Администрация города Тюмени. ОФИЦИАЛЬНЫЙ ПОРТАЛ


  • Власть Город Тюмень Экономика и финансы Общество Информация Архив новостей Отправить письмо Поиск по сайту Карта сайта    
На главную Общество Общество Информатизация Информатизация МКУ «Комитет по информатизации города Тюмени» МКУ «Комитет по информатизации города Тюмени» Общая информация Общая информация Положение об обработке и защите персональных данных в МКУ Положение об обработке и защите персональных данных в МКУ "Комитет по информатизации города Тюмени"

Общая информация

Информационная служба администрации города

Положение об обработке и защите персональных данных в МКУ "Комитет по информатизации города Тюмени"

ПОЛОЖЕНИЕ

об обработке и защите персональных данных

в Муниципальном казенном учреждении «Комитет по информатизации города Тюмени»

Оглавление

I. Общие положения

II. Состав и порядок обработки персональных данных работников Учреждения

III. Принципы обработки персональных данных

IV. Порядок обработки персональных данных субъектов персональных данных в информационной системе

V. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах

VI. Общий порядок организации работ по обеспечению безопасности персональных данных

VII. Состав и содержание мер по обеспечению безопасности персональных данных обрабатываемых в информационных системах персональных данных

I. Общие положения

1.1 Положение об обработке и защите персональных данных в муниципальном казенном учреждении «Комитет по информатизации города Тюмени» (далее – Положение) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в муниципальном казенном учреждении «Комитет по информатизации города Тюмени» (далее – Учреждение).

1.2.Настоящее Положение определяет политику Учреждения как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

1.3. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, с Трудовым кодексом Российской Федерации (далее – Трудовой кодекс Российской Федерации), Федеральным законом от 27 июля 2006 года № 152 «О персональных данных» (далее – Федеральный Закон «О персональных данных»), Федеральным законом от 27 июля 2006 года № 149 «Об информации, информационных технологиях и о защите информации», постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», приказа ФСТЭК России от 11 февраля 2013 года № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащиеся в государственных информационных системах», приказа ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

1.4. Обработка персональных данных в Учреждении осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и Законодательством Российской Федерации в области защиты персональных данных.

    II. Состав и порядок обработки персональных данных работников Учреждения

    2.1. Персональные данные работников Учреждения обрабатываются в целях кадровой работы, обучения и должностного роста, начислений заработной платы, обеспечения работников Учреждения установленными законодательством Российской Федерации условиями труда, гарантий и компенсаций.

    2.2. В целях, указанных в пункте 2.1 настоящего Положения, обрабатываются следующий перечень персональных данных работников Учреждения:

    • фамилия, имя, отчество (в том числе предыдущие фамилии, имена, отчества, в случае их изменения);
    • число, месяц, год рождения;
    • место рождения;
    • информация о гражданстве (в том числе предыдущие гражданства);
    • вид, серия, номер документа, удостоверяющего личность, наименование органа выдавшего его, дата выдачи;
    • идентификационный номер налогоплательщика;
    • адрес места жительства (адрес регистрации);
    • семейное положение, состав семьи;
    • СНИЛС;
    • сведения о воинском учете и реквизиты документа воинского учета;
    • реквизиты свидетельства о рождения детей;
    • реквизиты свидетельства государственной регистрации актов гражданского состояния;
    • номер контактного телефона;
    • сведения о трудовой деятельности;
    • сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и года окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу образования);
    • информация о трудовом стаже (место работы, должность, период работы);
    • информация о знании иностранных языков;
    • данные о трудовом договоре (№ трудового договора, дата его заключения и т.д.);
    • информация о фактах больничного;
    • номер расчетного счета;
    • номер банковской карты;
    • иные категории персональных данных, необходимые для достижения целей, предусмотренных пунктом 2.1 настоящего Положения.

    2.3. Обработка персональных данных работников Учреждения производится в соответствии с Трудовым кодексом Российской Федерации и Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

    2.4. Обработка персональных данных работников Учреждения осуществляется при условии получения согласия указанных лиц.

