МАДОУ "Детский сад "Звездочка" г. Белоярский"
Белоярский
Наш детский сад
Сведения об образовательной организации
Группы
Педагогам и сотрудникам
Вакансии
Контакты
Навигатор по сайту
Аттестация Набокина Юлия Сергеевна
Аттестация Тетервак Ирина Викторовна

Политика конфиденциальности

1. Политика информационной безопасности

Политика информационной безопасности в

МАДОУ «Детский сад «Звездочка» г. Белоярский»

  1. ОБЩИЕ ПОЛОЖЕНИЯ.
    1. Настоящая политика информационной безопасности (далее - Политика) утверждается заведующем МАДОУ и определяет мероприятия, процедуры и правила по информационной безопасности.
    1. Положения настоящей Политики обязательны к исполнению для всех пользователей информационных систем (далее - Пользователи), а также для администраторов безопасности и системных администраторов (далее - Администраторы).
    1. В соответствии с указом Президента Российской Федерации № 188 от 6 марта 1997 года к сведениям конфиденциального характера (защищаемой информации) в МАДОУ относятся:
  • сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
  • сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее);
  • сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
    1. Целями настоящей Политики являются:
  • обеспечение конфиденциальности, целостности, доступности защищаемой информации;
  • предотвращение утечек защищаемой информации;
  • мониторинг событий безопасности и реагирование на инциденты безопасности;
  • нейтрализация актуальных угроз безопасности информации;
  • выполнение требований действующего законодательства по защите информации.
    1. В настоящей Политике используются термины и определения, установленные законодательством Российской Федерации об информации, информационных технологиях и о защите информации, а также термины и определения, установленные национальными стандартами в области защиты информации.
    1. Настоящая Политика разработана с учетом положений следующих законодательных и нормативно-правовых актов:
  • Федеральный закон № 149-ФЗ от 27 июля 2006 года «Об информации, информатизации и защите информации»;
  • Федеральный закон № 152-ФЗ от 27 июля 2006 года «О персональных данных»;
  • «Требования к защите персональных данных при их обработке в информационных системах персональных данных», утвержденные Постановлением Правительства РФ № 1119 от 1 ноября 2012 года;
  • «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденные приказом ФСТЭК России № 17 от 11 февраля 2013 года;
  • «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный приказом ФСТЭК России № 21 от 18 февраля 2013 года;
  • методический документ «Меры защиты информации в государственных информационных системах», утвержденный ФСТЭК России 11 февраля 2014 года;
  • «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», утверждённые приказом ФСБ России № 378 от 10.07.2014;
  • «Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации», утвержденное приказом ФСБ от 9 февраля 2005 №66;
  • «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная приказом ФАПСИ от 13 июня 2001 №152.
  1. ТЕХНОЛОГИЧЕСКИЕ ПРОЦЕССЫ ОБРАБОТКИ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ.
    1. В данном разделе настоящей Политики описаны технологические процессы обработки различных видов защищаемой информации в информационных системах. Администраторы и Пользователи, допущенные к обработке той или иной защищаемой информации, обязаны производить обработку этой информации в соответствии с соответствующими описаниями технологических процессов обработки информации, приведенных в данном разделе.

2. Положение о контролируемой зоне

Положение о контролируемой зоне в

МАДОУ «Детский сад «Звездочка» г. Белоярский»

  1. ОБЩИЕ ПОЛОЖЕНИЯ.
    1. Под контролируемой зоной (далее – КЗ) понимается территория, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска.
    1.  Администратор информационной безопасности (далее – Администратор) обеспечивает актуальность приведенной информации по помещениям.
    1.  Охраной помещений во внерабочее время занимается сотрудники ЧОП.
  1. ПОРЯДОК ДОСТУПА В ОХРАНЯЕМЫЕ ПОМЕЩЕНИЯ.
    1. Допуск в охраняемые помещения осуществляется в соответствии с утвержденным в МАДОУ документом «Перечень помещений, в которых разрешена работа с ресурсами, в которых размещены технические средства, а также перечень лиц, допущенных в эти помещения» (Приложение № 4 к Политике информационной безопасности.
    1.  Помещения, в которых осуществляется обработка защищаемой информации, оборудованы прочными дверьми с механическими замками.
    1.  Ключи от помещений выдаются и находятся на посту охраны ЧОП.
    1.  Сотрудникам, которым необходим временный доступ в помещения, к которым у них нет допуска, может быть предоставлен такой доступ, но только в присутствии сотрудников, работающих в этом помещении (имеющих доступ в это помещение).
    1.  При покидании помещения и при отсутствии в нем других лиц, допущенных в это помещение, сотрудник обязан проследить, чтобы в помещении не было посторонних лиц, и закрыть помещение на ключ.
    1.  Нахождение посторонних лиц в помещениях, в которых осуществляется обработка защищаемой информации, допускается только в присутствии сотрудников, работающих в данном помещении и при условии соблюдения правил ограничения доступа к обрабатываемой информации.
  1. ПОРЯДОК ПЕРЕДАЧИ ПОМЕЩЕНИЙ ПОД ОХРАНУ.
    1. Закрытие помещений, в которых обрабатывается защищаемая информация, осуществляется по окончании рабочего дня последним сотрудником, покидающим помещение. Закрытие помещения осуществляется после проведения в нем уборки, обесточивания оборудования, запирания сейфов, закрытия окон.
    1.  После запирания помещения на ключ, сдачи ключа от помещения под роспись охранника ЧОП, помещение считается принятым под охрану.
    1.  При вскрытии помещения, допущенные в него сотрудники осуществляют осмотр на предмет выявления признаков несанкционированных действий в помещении в их отсутствие (повреждения дверей, повреждения пломб, изменение местоположения мебели, включенная техника и т. п.). При отсутствии нарушений, помещение считается снятым с охраны.
    1.  В случае обнаружения нарушений, сотрудник сообщает об этом Администратору, который в свою очередь созывает группу реагирования на инциденты информационной безопасности (далее – ГРИИБ). Далее ГРИИБ действует в соответствии с инструкцией по реагированию на инциденты информационной безопасности.
  1. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ.
    1. Настоящее положение может быть изменено и дополнено по следующим причинам:
  • появление информации о новых угрозах безопасности информации, связанных с физическим доступом к техническим средствам информационных систем;
  • при возникновении инцидентов информационной безопасности, связанных с физическим доступом, извлечения из них уроков и понимания необходимости пересмотра настоящего положения;
  • при изменении законодательства в сфере защиты информации.
    1.  За нарушение настоящего положения, сотрудники могут нести дисциплинарную ответственность или иную ответственность (уголовную, административную) в соответствии с законодательством Российской Федерации.

