
средства массовой информации.
5.2. Допуск к информационным ресурсам комитета образования Еврейской автономной области сторонних организаций, деятельность которых не связана с исполнением функций комитета образования Еврейской автономной области, регламентируется законодательством Российской Федерации, договорами и соглашениями об информационном обмене и другими нормативными актами.
6. Допуск к информационным ресурсам комитета образования Еврейской автономной области сторонних организаций, выполняющих работы в комитете образования Еврейской автономной области на договорной основе
6.1. К организациям, выполняющим работы на договорной основе, могут относиться:
организации, осуществляющие монтаж и настройку АС, сопровождение программно-прикладного обеспечения и технических средств;
организации, оказывающие услуги в области защиты информации (проведение специальных проверок и исследований, монтаж и настройка средств защиты информации, аттестация объектов информатизации и т.п.);
организации, осуществляющие поставку товаров для обеспечения повседневной деятельности (оргтехники, расходных материалов и т.п.);
организации и частные лица, оказывающие иные услуги (информационно-техническое обеспечение, обучение и т.п.).
6.2. Порядок допуска определяется в договоре на выполнение работ или оказание услуг.
6.3. Решением о допуске является подписанный в установленном действующим законодательством порядке договор на выполнение работ или оказание услуг.
7. Допуск к информационным ресурсам комитета образования Еврейской автономной области подведомственных учреждений, деятельность которых связана с использованием функций комитета образования Еврейской автономной области
7.1. Допуск к информационным ресурсам комитета образования Еврейской автономной области подведомственных учреждений, деятельность которых связана с исполнением функций комитета образования Еврейской автономной области, регламентируется законодательством Российской Федерации, договорами и соглашениями об информационном обмене и другими нормативно-правовыми актами.
8. Допуск к информационным ресурсам комитета образования Еврейской автономной области
8.1. Допуск государственных гражданских служащих (сотрудников) комитета образования Еврейской автономной области к информационным ресурсам, содержащим персональные данные на бумажных носителях, осуществляется в соответствии с Перечнем должностей служащих, допущенных к обработке сведений персональных данных в комитете образования Еврейской автономной области, утвержденным приказом комитета образования Еврейской автономной области, на основании должностного регламента и осуществляется в соответствии с Положением об обработке персональных данных комитета образования Еврейской автономной области.
8.2. Допуск государственных гражданских служащих (сотрудников) комитета образования Еврейской автономной области к информационным ресурсам, содержащим персональные данные на электронных носителях, осуществляется в соответствии с Перечнем должностей служащих, допущенных к обработке сведений персональных данных в комитета образования Еврейской автономной области, утвержденным приказом Комитета, на основании должностного регламента и осуществляется в соответствии с Положением об обработке персональных данных комитета образования Еврейской автономной области, а также установленным на рабочем месте программным обеспечением.
8.3. Допуск сторонних организаций к информационным ресурсам комитета образования Еврейской автономной области регламентируется федеральными законами, приказами и распоряжениями министерств и служб, законодательно наделенных полномочиями на получение информации, а также настоящим Положением и осуществляется на основании:
- письменных запросов;
- письменных соглашений (договоров) сторон об обмене информацией.
8.4. В письменном запросе (договоре) указывается:
- для каких целей необходима информация;
- ее конкретное наименование;
- способ доступа (предоставления).
Основанием для допуска к информации служит резолюция председателя комитета образования Еврейской автономной области на письменном запросе.
8.5. При наличии официального соглашения со сторонней организацией о допуске к информации комитета образования Еврейской автономной области допуск к ней осуществляется в порядке, указанном в подписанном соглашении (договоре).
8.6. Запрещается передача электронных копий баз данных любым сторонним организациям.
8.7. Проведение подрядной организацией технических работ на оборудовании комитета образования Еврейской автономной области с установленными информационными системами, содержащими персональные данные, обязательно осуществляется в присутствии администратора информационной безопасности.
(п. 8.7 в ред. приказа комитета образования ЕАО от 02.03.2015 № 93)
9. Допуск к информационным ресурсам комитета образования Еврейской автономной области сторонних организаций, выполняющих работы на договорной основе
9.1. Допуск к информационным ресурсам комитета образования Еврейской автономной области сторонних организаций, выполняющих работы на договорной основе, осуществляется на основании заключенного в соответствии с действующим законодательством договора на оказание услуг, а также настоящего Положения.
9.2. В договор на оказание услуг включается условие о неразглашении сведений, составляющих персональные данные, а также служебной информации, ставшей известной в ходе выполнения работ, если для их выполнения предусмотрено использование таких сведений. Со всеми работниками сторонней организации, участвующими в выполнении работ, в этом случае заказчиком оформляется подписка о неразглашении таких сведений.
10. Допуск к информационным ресурсам ИС комитета образования Еврейской автономной области
Правила и процедуры допуска к информационным ресурсам ИС комитета образования Еврейской автономной области определяются следующей политикой безопасности для ИС.
10.1. Администрирование прав доступа к информации в ИС производится администратором ИС:
10.1.1. С целью ограничения доступа к информационным ресурсам ИС комитета образования Еврейской автономной области установлена единая система паролирования.
10.1.2. Система паролирования включает в себя следующие основные пароли: системный пароль, пользовательский пароль, сетевой пароль (личный пароль работника), личный пароль входа в программу (базу данных).
10.1.3. Системный пароль и пользовательский пароль устанавливаются системным администратором с целью пресечения попытки несанкционированного изменения конфигурации загрузки и включения компьютера. Пользовательский пароль доводится государственному гражданскому служащему или работнику комитета образования Еврейской автономной области, замещающему должность, не являющуюся должностью гражданской службы в комитете образования Еврейской автономной области (далее - сотрудник).
10.1.4. Личные пароли сотрудника комитета образования Еврейской автономной области устанавливаются им самостоятельно с учетом следующих требований:
(в ред. приказа комитета образования ЕАО от 02.03.2015 № 93)
- длина пароля должна быть не менее 8 символов;
- в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ, слова из словаря и т.д.), а также общепринятые сокращения (ПЭВМ, ЛВС, user, sysadmin и т.д.);
- при смене пароля новое значение должно отличаться от предыдущего не менее чем на 6 позиций.
10.1.5. Личный пароль является идентификатором (опознавателем) сотрудника, допущенного к информационным ресурсам ИС, и составляет его секрет.
10.1.6. Полная плановая смена паролей должна проводиться регулярно, не реже одного раза в 3 месяца.
10.1.7. Внеплановая смена (удаление) личного пароля любого сотрудника (пользователя ИС) в случае прекращения его полномочий (увольнение либо переход на другую работу) должна производиться немедленно после окончания последнего сеанса работы данного сотрудника с системой.
10.1.8. Внеплановая полная смена паролей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу и другие обстоятельства) администратора информационной безопасности, а также других сотрудников, которым по роду работы были предоставлены либо полномочия по управлению ИС в целом, либо полномочия по управлению подсистемой защиты информации данной ИС, а значит, кроме личного пароля, им могли быть известны пароли других пользователей системы.
10.1.9. В случае компрометации личного пароля хотя бы одного пользователя ИС необходимо немедленно предпринять меры в соответствии с п. 10.1.8 настоящего Положения в зависимости от полномочий владельца скомпрометированного пароля.
10.1.10. Системные пароли и пользовательские пароли в ИС регистрируются в книге паролей. Книга паролей ведется администратором информационной безопасности и хранится в месте, исключающем доступ к ней посторонних лиц.
В случае необходимости пароль рабочей станции может выдаваться под роспись руководителю соответствующего структурного подразделения.
10.1.11. Каждый сотрудник комитета образования Еврейской автономной области, допущенный к информационным ресурсам ИС, получает свое пользовательское (сетевое) имя, которое составляется системным администратором и доводится до пользователя.