    2.5. Обработка персональных данных работников Учреждения осуществляется отделом Бухгалтерского учета и включает в себя перечень действий: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

    2.6. Сбор, запись, накопление, уточнение (обновление, изменение) персональных данных работников Учреждения осуществляется путем получения оригиналов документов (заявление, трудовая книжка, иные документы, предоставляемые в отдел Бухгалтерского учета); копирования оригиналов документов; внесения сведений в учетные формы (на бумажных носителях); формирования персональных данных в ходе кадровой и бухгалтерской работы; внесение персональных данных в информационную систему Учреждения, используемую отделом Бухгалтерского учета.

    2.7. Сбор, запись, накопление, уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от работников Учреждения.

    2.8. Запрещается получать, обрабатывать и приобщать к личному делу работника Учреждения ПДн, не предусмотренные пунктом 2.2 настоящего Положения, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни.

    2.9. При сборе персональных данных работник отдела Бухгалтерского учета Учреждения, осуществляющий сбор (получение) персональных данных непосредственно от работников Учреждения, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональных данные.

    2.10. В целях информационного обеспечения в общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

    III. Принципы обработки персональных данных

    3.1 Обработка персональных данных в Учреждении осуществляется на основе следующих принципов:

    • законности целей и способов обработки персональных данных и добросовестности;
    • соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Учреждения;
    • соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
    • достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
    • недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

    3.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Персональные данные подлежат уничтожению по достижению целей обработки или в случае утраты необходимости в их достижении.

    3.3. Субъект персональных данных является собственником своих персональных данных и самостоятельно решает вопрос передачи Учреждению своих персональных данных.

    3.4. Обработка персональных данных в Учреждении осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

    3.5. Учреждение обязано не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.


    IV. Порядок обработки персональных данных субъектов персональных данных в информационной системе


    4.1. Обработка персональных данных физических лиц (субъектов персональных данных) в Учреждении осуществляется в информационной системе персональных данных «1С Предприятие: Зарплата и кадры», в которой содержатся персональные данные работников Учреждения, которые включают в себя:

    • фамилия, имя, отчество;
    • дата рождения;
    • место рождения;
    • пол;
    • СНИЛС;
    • серия и номер документа удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
    • ИНН;
    • гражданство;
    • табельный номер;
    • должность;
    • адрес регистрации.

      4.2. Рабочие места работников отдела Бухгалтерского учета предполагают обработку персональных данных работников Учреждения.

      4.3. Классификация и категорирование информационной системы персональных данных указанных в пункте 4.1. настоящего Положения, осуществляется в порядке, установленном законодательством Российской Федерации.

      V. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах

      5.1. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

      • определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
      • применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивают установленные Правительством Российской Федерации уровни защищенности персональных данных;
      • применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
      • оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
      • учет машинных носителей персональных данных;
      • обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
      • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
      • определение правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
      • контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.

      5.2 Требования к защите персональных данных, обрабатываемых без использования средств автоматизации.

      5.2.1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

      5.2.2.Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).

      5.2.3. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

      5.2.4. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, в обязательном порядке знакомятся с данным Положением, и должны соблюдать правила неавтоматизированной обработки ПДн.

      5.2.5. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма), должны соблюдаться следующие условия:

      • типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес Учреждения, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Учреждением способов обработки персональных данных;
      • типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;
      • типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
      • типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

      5.2.6 При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

      • при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
      • при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

      5.2.7. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

      5.2.8. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

      5.2.9. К обработке персональных данных, осуществляемой без использования средств автоматизации, допускаются работники Учреждения, указанные в соответствующем приказе Учреждения.

      5.2.10. Обработка персональных данных, осуществляемая без использования средств автоматизации, может осуществляться только в помещениях, определенных приказом директора Учреждения.

