Персональные данные

УТВЕРЖДЕНО
приказом от 18.03.2014 № 25 
«Об организации работы с персональными данными»

ПОЛОЖЕНИЕ

об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных управления Алтайского края по пищевой перерабатывающей, фармацевтической промышленности и биотехнологиям

1. Общие положения

1.1. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных управления Алтайского края по пищевой, перерабатывающей, фармацевтической промышленности и биотехнологиям (далее - «Положение») разработано в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и другими нормативными правовыми актами и нормативными методическими документами Российской Федерации, регулирующими отношения, связанные с обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных.

1.2. Настоящее положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных управления Алтайского края по пищевой, перерабатывающей, фармацевтической промышленности и биотехнологиям (далее – «Оператор персональных данных»). Под информационной системой (далее – «ИС») понимается – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств, расположенных в здании управления Алтайского края по пищевой, перерабатывающей, фармацевтической промышленности и биотехнологиям (далее – «Управления») по адресу: г. Барнаул, ул. Пролетарская, 63. ИС используются для хранения, обработки и передачи информации, в соответствии с функциями, возложенными на Управление.

1.3. Безопасность персональных данных, при их обработке в информационных системах персональных данных, обеспечивается применением организационных мер и технических средств защиты информации (в том числе средств предотвращения несанкционированного доступа).

1.4. Требования настоящего Положения являются обязательными для исполнения всеми лицами, получившими доступ к персональным данным.

1.5. Решение о необходимости изменения этого Положения принимается на основании:

результатов проведенных аудитов, мероприятий по контролю и надзору за обеспечением безопасности персональных данных;

изменения нормативных правовых актов и (или) нормативных методических документов Российской Федерации в области защиты персональных данных;

изменения процессов обработки персональных данных в информационных системах персональных данных управления Алтайского края по пищевой, перерабатывающей, фармацевтической промышленности и биотехнологиям;

результатов анализа инцидентов информационной безопасности в ИС персональных данных.

1.6. Изменения Положения подлежат предварительной оценке до их ввода в действие, на соответствие нормативным правовым актам и нормативным методическим документам Российской Федерации, регулирующим отношения, связанные с обеспечением безопасности персональных данных при их обработке в ИС персональных данных.

2. Обработка персональных данных

2.1. Оператор персональных данных осуществляет обработку персональных данных лиц, работающих в Управлении.

2.2. Обработка персональных данных осуществляется оператором персональных данных в целях реализации возложенных на него функций, определяемых законами и иными нормативными правовыми актами Российской Федерации, регулирующими отношения, связанные с обеспечением безопасности персональных данных при их обработке в ИС персональных данных.

2.3. Объем и характер обрабатываемых персональных данных должен соответствовать целям их обработки. Обрабатываемые персональные данные должны соответствовать заявленным целям обработки. Недопустимо объединение созданных для несовместимых между собой целей баз данных ИС персональных данных.

2.4. Обработка персональных данных осуществляется оператором без проведения мероприятий по обезличиванию персональных данных.

2.5. Лица, доступ которых к персональным данным, обрабатываемым в ИС, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списков сотрудников, допущенным к обработке персональных данных.

2.6. Принятые в управлении Алтайского края по пищевой, перерабатывающей и фармацевтической промышленности и биотехнологиям организационно-распорядительные документы доводятся до сведения лиц, участвующих в обработке персональных данных, в части их касающейся.

2.7. Персональные данные, используемые для обработки в ИС, порядок использования, цель, периодичность и основания внесения изменений и дополнений, а также порядок хранения персональных данных устанавливаются оператором персональных данных.

2.8. Оператор не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

2.9. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, должно осуществляться не дольше, чем этого требуют цели обработки персональных данных. Персональные данные подлежат уничтожению по достижении всех целей их обработки или в случае утраты необходимости в достижении этих целей. Оператор по согласованию с субъектом персональных данных может изменить сроки хранения его персональных данных в связи с обязанностями, возлагаемыми на оператора законодательством Российской Федерации.