10.1.12. Сетевое имя и индивидуальный пароль являются идентификатором (опознавателем) сотрудника, допущенного к информационным ресурсам ИС, и составляют его секрет.
10.1.13. Сотрудник имеет право войти в ИС только с тех рабочих станций, которые были указаны руководителем структурного подразделения комитета образования Еврейской автономной области в заявке при регистрации сотрудника в ЛВС комитета образования Еврейской автономной области.
10.1.14. При входе в ИС сотрудник обязан зарегистрироваться под своим пользовательским именем и набрать индивидуальный пароль, после чего он получает доступ к отведенным для него ресурсам.
10.1.15. Ответственность за уничтожение и изменение информации несет сотрудник, под чьим именем была проведена регистрация.
10.1.16. Все сотрудники комитета образования Еврейской автономной области, допущенные к работе с информационными ресурсами, должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, за разглашение парольной информации и сохранность информации в отведенных ему разделах сервера.
10.2. Доступ к конфигурации компьютеров и ЛВС.
10.2.1. С целью пресечения несанкционированных действий сотрудниками должны выполняться необходимые мероприятия по защите конфигурационных настроек как компьютера, так и локальной сети в целом.
10.2.2. С целью обеспечения функционирования "сетевой политики" в программе начальной загрузки setup должна быть заблокирована возможность загрузки с системной дискеты, CD-ROM или USB-flash накопителя.
10.2.3. Для обеспечения безопасности функционирования ЛВС и данных устанавливаются ограничения для программ настроек сети, защиты системы, блокируется возможность настройки сети сотрудником, скрываются кнопки организации доступа к файлам и принтерам, делаются недоступными средства редактирования реестра, запрещается запуск программ MS-DOS в монопольном режиме, запрещается удаленный доступ к сети и т.д.
10.3. После регистрации пользователя в ИС администратор информационной безопасности вносит изменения в "Матрицу допуска к информационным ресурсам ИС" для последующего контроля прав и полномочий пользователя ИС.
11. Контроль функционирования разрешительной системы допуска к информационным ресурсам комитета образования Еврейской автономной области
11.1. Контроль функционирования разрешительной системы допуска к информационным ресурсам комитета образования Еврейской автономной области организуется в соответствии с:
- приказами председателя комитета образования Еврейской автономной области;
- планом основных мероприятий по защите информации на текущий год;
- функциональными обязанностями должностных лиц.
11.2. Контроль функционирования разрешительной системы допуска к информационным ресурсам комитета образования Еврейской автономной области осуществляется руководителями структурных подразделений комитета образования Еврейской автономной области, администратором информационной безопасности. Организация контроля возлагается на заместителя председателя комитета образования Еврейской автономной области, ответственного за обработку персональных данных в комитете образования Еврейской автономной области.
Приложение № 2
к приказу комитета образования
Еврейской автономной области
от 12.09.2014 № 541
ПОРЯДОК
РЕЗЕРВИРОВАНИЯ И ВОССТАНОВЛЕНИЯ БАЗ ДАННЫХ И
ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ В КОМИТЕТЕ ОБРАЗОВАНИЯ
ЕВРЕЙСКОЙ АВТОНОМНОЙ ОБЛАСТИ
1. Общие положения
1.1. Настоящая Инструкция устанавливает основные требования к организации резервного копирования (восстановления) программ и данных, хранящихся в базах данных на сервере комитета образования Еврейской автономной области, а также к резервированию аппаратных средств.
1.2. Настоящая Инструкция разработана с целью:
определения категории информации, подлежащей обязательному резервному копированию;
определения процедуры резервирования данных для последующего восстановления работоспособности информационных систем при полной или частичной потере информации, вызванной сбоями или отказами аппаратного или программного обеспечения, ошибками пользователей, чрезвычайными обстоятельствами (пожаром, стихийными бедствиями и т.д.);
определения порядка восстановления информации в случае возникновения такой необходимости;
упорядочения работы и определения ответственности должностных лиц, связанной с резервным копированием и восстановлением информации.
1.3. Под резервным копированием информации понимается создание избыточных копий защищаемой информации в электронном виде для быстрого восстановления работоспособности информационных систем персональных данных (далее - ИСПДн) комитета образования Еврейской автономной области в случае возникновения аварийной ситуации, повлекшей за собой повреждение или утрату данных.
1.4. Резервному копированию подлежит информация следующих основных категорий:
персональная информация пользователей (личные каталоги) и групповая информация (общие каталоги подразделений) на файловых серверах;
информация, обрабатываемая пользователями в ИСПДн, а также информация, необходимая для восстановления работоспособности ИСПДн, в т.ч. систем управления базами данных (далее - СУБД) общего пользования, и справочно-информационные системы общего использования;
рабочие копии установочных компонентов программного обеспечения общего назначения и специализированного программного обеспечения ИСПДн, СУБД, сервера и рабочих станций;
информация, необходимая для восстановления сервера и систем управления базами данных ИСПДн, локальной вычислительной сети комитета образования Еврейской автономной области (далее - ЛВС), системы электронного документооборота комитета образования Еврейской автономной области;
регистрационная информация системы информационной безопасности ИСПДн комитета образования Еврейской автономной области;
другая информация ИСПДн, по мнению пользователей и администратора информационной безопасности персональных данных комитета образования Еврейской автономной области (далее - администратор безопасности) являющаяся критичной для работоспособности ИСПДн.
1.5. Для каждой ИСПДн разрабатывается отдельный Порядок резервного копирования в зависимости от следующих требований:
состава и объема копируемых данных, необходимой периодичности проведения резервного копирования;
максимального срока хранения резервных копий;
требований к надежности и защищенности хранения резервных копий;
требований к резервируемым аппаратным средствам ИСПДн комитета образования Еврейской автономной области (при необходимости, в случае предъявления высоких требований к обеспечению доступности данных, обрабатываемых в ИСПДн, и значительного ущерба комитету образования Еврейской автономной области при нарушении заданных характеристик безопасности персональных данных).
Допускается составление одного Порядка резервного копирования для нескольких ИСПДн комитета образования Еврейской автономной области в случае идентичности требований к их резервированию.
1.6. Машинным носителям информации, содержащим резервную копию, присваивается гриф конфиденциальности по наивысшему грифу содержащихся на них сведений.
1.7. Резервные копии хранятся вне пределов серверного помещения или помещения, где установлен АРМ, обрабатывающий ИСПДн комитета образования Еврейской автономной области, но не подключенный к ЛВС комитета образования Еврейской автономной области. Доступ к резервным копиям ограничен. К носителям информации, содержащим резервные копии, а также к резервируемым программным и аппаратным средствам допускаются только сотрудники комитета образования Еврейской автономной области, указанные в Списке лиц, имеющих доступ к резервируемым программным и аппаратным средствам ИСПДн. Изменение прав доступа к резервируемым техническим средствам, массивам и носителям информации производится на основании служебной записки руководителя структурного подразделения комитета образования Еврейской автономной области. О выявленных попытках несанкционированного доступа к резервируемой информации и аппаратным средствам, а также иных нарушениях информационной безопасности, произошедших в процессе резервного копирования, сообщается заместителю председателя комитета образования Еврейской автономной области, ответственному за обработку персональных данных в комитете образования Еврейской автономной области, служебной запиской в течение рабочего дня после обнаружения указанного события.
2. Общие требования к резервному копированию
2.1. В Порядке резервного копирования описываются действия при выполнении следующих мероприятий:
- резервное копирование с указанием конкретных резервируемых данных и аппаратных средств (в случае необходимости);
- контроль резервного копирования;
- хранение резервных копий;
- полное или частичное восстановление данных.