      5.2.11. Для ПДн, обработка которых осуществляется без использования средств автоматизации, необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

      5.2.12. Материальные носители ПДн должны храниться в местах, где можно обеспечить сохранность персональных данных и исключить несанкционированный к ним доступ (сейфы, запираемые шкафы, помещения, доступ к которым ограничен).

      5.3. Ответственный за организацию обработки персональных данных в Учреждении выполняет проверку актуальности списка лиц, осуществляющих неавтоматизированную обработку персональных данных и помещений, в которых обрабатываются ПДн.

      VI. Общий порядок организации работ по обеспечению безопасности персональных данных

      6.1. Обеспечением безопасности персональных данных в информационных системах Учреждения занимается отдел по информационной безопасности, включая ответственных:

      • ответственный за организацию обработки персональных данных.
      • ответственным за обеспечение безопасности персональных данных в информационной системе.

      6.2. Ответственный за организацию обработки персональных данных в Учреждении:

      • осуществляет внутренний контроль за соблюдением правил защиты персональных данных в Учреждении;
      • доводит до сведения работников Учреждения положения законодательства Российской Федерации о персональных данных, правила обработки персональных данных, принятые в Учреждении;

      6.3. Каждый работник Учреждения перед обработкой персональных данных должен ознакомиться и подписать соглашение о конфиденциальности персональных данных, с которыми он будет работать (соглашение может подписываться, как часть других документов, например, трудовых инструкций).

      6.4. Для обеспечения безопасности персональных данных каждый работник обязан выполнять правила обработки и защиты ПДн, утвержденные в Учреждении, и не использовать персональные данные, к которым он получил доступ в процессе исполнения трудовых обязанностей для целей, не связанных с исполнением его трудовых обязанностей.

      6.5. Ответственный за обеспечение безопасности персональных данных в информационной системе организует и контролирует ведение учета материальных носителей персональных данных, а также обязан обеспечить:

      • своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до ответственного за организацию обработки персональных данных в Учреждении и директора Учреждения;

      • недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
      • возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
      • постоянный контроль за обеспечением уровня защищенности персональных данных;
      • знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

      6.6. При обнаружении нарушений порядка предоставления персональных данных необходимо незамедлительно приостановить доступ пользователей к информационной системе персональных данных до выявления причин нарушений и устранения этих причин.

      6.7. Каждый работник Учреждения при передаче ПДн другим работникам Учреждения должен контролировать наличие доступа и оснований на обработку персональных данных у принимающего работника.

      6.8. При увольнении работники Учреждения должны передавать все обрабатываемые ими персональные данные, находящие на бумажных и электронных носителях информации, своим непосредственным руководителям.

      VII. Состав и содержание мер по обеспечению безопасности персональных данных обрабатываемых в информационных системах персональных данных

      7.1.Определение уровня защищенности персональных данных

      7.1.1. При обработке персональных данных в информационных системах устанавливаются уровни защищенности ПДн в соответствии с Постановлением Правительства от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

      7.1.2При определении уровня защищенности ПДн, при их обработке в ИСПДн учитываются следующие исходные данные:

      • категория обрабатываемых в информационной системе персональных данных;
      • объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе);
      • заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе;
      • тип угроз безопасности ПДн, актуальных для информационной системы;
      • проверяется условие принадлежности ПДн работникам оператора ПДн или иным субъектам, не являющимся работниками оператора.

      7.1.3. По результатам анализа исходных данных информационной системы персональных данных присваивается соответствующий уровень защищенности ПДн, и составляется «Акт определения уровня защищенности ПДн, при их обработке в ИСПДн», либо проводится оценка соответствия установленного уровня защищенности ПДн и класса защищенности информационной системы. Результаты отражаются в «Акте классификации информационной системы», утверждаемом директором Учреждения.

      7.1.4. Уровень защищенности персональных данных может быть пересмотрен:

      • по решению ответственных лиц по защите информации в Учреждении на основе проведенного им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;
      • по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.