3.  Обязанности и права оператора персональных данных в ИС

3.1. Оператор персональных данных обязан предоставлять субъекту персональных данных возможность ознакомления с его персональными данными, а также вносить в них необходимые изменения, уничтожать или блокировать соответствующие персональные данные в случае предоставления субъектом персональных данных сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор в ИС персональных данных, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и принятых мерах оператор персональных данных уведомляет субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

3.2. В случае выявления недостоверных персональных данных или фактов неправомерных действий с ними оператора персональных данных, при обращении или по запросу субъекта персональных данных или его законного представителя, оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.

3.3. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем, обязан уточнить персональные данные и отменить их блокирование.

3.4. В случае выявления неправомерных действий с персональными данными оператор персональных данных в срок, не превышающий тридцати дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор персональных данных в срок, не превышающий тридцати дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя.

3.5. Оператор персональных данных в случае достижения всех целей обработки персональных данных обязан незамедлительно прекратить их обработку и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения всех целей обработки персональных данных. По согласованию с субъектом персональных данных оператор может изменить сроки хранения его персональных данных в связи с обязанностями, возлагаемыми на оператора законодательством Российской Федерации.

3.6. Оператор персональных данных, в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, обязан прекратить их обработку и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных.

3.7. Оператор при передаче персональных данных субъектов третьим лицам ограничивает передаваемую информацию только теми персональными данными субъектов, которые необходимы третьим лицам для выполнения своих функций. Передача персональных данных по телефону, факсимильной связи, электронной почте и сети Интернет (без использования средств защиты информации, удовлетворяющих требованиям, установленным нормативными правовыми актами и нормативными методическими документами Российской Федерации, регулирующими отношения, связанные с обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных) запрещается.

4. Методы и способы защиты персональных данных в информационных системах персональных данных

4.1. С целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных, оператором должна быть проведена классификация ИС персональных данных.

4.2. В целях обеспечения безопасности персональных данных определяются угрозы безопасности, оценивается актуальность угроз безопасности персональных данных. В результате разрабатывается модель угроз безопасности персональных данных.

4.3. Установка, изменение (обновление) и удаление программного обеспечения в ИС персональных данных производится администратором информационной безопасности ИС персональных данных или в его присутствии.

4.4. Доступ лиц к ИС персональных данных, не допущенных к работе с персональными данными, должен быть исключен. ИС персональных данных должны быть защищены аппаратными и (или) программными средствами защиты информации от несанкционированного доступа в соответствии с нормативными правовыми актами и нормативными методическими документами Российской федерации, регулирующими отношения, связанные с обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных.

4.5.  Обработка персональных данных в ИС осуществляется с использованием средств защиты информации в соответствии с установленными требованиями нормативных правовых актов Российской Федерации, регулирующих отношения, связанные с обеспечением безопасности информации.

4.6. Организация режима безопасности в помещениях, в которых ведется работа с персональными данными, должна обеспечивать сохранность технических средств и носителей персональных данных, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

Все носители персональных данных должны быть учтены с помощью их маркировки, а их учетные данные занесены в «Журнал регистрации и учета электронных носителей персональных данных и иной конфиденциальной информации» и «Журнал выдачи/сдачи электронных носителей персональных данных и иной конфиденциальной информации».

4.7. В целях обеспечения безопасности персональных данных должны быть разработаны организационно-распорядительные и организационно- методические документы по обеспечению безопасности персональных данных, обрабатываемых в ИС:

перечень информационных систем персональных данных;

список лиц, допущенных к обработке персональных данных;

инструкция по работе пользователей в ИС;

инструкция по организации доступа в помещения, в которых ведется обработка персональных данных;

инструкция администратора информационной безопасности ИС;

инструкция по организации резервного копирования в ИС;

инструкция по организации парольной защиты в ИС;

инструкция по проведению антивирусного контроля в ИС;

инструкция по организации обслуживания технических средств и сопровождения программного обеспечения в ИС;

другие организационно-распорядительные документы по обеспечению безопасности персональных данных, обрабатываемых в ИС.

4.8. Лица, уполномоченные осуществлять обработку персональных данных, несут ответственность за соблюдение требований по защите персональных данных в порядке, предусмотренном действующим законодательством Российской Федерации.