2.2. Архивное копирование резервируемой информации производится при помощи специализированных программно-аппаратных систем резервного копирования, программный и аппаратный состав которых обеспечивает выполнение требований к резервному копированию, приведенных в п. 1.5 настоящего Порядка. Система резервного копирования обеспечивает производительность, достаточную для сохранения информации, указанной в п. 1.4 настоящего Порядка, в установленные сроки и с заданной периодичностью.
2.3. Требования к техническому обеспечению систем резервного копирования:
- это комплекс взаимосвязанных технических средств, обеспечивающих процессы сбора, передачи, обработки и хранения информации, основывающийся на единой технологической платформе;
- имеет возможность расширения (замены) состава технических средств, входящих в комплекс, для улучшения их эксплуатационно-технических характеристик по мере возрастания объемов обрабатываемой информации;
- обеспечивает выполнение функций, перечисленных в п. 2.1 настоящего Порядка;
- средства вычислительной техники отвечают действующим на момент сертификации российским и международным стандартам и рекомендациям.
2.4. Требования к программному обеспечению систем резервного копирования:
- системное программное обеспечение и программное обеспечение резервного копирования должно быть лицензионным;
- программное обеспечение резервного копирования обеспечивает простоту процесса инсталляции, конфигурирования и сопровождения.
2.5. Сопровождение системы резервного копирования возлагается на администратора информационной безопасности, который обязан следить за работоспособностью программных и аппаратных средств, осуществляющих архивное копирование, в соответствии с их инструкциями по эксплуатации.
2.6. Предварительный учет магнитных носителей архивных копий производится в отдельном журнале учета магнитных носителей для архивного копирования, который находится у администраторов ИСПДн. Все магнитные носители с архивными копиями маркируются, на них указывается предназначение носителя.
В случае неотделимости носителей архивной информации от системы резервного копирования допускается их не маркировать и учитывать всю систему как одно целое.
2.7. Хранение отдельных магнитных носителей архивных копий организуется в отдельном от используемых данных помещении. Физический доступ к архивным копиям строго ограничен. Контроль за физическим доступом возлагается на администратора информационной безопасности и администраторов ИСПДн.
2.8. Доступ к носителям архивных копий имеют только администратор информационной безопасности и администраторы ИСПДн, которые несут персональную ответственность за сохранность архивных копий и невозможность ознакомления с ними лиц, не имеющих на то права.
2.9. Магнитные носители для архивных копий изымаются для работы только работником, непосредственно осуществляющим резервное копирование, под роспись в журнале учета магнитных носителей архивных копий. Передача магнитных носителей с архивными копиями кому бы то ни было без соответствующего документального оформления не допускается.
2.10. Уничтожение отделяемых магнитных носителей архивных копий производится установленным порядком в случае прихода их в негодность или замены типа носителя с обязательной записью в журнале их учета.
3. Ответственность за состояние резервного копирования
3.1. Ответственность за периодичность и полноту резервного копирования, а также состояние системы резервного копирования возлагается на администраторов ИСПДн, осуществляющих резервное копирование.
3.2. Ответственность за контроль над своевременным осуществлением резервного копирования и соблюдением соответствующего Порядка резервного копирования, а также за выполнением требований по хранению архивных копий и предотвращению несанкционированного доступа к ним возлагается на администратора информационной безопасности.
3.3. В случае обнаружения администраторами ИСПДн попыток несанкционированного доступа к носителям архивной информации, а также иных нарушений информационной безопасности, произошедших в процессе резервного копирования, сообщается заместителю председателя комитета образования Еврейской автономной области, ответственному за обработку персональных данных в комитете образования Еврейской автономной области, служебной запиской в течение рабочего дня после обнаружения указанного события.
4. Периодичность резервного копирования
4.1. Резервное копирование специализированного программного обеспечения производится при его получении (если это предусмотрено инструкцией по его применению и не противоречит условиям его распространения), а также при его обновлении и получении исправленных и обновленных версий.
4.2. Резервное копирование открытой информации делается не позднее чем через сутки после ее изменения, но не реже одного раза в месяц.
4.3. Информация персональных данных, содержащаяся в постоянно изменяемых базах данных комитета образования Еврейской автономной области, сохраняется в соответствии со следующим графиком:
- ежедневно проводится копирование измененной и дополненной информации. Носители с ежедневной информацией должны храниться в течение недели;
- еженедельно проводится резервное копирование всей базы данных, носители с еженедельными копиями хранятся в течение месяца;
- ежемесячно производится резервное копирование на специально выделенный носитель длительного хранения, информация на котором хранится постоянно.
4.4. Не реже одного раза в год на носители длительного хранения записывается информация, не относящаяся к постоянно изменяемым базам данных (приказы, распоряжения, открытые издания и т.д.).
5. Контроль результатов резервного копирования
5.1. Контроль результатов всех процедур резервного копирования осуществляется администраторами ИСПДн в срок до 18 часов рабочего дня, следующего за установленной датой выполнения этих процедур. В случае обнаружения ошибки лицо, ответственное за контроль результатов, сообщает администратору информационной безопасности до 18 часов текущего рабочего дня.
5.2. На протяжении периода времени, когда система резервного копирования находится в аварийном состоянии, осуществляется ежедневное копирование информации, подлежащей резервированию, с использованием средств файловых систем сервера, располагающих необходимыми объемами дискового пространства для ее хранения.
6. Ротация носителей резервной копии
6.1. Система резервного копирования обеспечивает возможность периодической замены (выгрузки) резервных носителей без потерь информации на них, а также обеспечивает восстановление текущей информации ИСПДн Комитета в случае отказа любого из устройств резервного копирования.
6.2. Все процедуры по загрузке, выгрузке носителей из системы резервного копирования осуществляются администратором ИСПДн. В качестве новых носителей допускается повторно использовать те, у которых срок хранения содержащейся информации истек. Информация ограниченного доступа с носителей, которые перестают использоваться в системе резервного копирования, уничтожается.
7. Восстановление информации из резервных копий
7.1. В случае необходимости восстановление данных из резервных копий производится администратором ИСПДн.
7.2. Восстановление данных из резервных копий происходит в случае их исчезновения или нарушения вследствие несанкционированного доступа в систему, воздействия вирусов, программных ошибок, ошибок работников и аппаратных сбоев.
7.3. Восстановление системного программного обеспечения и программного обеспечения общего назначения производится с их носителей в соответствии с инструкциями производителя.
7.4. Восстановление специализированного программного обеспечения производится с дистрибутивных носителей или их резервных копий в соответствии с инструкциями по установке или восстановлению данного программного обеспечения.
7.5. Восстановление информации, не относящейся к постоянно изменяемым базам данных, производится с резервных носителей. При этом используется последняя копия информации.
7.6. При частичном нарушении или исчезновении записей баз данных восстановление производится с последней ненарушенной ежедневной копии. Полностью информация восстанавливается с последней еженедельной копии, которая затем дополняется ежедневными частичными резервными копиями.
Приложение № 3
к приказу комитета образования
Еврейской автономной области
от 12.09.2014 № 541
ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОМИТЕТЕ ОБРАЗОВАНИЯ
ЕВРЕЙСКОЙ АВТОНОМНОЙ ОБЛАСТИ
Список изменяющих документов
(в ред. приказа комитета образования ЕАО
от 02.03.2015 № 93)
1. Общие положения
1.1. Настоящее Положение об обработке персональных данных в комитете образования Еврейской автономной области (далее - Положение) разработано в соответствии с требованиями Гражданского кодекса Российской Федерации, Указа Президента Российской Федерации от 6 марта 1997 г. № 188 "Об утверждении Перечня сведений конфиденциального характера", Доктрины информационной безопасности Российской Федерации (утверждена Президентом Российской Федерации 9 сентября 2000 г. № Пр-1895), Федерального закона от 27.07.2004 № 79-ФЗ "О государственной гражданской службе Российской Федерации", Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Федеральный закон), Постановления Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Постановления Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Постановления Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", положений главы 14 Трудового кодекса Российской Федерации "Защита персональных данных работников" и Положения о комитете образования Еврейской автономной области.