      7.2. Принципы и способы определения актуальных угроз безопасности ПДн.

      7.2.1. Для выбора и реализации мер по обеспечению безопасности ПДн в информационных системах Учреждения назначается ответственный за организацию обработки персональных данных и ответственный за обеспечение безопасности персональных данных в информационных системах.

      7.2.2. Выбор и реализация мер по обеспечению безопасности ПДн в информационной системе осуществляются на основе определяемых в Учреждении угроз безопасности персональных данных (модель угроз), в зависимости от категории персональных данных и уровня защищенности, определенного в соответствии с Постановлением Правительства от 1.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».


      7.3. Состав и содержание мер по обеспечению безопасности персональных данных.

      7.3.1. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

      • Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).
      • Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил.
      • Меры по ограничению программной среды должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения.
      • Меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных.
      • Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.
      • Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.
      • Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных.
      • Меры по обеспечению целостности информационной системы и персональных данных должны обеспечивать обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных.
      • Меры по обеспечению доступности персональных данных должны обеспечивать авторизованный доступ пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования информационной системы.
      • Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее - средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей.
      • Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных.
      • Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов.
      • Меры по управлению конфигурацией информационной системы и системы защиты персональных данных должны обеспечивать управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений.

      7.3.2. Для реализации указанных мер по обеспечению безопасности применяются межсетевые экраны, системы обнаружения вторжений, средства анализа защищенности, специализированные комплексы защиты и анализа защищенности информации, а также организационные меры.

      7.4. Требования к работникам по обеспечению безопасности персональных данных

      7.4.1. Все работники Учреждения, являющиеся пользователями информационной системы персональных данных, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению конфиденциальности защищаемой информации в Учреждении.

      7.4.2. При вступлении в должность новый работник обязан пройти первичный инструктаж, регламентирующий требования по защите ПДн, под роспись в отделе по информационной безопасности Учреждения.

      7.4.3. Работник обязан, ознакомится со сведениями положения по обработке и обеспечению безопасности персональных данных, обрабатываемых в Учреждении под роспись.

      7.4.4. Работники Учреждения, использующие технические средства аутентификации, обязаны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать несанкционированного доступа к ним, а также возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов.

      7.4.5. Работники Учреждения обязаны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.

      7.4.6. Работникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а также записывать на них защищаемую информацию.

      7.4.7. Работникам, в том числе бывшим, запрещается разглашать защищаемую информацию, которая стала им известна при работе с персональными данными в Учреждении, третьим лицам.

      7.4.8. При работе с ПДн в информационной системе работники Учреждения обязаны обеспечить отсутствие возможности просмотра ПДн третьими лицами с мониторов компьютеров или терминалов.

      7.4.9. Работники Учреждения должны быть проинформированы об угрозах нарушения требований обработки и безопасности ПДн и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной процедурой наложения дисциплинарных взысканий на работников, которые нарушили принятые политику и процедуры безопасности ПДн.

      7.4.10. Работники обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы с персональными данными, могущих повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, ответственным лицам за организацию обработки и обеспечению безопасности Учреждения, отвечающему за немедленное реагирование на угрозы безопасности ПДн.

      7.5. Порядок уничтожения персональных данных при достижении целей их обработки.

      7.5.1. Лицом, ответственным за документооборот и архивирование, осуществляется систематический контроль и выделение документов, содержащих персональные данные с истекшими сроками хранения, подлежащих уничтожению.

      7.5.2. Решение об уничтожении документов, содержащих персональные данные, рассматривается на заседании экспертной комиссии Учреждения, состав которой утверждается приказом директора Учреждения.

      7.5.3. Составляется протокол и акт к уничтожению персональных данных, проверяется их комплектность, акт подписывается председателем, членами комиссии и утверждается директором Учреждения.

      7.5.4. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей средствами гарантированного удаления остаточной информации.

       
      Время выполнения скрипта: 0,1432, запросов к базе: 5
      ваш ip: 54.82.93.116