5. Обязанности и права должностных лиц

5.1. Начальник Управления:

организует разработку, внедрение, совершенствование и эксплуатацию системы защиты ИС персональных данных а также организует внутренний контроль за соблюдением нормативных правовых актов Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

обеспечивает реализацию мероприятий по защите персональных данных при их обработке в ИС персональных данных в управлении Алтайского края по пищевой, перерабатывающей, фармацевтической промышленности и биотехнологиям;

осуществляет финансовое, материально-техническое и иное обеспечение мероприятий по защите персональных данных при их обработке в ИС персональных данных управления делами и департамента Администрации края по вопросам государственной службы и кадров;

организует расследование причин и условий появления нарушений безопасности ИС;

назначает ответственного за организацию обработки персональных данных;

назначает администратора информационной безопасности ИС персональных данных.

5.2. Ответственный за организацию обработки персональных данных:

разрабатывает предложения по устранению недостатков безопасности ИС и предупреждению подобного рода нарушений;

осуществляет внутренний контроль за соблюдением сотрудниками управления законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

доводит до сведения работников управления положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

организует и осуществляет прием и обработку обращений и запросов субъектов персональных данных и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов.

5.3. Администратор информационной безопасности ИС персональных данных:

обеспечивает выполнение организационных мероприятий, направленных на обеспечение защиты информации при ее обработке в ИС;

организует регистрацию и учет защищаемых носителей информации;

разрабатывает предложения по устранению недостатков безопасности ИС и предупреждению подобного рода нарушений;

обеспечивает обнаружение фактов несанкционированного доступа к ИС;

осуществляет установку и ввод в эксплуатацию средств защиты информации ИС в соответствии с эксплуатационной и технической документацией;

обеспечивает работы по проведению антивирусного контроля в ИС;

выполняет резервное копирование информации; осуществляет установку (обновление версий) программного обеспечения ИС, обеспечивает его функционирование;

осуществляет установку, подключение и настройку технических средств ИС в соответствии с технической документацией;

осуществляет установку (развертывание) новых ИС или подключение дополнительных устройств (узлов, блоков), необходимых для решения конкретных задач;

осуществляет анализ журналов нарушения ИС (не реже 1 раза в месяц).

5.4. Постоянно действующая техническая комиссия управления (ПДТК) и Администратор информационной безопасности информационной системы управления совместно в рамках своей компетенции:

отвечают за соблюдение в ИС требований по обеспечению безопасности информации;

отвечают за своевременное обнаружение фактов несанкционированного доступа к ИС;

разрабатывают предложения по дальнейшему совершенствованию системы защиты информации, планируют мероприятия по защите ИС;

осуществляют методическое руководство и внесение предложений по организации и совершенствованию систем защиты информации.

5.5. Пользователь ИС – сотрудник допущенный к работе в ИС:

в ходе своей работы должен руководствоваться «Инструкцией по работе пользователей в информационных системах Управления пищевой, перерабатывающей и фармацевтической промышленности Алтайского края».

6. Контроль состояния защиты персональных данных

6.1. Контроль и надзор за выполнением требований по обеспечению безопасности персональных данных при их обработке в ИС персональных данных, установленных Правительством Российской Федерации, осуществляется представителями Управления Федеральной службы безопасности России по Алтайскому краю, представителями центрального аппарата ФСТЭК России, Управления ФСТЭК России по Сибирскому федеральному округу, специалистами отдела Администрации края по защите государственной тайны и информации в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в ИС персональных данных.

6.2. Повседневный контроль выполнения организационных мероприятий, направленных на обеспечение защиты персональных данных при их обработке в ИС персональных данных, осуществляется ответственным за организацию обработки персональных данных и ответственным за обеспечение безопасности персональных данных.

7.  Заключительные положения

7.1. Настоящее положение вступает в силу с момента его утверждения;

7.2. Настоящее Положение не заменяет собой действующее законодательство Российской Федерации, регулирующее отношения, связанные с обеспечением безопасности персональных данных при их обработке в ИС персональных данных.