1.2. Настоящее Положение определяет порядок обработки персональных данных в комитете образования Еврейской автономной области (далее - Комитет) в связи с реализацией трудовых отношений, а также в связи с осуществлением государственных функций.
1.3. Персональные данные, обрабатываемые в Комитете, являются конфиденциальной информацией, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных Федеральными законами случаях.
1.4. Целью данного Положения является защита конфиденциальной информации, содержащей персональные данные от несанкционированного доступа, неправомерного их использования или утраты.
1.5. Настоящее Положение утверждается и вводится в действие приказом руководителя Комитета и является обязательным для исполнения всеми государственными гражданскими служащими, работниками, имеющими доступ к обработке персональных данных.
2. Используемые понятия
Для целей настоящего Положения используются следующие основные понятия:
персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
конфиденциальность персональных данных - обязательная для соблюдения Комитетом или иным получившим доступ к персональным данным лицом обязанность не раскрывать третьим лицам, не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с Федеральным законом не распространяется требование соблюдения конфиденциальности;
информация - сведения (сообщения, данные) независимо от формы их предоставления;
документационная информация - зафиксированная на материальном носителе путем документирования информации с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
3. Обработка персональных данных в Комитете в связи
с осуществлением государственных функций
3.1 Общие правила обработки персональных данных Комитета в связи с осуществлением государственных функций.
3.1.1. Обработка персональных данных в Комитете должна осуществляться на законной основе.
3.1.2. Обработка персональных данных в Комитете должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.1.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.1.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.1.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
3.1.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
Ответственный за организацию обработки персональных данных в Комитете должен принимать решения и организовывать необходимые меры по удалению или уточнению неполных или неточных персональных данных.
3.1.7. Мерами, направленными на выявление и предотвращение нарушений, предусмотренных законодательством, являются:
- осуществление внутреннего контроля соответствия обработки персональных данных нормам Закона и принятым в соответствии с ним нормативным правовым актам;
- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона, соотношение указанного вреда и принимаемых Комитетом мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом;
- ознакомление государственных гражданских служащих и работников Комитета, замещающих должности, не являющиеся должностями гражданской службы в Комитете (далее - сотрудники), непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, и (или) обучение сотрудников, подписание обязательства сотрудника Комитета о соблюдении конфиденциальности персональных данных и соблюдении правил их обработки.
3.1.8. Обеспечение безопасности персональных данных достигается, в частности:
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- проведением в установленном порядке процедуры оценки соответствия средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учетом машинных носителей персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер по их недопущению;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
3.1.9. Целью обработки персональных данных в Комитете является обеспечение соблюдения законов и иных нормативных правовых актов.
3.1.10. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Законом, договором, стороной которого является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законом.
3.1.11. В случае выявления неправомерной обработки персональных данных, осуществляемой служащим Комитета, в срок, не превышающий трех рабочих дней с даты этого выявления, он обязан прекратить неправомерную обработку персональных данных.
В случае если обеспечить правомерность обработки персональных данных невозможно, сотрудник Комитета в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные.
Об устранении допущенных нарушений или об уничтожении персональных данных сотрудник Комитета обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
3.1.12. В случае достижения цели обработки персональных данных сотрудник Комитета обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных, иным соглашением между Комитетом и субъектом персональных данных, либо если Комитет не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом "О персональных данных" или другими федеральными законами.
3.1.13. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных сотрудник Комитета обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Комитетом и субъектом персональных данных.
Об уничтожении персональных данных сотрудник Комитета обязан уведомить субъекта персональных данных не позднее трех рабочих дней со дня уничтожения.
3.1.14. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных выше, сотрудник осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок, не превышающий шести месяцев, если иной срок не установлен федеральными законами.
3.2 Категории субъектов персональных данных.
В зависимости от субъекта персональных данных Комитет обрабатывает персональные данные следующих категорий субъектов персональных данных:
- персональные данные сотрудников Комитета, необходимые Комитету в связи с трудовыми отношениями и касающиеся конкретного сотрудника;
(в ред. приказа комитета образования ЕАО от 02.03.2015 № 93)
- персональные данные руководителей подведомственных государственных учреждений, необходимые Комитету для отражения в отчетных документах о деятельности Комитета в соответствии с требованиями федеральных законов, нормативных документов правительства Еврейской автономной области и иных нормативных правовых актов;
- персональные данные руководителя или специалиста юридического лица, являющегося контрагентом Комитета, необходимые Комитету для выполнения своих обязательств в рамках договорных отношений с контрагентом и для выполнения требований законодательства Российской Федерации;
- граждан, обращающихся в Комитет в соответствии с Федеральным законом от 02.05.2006 № 59-ФЗ "О порядке рассмотрения обращений граждан в Российской Федерации".
3.3. Правила рассмотрения запросов субъектов персональных данных или их представителей.
3.3.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Комитетом;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Комитетом способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах (за исключением сотрудников Комитета), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Комитетом или на основании Закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок предоставления таких данных не предусмотрен Законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Комитета, если обработка поручена или будет поручена такому лицу.
3.3.2. Субъект персональных данных вправе требовать от Комитета уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные Законом меры по защите своих прав.
3.3.3. Сведения должны быть предоставлены субъекту персональных данных Комитетом в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
3.3.4. Сведения предоставляются субъекту персональных данных или его представителю Комитетом при обращении либо при получении запроса субъекта персональных данных или его представителя.
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Комитетом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Комитетом, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
3.3.5. В случае если обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Комитет или направить ему повторный запрос в целях ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
3.3.6. Субъект персональных данных вправе обратиться повторно в Комитет или направить ему повторный запрос в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 3.3.5 настоящего Положения, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 3.3.4 настоящего Положения, должен содержать обоснование направления повторного запроса.
(п. 3.3.6 в ред. приказа комитета образования ЕАО от 02.03.2015 № 93)
3.3.7. Комитет вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 3.3.5 и 3.3.6 настоящего Положения. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Комитете.
4. Обработка персональных данных сотрудников Комитета
4.1. Обработка персональных данных осуществляется для обеспечения соблюдения законов и иных нормативных правовых актов, содействия в трудоустройстве, обучении, продвижении по службе, обеспечения личной безопасности, контроля качества и количества выполняемой работы и обеспечения сохранности имущества, оплаты труда, пользования льготами, предусмотренными законодательством Российской Федерации и актами Комитета.
4.2. Специалисты кадровой службы (далее - уполномоченные специалисты) не имеют права получать и обрабатывать персональные данные сотрудника Комитета о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации уполномоченные специалисты вправе получать и обрабатывать данные о частной жизни сотрудника только с его письменного согласия.
Уполномоченные специалисты не имеют права получать и обрабатывать персональные данные сотрудника Комитета о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Законом.
При принятии решений, затрагивающих интересы сотрудника, уполномоченные специалисты не имеют права основываться на персональных данных сотрудника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
4.3. На основании норм Трудового кодекса РФ, а также исходя из положений Закона, обработка персональных данных осуществляется представителем работодателя без письменного согласия сотрудника Комитета, за исключением случаев, предусмотренных Законом.
4.4. Все персональные данные о сотруднике Комитета представитель работодателя может и должен получить от него самого.
4.5. Сотрудник обязан представлять в Комитет достоверные сведения о себе и своевременно сообщать об изменении своих персональных данных. Комитет имеет право проверять достоверность сведений, представленных сотрудником, сверяя представленные данные с документами.
4.6. В случаях, когда Комитет может получить необходимые персональные данные сотрудника только у третьего лица, Комитет должен уведомить об этом сотрудника и получить от него письменное согласие.
Комитет обязан сообщить сотруднику о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа сотрудника дать письменное согласие на их получение.
4.7. Персональные данные сотрудника Комитета хранятся в кадровой службе в личном деле государственного гражданского служащего (работника). Личные дела хранятся в бумажном виде в папках и находятся в сейфе или в несгораемом шкафу.
Персональные данные сотрудника Комитета в кадровой службе хранятся также в электронном виде на выделенном АРМ. Доступ к электронным базам данных, содержащим персональные данные сотрудников, обеспечивается системой паролей. Пароли устанавливаются администратором ИСПДн.
Хранение персональных данных сотрудников в бухгалтерии Комитета осуществляется на АРМ, подключенных в автономную локальную сеть без выхода в Интернет.
4.8. Сотрудник Комитета, имеющий доступ к персональным данным в связи с исполнением служебных обязанностей, обеспечивает хранение информации, содержащей персональные данные сотрудников Комитета, исключающее доступ к ней третьих лиц.
В отсутствие уполномоченного специалиста на его рабочем месте не должно быть документов, содержащих персональные данные (соблюдение "политики чистых столов").
При уходе в отпуск, убытии в служебную командировку и иных случаях длительного отсутствия сотрудника Комитета на своем служебном месте он обязан передать документы и носители, содержащие персональные данные сотрудников Комитета, лицу, на которое приказом председателя Комитета будет возложено исполнение его служебных обязанностей.
В случае если такое лицо не назначено, то документы и носители, содержащие персональные данные, передаются другому сотруднику, имеющему доступ к персональным данным, по указанию руководителя структурного подразделения.
При увольнении сотрудника, имеющего доступ к персональным данным, документы и носители, содержащие персональные данные сотрудников, передаются другому сотруднику, имеющему соответствующий доступ к персональным данным, по указанию руководителя структурного подразделения.
4.9. Доступ к персональным данным сотрудников Комитета имеют сотрудники, которым персональные данные необходимы в связи с исполнением ими служебных обязанностей, согласно Перечню лиц, допущенных к обработке защищаемой информации, утвержденному приказом Комитета.
(п. 4.9 в ред. приказа комитета образования ЕАО от 02.03.2015 № 93)
4.10. В случае если Комитету оказывают услуги юридические и физические лица на основании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к персональным данным сотрудников Комитета, то соответствующие данные предоставляются Комитетом только после подписания с ними соглашения о неразглашении конфиденциальной информации.
В исключительных случаях, исходя из договорных отношений с контрагентом, допускается наличие в договорах пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных сотрудников.
4.11. Процедура оформления доступа к персональным данным сотрудников Комитета включает в себя:
ознакомление сотрудника под роспись с настоящим Положением;
получение от сотрудника письменного обязательства о соблюдении конфиденциальности персональных данных и соблюдении правил их обработки.
При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных сотрудников Комитета, также производится ознакомление под роспись.
4.12. Сотрудники Комитета, имеющие доступ к персональным данным, имеют право получать только те персональные данные сотрудников, которые необходимы им для выполнения конкретных служебных функций.
4.13. Доступ к персональным данным без специального разрешения председателя Комитета имеют сотрудники, занимающие в организации следующие должности:
- председатель Комитета;
- первый заместитель председателя Комитета;
- заместители председателя Комитета;
- сотрудник кадровой службы Комитета;
- начальник отдела бюджетного планирования и финансирования Комитета.
4.14. Допуск к персональным данным других сотрудников Комитета, не имеющих надлежащим образом оформленного доступа, запрещается.
4.15. Сотрудник Комитета имеет право на свободный доступ к своим персональным данным, включая право на получение копии любой записи (за исключением случаев, предусмотренных Законом), содержащей его персональные данные. Сотрудник имеет право вносить предложения по внесению изменений в свои данные в случае обнаружения в них неточностей.
4.16. Кадровая служба вправе передавать персональные данные сотрудников в бухгалтерию и иные структурные подразделения, в случае необходимости исполнения сотрудниками соответствующих структурных подразделений своих служебных обязанностей.
При передаче персональных данных сотрудник кадровой службы, получающий данную информацию, информируется о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.
4.17. Передача (обмен и т.д.) персональных данных между подразделениями Комитета осуществляется только между сотрудниками, имеющими доступ к персональным данным.
4.18. Передача персональных данных сотрудников Комитета третьим лицам осуществляется только с их письменного согласия, которое должно включать в себя:
- фамилию, имя, отчество, адрес сотрудника Комитета, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя сотрудника Комитета, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя сотрудника Комитета);
- наименование и адрес работодателя, получающего согласие сотрудника Комитета;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие сотрудника Комитета;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Комитета, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Комитетом способов обработки персональных данных;
- срок, в течение которого действует согласие сотрудника Комитета, а также способ его отзыва, если иное не установлено Федеральным законом;
- подпись сотрудника Комитета.
Примечание: Согласия сотрудника Комитета на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника; когда третьи лица оказывают услуги Комитету на основании заключенных договоров, а также в случаях, установленных Законом и настоящим Положением.
4.19. Не допускается передача персональных данных сотрудника в коммерческих целях без его письменного согласия.
4.20. Должностные лица Комитета, передающие персональные данные сотрудников Комитета третьим лицам, должны передавать их с обязательным составлением Акта приема-передачи документов (иных материальных носителей), содержащих персональные данные сотрудников. Акт должен содержать следующие условия:
- уведомление лица, получающего данные документы, об обязанности использования полученной конфиденциальной информации лишь в целях, для которых она сообщена;
- предупреждение об ответственности за незаконное использование данной конфиденциальной информации в соответствии с федеральными законами.
4.21. Передача документов (иных материальных носителей), содержащих персональные данные сотрудников, осуществляется при наличии у лица, уполномоченного на их получение:
- договора на оказание услуг Комитету;
- соглашения о неразглашении конфиденциальной информации либо наличия в договоре с третьим лицом пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных сотрудников Комитета;
- письма-запроса от третьего лица, которое должно включать в себя указание на основания получения доступа к запрашиваемой информации, содержащей персональные данные сотрудников Комитета, ее перечень, цель использования, фамилию, имя, отчество и должность лица, которому поручается получить данную информацию.
Ответственность за соблюдение вышеуказанного порядка предоставления персональных данных несет сотрудник, а также руководитель структурного подразделения, осуществляющего передачу персональных данных сотрудников Комитета третьим лицам.
4.22. Представителю сотрудника Комитета, в том числе адвокату, персональные данные передаются в порядке, установленном действующим законодательством и настоящим Положением. Информация передается при наличии одного из документов:
- нотариально удостоверенной доверенности представителя сотрудника;
- письменного заявления сотрудника, написанного в присутствии уполномоченного специалиста (если заявление написано сотрудником Комитета не в присутствии уполномоченного специалиста, то оно должно быть нотариально заверено).
Доверенности и заявления хранятся в кадровой службе Комитета в личном деле сотрудника.
4.23. Предоставление персональных данных сотрудников Комитета государственным органам производится в соответствии с требованиями действующего законодательства и настоящим Положением.
4.24. Персональные данные сотрудника Комитета могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника, за исключением случаев, когда передача персональных данных сотрудника Комитета без его согласия допускается действующим законодательством Российской Федерации.
4.25. Документы, содержащие персональные данные сотрудника Комитета, могут быть отправлены через организацию федеральной почтовой связи. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие персональные данные, вкладываются в конверт, к нему прилагается сопроводительное письмо. На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией и за незаконное ее разглашение законодательством предусмотрена ответственность. Далее конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами для заказных почтовых отправлений.
5. Организация защиты персональных данных
сотрудников Комитета
5.1. Защита персональных данных сотрудников от неправомерного их использования или утраты обеспечивается Комитетом.
5.2. Общую организацию защиты персональных данных сотрудников осуществляет заместитель председателя Комитета, ответственный за организацию обработки персональных данных в Комитете, администраторы ИСПДн.
5.3. Сотрудник кадровой службы обеспечивает:
- ознакомление сотрудника Комитета под роспись с настоящим Положением;
- получение от сотрудника (за исключением лиц, указанных в пункте 4.13 Положения) письменного обязательства о соблюдении конфиденциальности персональных данных и соблюдении правил их обработки;
(в ред. приказа комитета образования ЕАО от 02.03.2015 № 93)
- получение от сотрудника письменного согласия на обработку персональных данных;
- общий контроль за соблюдением мер по защите персональных данных сотрудников Комитета.
5.4. Организацию и контроль за защитой персональных данных в структурных подразделениях Комитета, сотрудники которых имеют доступ к персональным данным, осуществляют их непосредственные руководители.
5.5. Защите подлежит:
- информация о персональных данных сотрудников Комитета;
- документы, содержащие персональные данные сотрудников Комитета;
- персональные данные, содержащиеся на электронных носителях.
5.6. Ответственность за защиту персональных данных, хранящихся в электронных базах данных, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий несут администраторы ИСПДн.
5.7. Техническое обеспечение мероприятий по защите информации, содержащей персональные данные сотрудников Комитета, от утечек по техническим каналам осуществляет администратор информационной безопасности в соответствии с действующим законодательством.
6. Осуществление внутреннего контроля соответствия обработки
персональных данных в Комитете требованиям к защите
персональных данных, установленным Законом
6.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Комитете организовывается проведение периодических проверок условий обработки персональных данных.
6.2. Проверки осуществляются заместителем председателя Комитета, ответственным за организацию обработки персональных данных в Комитете, либо комиссией, образуемой приказом Комитета.
6.3. В проведении проверки не может участвовать сотрудник, прямо или косвенно заинтересованный в ее результатах.
6.4. Проверки соответствия обработки персональных данных установленным требованиям в Комитете проводятся на основании утвержденного ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям или на основании поступившего в Комитет письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
6.5. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне определены:
- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
- порядок и условия применения средств защиты информации;
- эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- состояние учета машинных носителей персональных данных;
- соблюдение правил доступа к персональным данным;
- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
- мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- осуществление мероприятий по обеспечению целостности персональных данных.
6.6. Заместитель председателя Комитета, ответственный за организацию обработки персональных данных в Комитете (комиссия), имеет право:
- запрашивать у сотрудников Комитета информацию, необходимую для реализации полномочий;
- требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований действующего законодательства Российской Федерации;
- вносить председателю Комитета предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
- вносить председателю Комитета предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
6.7. В отношении персональных данных, ставших известными ответственному за организацию работ по обработке персональных данных в Комитете (комиссии) в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
6.8. Проверка должна быть завершена не позднее чем через десять дней со дня принятия решения о ее проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, председателю Комитета докладывает ответственный за организацию работ по обработке персональных данных либо председатель комиссии в форме письменного заключения.
Контроль за своевременностью и правильностью проведения проверки возлагается на заместителя председателя Комитета, ответственного за организацию обработки персональных данных в Комитете.
7. Работа с обезличенными персональными данными
7.1. Условия обезличивания персональных данных Комитета.
7.1.1. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных и по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных.
К свойствам обезличенных данных относятся:
- полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);
- структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);
- релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);
- семантическая целостность (сохранение семантики персональных данных при их обезличивании);
- применимость (возможность решения задач обработки персональных данных, стоящих перед Комитетом, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ, без предварительного деобезличивания всего объема записей о субъектах);
- анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).
7.1.2. Способы обезличивания при условии дальнейшей обработки персональных данных:
- метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);
- метод изменения состава или семантики, который реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта;
- метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);
- обобщение - понижение точности некоторых сведений (например, "Место жительства" может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);
- другие способы.
7.1.3. Перечень должностей сотрудников Комитета, в функции которых входит проведение мероприятий по обезличиванию обрабатываемых персональных данных, приведен в приложении № 3 к настоящему приказу.
Решение о необходимости обезличивания персональных данных принимает председатель Комитета.
Руководители структурных подразделений Комитета, непосредственно осуществляющие обработку персональных данных, готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания.
Сотрудники структурных подразделений, обслуживающих базы данных с персональными данными, осуществляют непосредственное обезличивание выбранным способом под контролем заместителя председателя Комитета, ответственного за организацию обработки персональных данных.
7.2 Порядок работы с обезличенными персональными данными.
7.2.1. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
7.2.2. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
7.2.3. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
- парольной политики;
- антивирусной политики;
- правил работы со съемными носителями (если они используются);
- правил резервного копирования;
- правил доступа в помещения, где расположены элементы информационных систем.
7.2.4. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
- правил хранения бумажных носителей;
- правил доступа к ним и в помещения, где они хранятся.
8. Обработка персональных данных,
осуществляемая без использования средств автоматизации
Обработка персональных данных, содержащихся в информационных системах персональных данных Комитета либо извлеченных из таких систем, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Обработка персональных данных Комитета, осуществляемая без использования средств автоматизации, должна осуществляться с учетом требований Постановления Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", а также требований нормативных правовых актов федеральных органов исполнительной власти и органов исполнительной власти субъектов Российской Федерации.
8.1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).
8.2. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
8.3. Государственные гражданские служащие (работники) Комитета, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных действующим законодательством.
8.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
8.4.1 типовая форма или связанные с ней документы должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, наименование и адрес структурного подразделения Комитета, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых способов обработки персональных данных;
8.4.2 типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;
8.4.3 типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных.
8.5. При ведении журналов регистрации, содержащих персональные данные, должны соблюдаться следующие условия:
8.5.1 необходимость ведения такого журнала должна быть предусмотрена приказом Комитета, журнал должен содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, Перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала, сроки обработки персональных данных;
8.5.2 копирование содержащейся в таких журналах информации не допускается.
8.6. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, зачеркивание, стирание).
8.7. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
8.8. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
8.9. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
8.10 При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются приказом.
9. Доступ в помещения Комитета,
в которых ведется обработка персональных данных
Для организации режима обеспечения безопасности помещений, в которых ведется обработка персональных данных, должны быть проведены следующие организационно-технические мероприятия, препятствующие возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения:
9.1 Помещения, в которых размещены кадровая служба и бухгалтерия Комитета, являются помещениями, где обрабатываются и хранятся персональные данные Комитета.
9.2 Сотрудники кадровой службы и бухгалтерии Комитета обеспечивают невозможность проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения без присутствия сотрудника Комитета, ответственного за обработку персональных данных в данном помещении.
9.3 Установить, что ответственность за организацию режима обеспечения безопасности помещений, в которых обрабатываются и хранятся персональные данные, и правильность использования установленных в нем технических средств несут лицо, которое постоянно в нем работает, и руководитель структурного подразделения.
9.4 В нерабочее время указанные помещения закрываются на ключ и сдаются под охрану.
9.5 Установка нового оборудования, мебели и т.п. или замена их, а также ремонт помещения должны проводиться в порядке, исключающем нарушения правил обработки персональных данных.
10. Заключительные положения
10.1. Иные права, обязанности, действия сотрудников, в служебные обязанности которых входит обработка персональных данных Комитета, определяются должностными регламентами.
10.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Комитета, несут материальную, дисциплинарную, административную и иную ответственность в порядке, установленном действующим законодательством.
10.3. Разглашение персональных данных Комитета (передача их посторонним лицам, в том числе сотрудникам Комитета, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, локальными нормативными актами (приказами, распоряжениями) Комитета, влечет наложение на сотрудника, имеющего доступ к персональным данным, дисциплинарного взыскания.
10.4. Сотрудники, имеющие доступ к персональным данным и совершившие указанный дисциплинарный проступок, несут полную материальную ответственность в полном размере причиненного ущерба в соответствии с действующим законодательством.
10.5. Сотрудники, имеющие доступ к персональным данным, виновные в незаконном разглашении или использовании персональных данных без их согласия из корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут ответственность в соответствии с действующим законодательством Российской Федерации.
Приложение № 4
к приказу комитета образования
Еврейской автономной области
от 12.09.2014 № 541
ПЕРЕЧЕНЬ
СВЕДЕНИЙ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В КОМИТЕТЕ
ОБРАЗОВАНИЯ ЕВРЕЙСКОЙ АВТОНОМНОЙ ОБЛАСТИ В СВЯЗИ
С РЕАЛИЗАЦИЕЙ ТРУДОВЫХ ОТНОШЕНИЙ, А ТАКЖЕ В СВЯЗИ
С ОСУЩЕСТВЛЕНИЕМ ГОСУДАРСТВЕННЫХ ФУНКЦИЙ
N№ п/п
Наименование сведений, отнесенных к сведениям о персональных данных комитета образования Еврейской автономной области
Основания для включения в Перечень
1.
Сведения о фактах, событиях и обстоятельствах частной жизни сотрудников комитета образования Еврейской автономной области, позволяющие идентифицировать их, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных Федеральными законами случаях:
Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ "О персональных данных"; Федеральный закон Российской Федерации от 27.07.2004 № 79-ФЗ "О государственной гражданской службе"; Перечень сведений конфиденциального характера, утвержденный Указом Президента Российской Федерации от 06.03.1997 № 188
2.
Фамилия, имя, отчество
3.
информация о смене фамилии, имени, отчества
4.
пол
5.
дата рождения
6.
место рождения
7.
гражданство
8.
документ, удостоверяющий личность (серия, номер, когда и кем выдан)
9.
сведения из записей актов гражданского состояния
10.
место жительства и дата регистрации по месту жительства
11.
номера контактных телефонов
12.
семейное положение
13.
состав семьи
14.
сведения о наличии детей, их возрасте, месте учебы (работы)
15.
сведения, содержащиеся в служебном контракте, гражданско-правовом договоре
16.
отношение к воинской обязанности, воинское звание, состав рода войск, военный билет, приписное свидетельство, сведения о постановке на воинский учет и прохождении службы в Вооруженных силах РФ
17.
сведения о получении профессионального и дополнительного образования (наименование образовательного учреждения, специальность и квалификация по документу об образовании; документ об образовании, квалификации, наименование документа об образовании, его серия и номер, дата выдачи)
18.
сведения об уровне специальных знаний (работа на компьютере, знание иностранного языка)
19.
сведения о профессиональной переподготовке, повышении квалификации, стажировке
20.
сведения о трудовой деятельности, общем трудовом стаже и стаже государственной гражданской службы
21.
сведения о замещаемой должности
22.
сведения о классных чинах, военных и специальных званиях
23.
сведения о состоянии здоровья и его соответствии выполняемой работе, наличии группы инвалидности и степени ограничения способности к трудовой деятельности
24.
сведения об отпусках и командировках
25.
сведения о прохождении аттестации и сдаче квалификационного экзамена
26.
сведения в документах, связанных с оформлением допуска к сведениям, составляющим государственную или иную охраняемую законом тайну, если исполнение обязанностей по замещаемой должности связано с использованием таких сведений
27.
сведения о награждении (поощрении)
28.
материалы служебных проверок, расследований
29.
сведения о взысканиях
30.
реквизиты идентификационного номера налогоплательщика (ИНН)
31.
реквизиты страхового номера индивидуального лицевого счета в Пенсионном фонде Российской Федерации (СНИЛС)
32.
реквизиты полиса обязательного медицинского страхования
33.
сведения о социальных льготах
34.
фото
35.
Персональные данные, внесенные в личные дела и документы учета государственных гражданских служащих и работников комитета образования Еврейской автономной области.
Сведения о доходах, имуществе и обязательствах имущественного характера государственных гражданских служащих комитета образования Еврейской автономной области:
Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ "О персональных данных"; Федеральный закон Российской Федерации от 27.07.2004 № 79-ФЗ "О государственной гражданской службе"
36.
сведения о доходах, имуществе и обязательствах имущественного характера государственного гражданского служащего и членов его семьи
37.
информация о доходах, выплатах и удержаниях
38.
номера банковских счетов
39.
Сведения о частной жизни, личной и семейной тайне, предоставленные в комитет образования Еврейской автономной области гражданами, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных Федеральными законами случаях
Статьи 23, 24 Конституции Российской Федерации;
Перечень сведений конфиденциального характера, утвержденный Указом Президента Российской Федерации от 06.03.1997 № 188; Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ "О персональных данных"; Федеральный закон Российской Федерации от 27.07.2004 № 79-ФЗ "О государственной гражданской службе"
40.
Персональные данные граждан, включенных в кадровый резерв:
41.
граждан, не допущенных к участию в конкурсах, и граждан, участвовавших в конкурсах, но не прошедших конкурсный отбор:
42.
фамилия, имя, отчество
43.
информация о смене фамилии, имени, отчества
44.
пол
45.
дата рождения
46.
место рождения
47.
гражданство
48.
документ, удостоверяющий личность (серия, номер, когда и кем выдан)
49.
место жительства и дата регистрации по месту жительства; номера контактных телефонов
50.
семейное положение
51.
состав семьи
52.
сведения о наличии детей, их возрасте, месте учебы (работы)
53.
отношение к воинской обязанности, воинское звание
54.
состав рода войск, военный билет, приписное свидетельство, сведения о постановке на воинский учет и прохождении службы в Вооруженных силах
55.
сведения о получении профессионального и дополнительного образования (наименование образовательного учреждения, специальность и квалификация по документу об образовании; документ об образовании, квалификации, наименование документа об образовании, его серия и номер, дата выдачи)
56.
сведения об уровне специальных знаний (работа на компьютере, знание иностранного языка)
57.
сведения о профессиональной переподготовке, повышении квалификации, стажировке; сведения о трудовой деятельности, общем трудовом стаже и стаже государственной гражданской службы
58.
сведения о замещаемой должности
59.
сведения о классных чинах, военных и специальных званиях
60.
сведения о состоянии здоровья и его соответствии выполняемой работе, наличии группы инвалидности и степени ограничения способности к трудовой деятельности
61.
сведения о награждении (поощрении)
62.
реквизиты идентификационного номера налогоплательщика
63.
реквизиты страхового номера индивидуального лицевого счета в Пенсионном фонде Российской Федерации (СНИЛС)
64.
фото
65.
Иные персональные данные граждан, предоставленные в комитет образования Еврейской автономной области в связи с осуществлением государственных функций
Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ "О персональных данных"
Приложение № 5
к приказу комитета образования
Еврейской автономной области
от 12.09.2014 № 541
ИНСТРУКЦИЯ
ПОЛЬЗОВАТЕЛЯ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ
ДАННЫХ, УСТАНОВЛЕННОЙ В КОМИТЕТЕ ОБРАЗОВАНИЯ
ЕВРЕЙСКОЙ АВТОНОМНОЙ ОБЛАСТИ
Исключена. - Приказ комитета образования ЕАО от 02.03.2015 № 93.
Приложение № 6
к приказу комитета образования
Еврейской автономной области
от 12.09.2014 № 541
Акт
приема-передачи документов (иных материальных носителей), содержащих
персональные данные государственного гражданского служащего (работника,
замещающего должность, не являющиеся должностью гражданской службы)
комитета образования Еврейской автономной области
Во исполнение договора на оказание услуг № ___ от "__" ________ 20__ г.
заключенного между "Наименование организации принимающей документы" и
комитетом образования Еврейской автономной области, в лице (ФИО, должность
сотрудника, осуществляющего передачу документов содержащих персональные
данные) передает (Наименование организации принимающей документы) в лице
(ФИО представителя организации принимающей документы), принимающего
документы (иные материальные носители), содержащие персональные данные
государственного гражданского служащего (работника, замещающего должность,
не являющиеся должностью гражданской службы) на срок __________ и в целях
(указать цель использования): _________________________________
Перечень документов (иных материальных носителей), содержащих
персональные данные государственного гражданского служащего (работника,
замещающего должность, не являющиеся должностью гражданской службы)
№ п/п
Наименование
Кол-во
Всего
Полученные персональные данные государственного гражданского служащего
(работника, замещающего должность, не являющеюся должностью гражданской
службы) могут быть использованы лишь в целях, для которых они заявлены.
Незаконное использование предоставленных персональных данных путем их
разглашения, уничтожения и другими способами, установленными действующим
законодательством, может повлечь соответствующую гражданско-правовую,
материальную, дисциплинарную и иную ответственность.
Передал ___________________________________________________________________
(Ф.И.О., должность работника комитета образования Еврейской
автономной области, осуществляющего передачу персональных данных
государственного гражданского служащего (работника))
Принял ___________________________________________________________________
(Ф.И.О., должность, представителя организации - приемщика
документов (иных материальных носителей), содержащих персональные
данные государственного гражданского служащего (работника) комитета
образования Еврейской автономной области)
Приложение № 7
к приказу комитета образования
Еврейской автономной области
от 12.09.2014 № 541
Согласие государственного гражданского служащего (работника,
замещающего должность, не являющиеся должностью гражданской
службы) комитета образования Еврейской автономной области
на обработку его персональных данных
Председателю комитета
образования Еврейской
автономной области
от ______________________________
(ФИО, должность работника)
__________________ (год рождения)
проживающего по адресу: _________
паспорт _________________________
выдан: __________________________
Я,_______________________________________________________
(полностью фамилия, имя, отчество)
в соответствии с пунктом 3 части первой статьи 3 и со статьей 9
Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" даю свое
согласие комитету образования Еврейской автономной области на
автоматизированную, а также без использования средств автоматизации
обработку моих персональных данных, содержащихся в комплекте документов,
сопровождающих процесс оформления моих трудовых отношений в комитете
образования Еврейской автономной области при приеме, переводе и увольнении,
включая сбор, систематизацию, накопление, хранение, уточнение (обновление,
изменение), использование, распространение (в том числе передачу),
обезличивание, блокирование и уничтожение персональных данных в целях
прохождения государственной гражданской службы Еврейской автономной
области.
Настоящее согласие на обработку моих персональных данных действует со
дня его подписания и до дня его отзыва в письменной форме или до даты
увольнения из комитета образования Еврейской автономной области. <1>
"__" ________________ 20__ г.
___________________ ____________________________
_____(подпись) (ФИО государственного гражданского служащего (работника))
--------------------------------
<1> Письменное согласие государственного гражданского служащего
(работника) заполняется и подписывается им собственноручно, в присутствии
сотрудника кадровой службы комитета образования Еврейской автономной
области.
Приложение № 8
к приказу комитета образования
Еврейской автономной области
от 12.09.2014 № 541
Согласие государственного гражданского служащего (работника,
замещающего должность, не являющиеся должностью гражданской
службы) комитета образования Еврейской автономной области на
получение его персональных данных у третьей стороны
Председателю комитета
образования Еврейской
автономной области
от ______________________________
(ФИО, должность работника)
__________________ (год рождения)
проживающего по адресу: _________
паспорт _________________________
выдан: __________________________
Я, ___________________________, согласен на получение моих персональных
данных, а именно: _________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
(Ф.И.О. физического лица или наименование организации, у которых
получается информация)
О целях, предполагаемых источниках и способах получения персональных
данных, а также о характере подлежащих получению персональных данных и
последствиях отказа дать письменное согласие на их получение, предупрежден.
<2>
"__" ________________ 20__ г.
___________________ ____________________________
_____(подпись) (ФИО государственного гражданского служащего (работника))
--------------------------------
<2> Письменное согласие государственного гражданского служащего
(работника) заполняется и подписывается им собственноручно, в присутствии
сотрудника кадровой службы комитета образования Еврейской автономной
области. Перечень персональных данных не является исчерпывающим и
уточняется исходя из целей получения согласия.
Приложение № 9
к приказу комитета образования
Еврейской автономной области
от 12.09.2014 № 541
Согласие государственного гражданского служащего (работника,
замещающего должность, не являющиеся должностью гражданской
службы) комитета образования Еврейской автономной области на
передачу его персональных данных третьей стороне
Председателю комитета
образования Еврейской
автономной области
от ______________________________
(ФИО, должность работника)
__________________ (год рождения)
проживающего по адресу: _________
паспорт _________________________
выдан: __________________________
Я, ____________________________, согласен на передачу моих персональных
данных, а именно: _________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
(Ф.И.О. физического лица или наименование организации,
которые получают информацию)
О целях и способах передачи моих персональных данных, а также о
характере подлежащих передаче персональных данных и последствиях отказа
дать письменное согласие на их передачу, предупрежден. <3>
"__" ________________ 20__ г.
___________________ ____________________________
_____(подпись) (ФИО государственного гражданского служащего (работника))
--------------------------------
<3> Письменное согласие государственного гражданского служащего
(работника) заполняется и подписывается им собственноручно, в присутствии
сотрудника кадровой службы комитета образования Еврейской автономной
области.
Приложение № 10
к приказу комитета образования
Еврейской автономной области
от 12.09.2014 № 541
Обязательства государственного гражданского служащего
(работника, замещающего должность, не являющиеся должностью
гражданской службы) органа исполнительной власти или
местного самоуправления о соблюдении конфиденциальности
персональных данных и соблюдении правил их обработки
Председателю комитета
образования Еврейской
автономной области
от ______________________________
(ФИО)
_________________________________
(наименование структурного подразделения
комитета образования Еврейской автономной области)
_________________________________
(должность)
Я, ___________________________________, в соответствии требованиями
Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" и в
рамках исполнения должностных обязанностей при работе с персональными
данными комитета образования Еврейской автономной области обязуюсь:
не разглашать третьим лицам сведения, содержащие персональные данные
комитета образования Еврейской автономной области без согласия субъекта
персональных данных, которые мне доверены (будут доверены) или станут
известными в связи с выполнением должностных обязанностей;
не передавать и не раскрывать третьим лицам сведения, содержащие
персональные данные комитета образования Еврейской автономной области без
согласия субъекта персональных данных, которые мне доверены (будут
доверены) или станут известными в связи с выполнением должностных
обязанностей;
в случае попытки получить от меня сведения, содержащие персональные
данные комитета образования Еврейской автономной области, сообщить
непосредственному начальнику;
не использовать сведения, содержащие персональные данные комитета
образования Еврейской автономной области с целью получения выгоды;
выполнять требования нормативных правовых актов, регламентирующих
вопросы защиты сведений, содержащих персональные данные комитета
образования Еврейской автономной области;
после прекращения права на допуск к персональным данным комитета
образования Еврейской автономной области не разглашать и не передавать
третьим лицам известные мне сведения, содержащие персональные данные
комитета образования Еврейской автономной области. С Положением об
обработке персональных данных комитета образования Еврейской автономной
области ознакомлен(а) <4>.
"__" ________________ 20__ г. ___________________ (подпись, ФИО)
--------------------------------
<4> Письменное обязательство государственного гражданского служащего
(работника) заполняется и подписывается им собственноручно, в присутствии
сотрудника кадровой службы комитета образования Еврейской автономной
области.
------------------------------------------------------------------