3. Основные права и обязанности Оператора

Определение того, что конкретно могут делать операторы, представлено в согласии на обработку ПДн, которое подписывает гражданин, и соответствующем уведомлении в РКН. Речь может идти о:

  • сборе и накоплении;
  • анализе и систематизации;
  • уточнении (коррекции либо дополнении);
  • извлечении и использовании;
  • передаче третьим лицам;
  • блокировке и обезличивании;
  • уничтожении и удалении.
  • предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
  • организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ;
  • отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
  • сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса;
  • публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки персональных данных;
  • принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
  • прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных;
  • исполнять иные обязанности, предусмотренные Законом о персональных данных.

4. Инструкция администратора безопасности в МАДОУ «Детский сад «Звездочка» г. Белоярский»

  1. ОБЩИЕ ПОЛОЖЕНИЯ.
    1. Администратор безопасности в МАДОУ (далее – Администратор) назначается приказом заведующего МАДОУ и отвечает за информационную безопасность.
    1. Администратор обязан поддерживать в актуальном состоянии свои знания законодательных, нормативно-правовых актов Российской Федерации и методических материалов в сфере информационной безопасности.
    1. В своей деятельности Администратор руководствуется настоящей Инструкцией, Политикой информационной безопасности и действующим законодательством.
    1. Администратор безопасности подчиняется напрямую Заведующему МАДОУ и имеет право требовать от пользователей выполнения указаний и инструкций, связанных с защитой информации.
    1. Настоящая инструкция разработана с учетом положений следующих законодательных и нормативно-правовых актов:
  • Федеральный закон № 149-ФЗ от 27 июля 2006 года «Об информации, информатизации и защите информации»;
  • Федеральный закон № 152-ФЗ от 27 июля 2006 года «О персональных данных»;
  • «Требования к защите персональных данных при их обработке в информационных системах персональных данных», утвержденные Постановлением Правительства РФ № 1119 от 1 ноября 2012 года;
  • «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденные приказом ФСТЭК России № 17 от 11 февраля 2013 года;
  • «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный приказом ФСТЭК России № 21 от 18 февраля 2013 года;
  • методический документ «Меры защиты информации в государственных информационных системах», утвержденный ФСТЭК России 11 февраля 2014 года;
  • «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», утверждённые приказом ФСБ России № 378 от 10.07.2014;
  • «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная приказом ФАПСИ от 13 июня 2001 №152.
  1. ФУНКЦИИ И ОБЯЗАННОСТИ АДМИНИСТРАТОРА БЕЗОПАСНОСТИ.
    1. Изучение особенностей и технологических процессов обработки информации в МАДОУ с целью принятия решения о необходимости защиты информации и классификации, либо поиск специализированных организаций, производящих на договорной основе такой анализ. В случае привлечения сторонних организаций, Администратор обязан контролировать процесс сбора информации с сотрудниками сторонней организации. По окончании аналитических работ Администратор обязан ознакомиться с их результатами и подписать отчетные документы, либо составить мотивированный отказ в подписании таких документов и отправить их на доработку сторонней организации.
    1. Определение актуальных угроз безопасности информации и разработка документа «Модель угроз безопасности», либо привлечение на договорной основе сторонних организаций для таких работ.
    1. Периодический пересмотр актуальных угроз безопасности информации в следующих случаях:
  • ежегодный плановый пересмотр актуальных угроз безопасности информации;
  • появление в общедоступных источниках информации о новых угрозах и уязвимостях, имеющих предпосылки;
  • существенное изменение условий функционирования, внедрение новых технологий;
  • изменение нормативной документации, касающейся моделирования угроз безопасности информации;
  • в результате инцидента безопасности.
    1. Выработка предложений заведующему по совершенствованию системы защиты информации.
    1. Ведение учета применяемых средств защиты информации (в том числе криптосредств), эксплуатационной и технической документации к ним.
    1. Обеспечение передачи конфиденциальной информации и персональных данных через сети связи общего пользования в зашифрованном виде.
    1. Разработка плана мероприятий по обеспечению безопасности защищаемой информации и по защите периметра информационной системы. Принятие мер по выполнению мероприятий по обеспечению безопасности защищаемой информации и непосредственное участие в проведении таких мероприятий. Актуализация плана мероприятий по мере необходимости.
    1. Осуществление контроля физической сохранности и целостности технических средств, а также контроль сохранности и целостности опечатывающих пломб на технических средствах (в том числе и программно-аппаратных средствах защиты информации).
    1. Организация учета съемных носителей информации. Настройка соответствующих программных механизмов средств защиты информации для запрета неучтенных съемных носителей. Ведение журнала учета съемных носителей.
    1. Организация учета иных машинных носителей информации.
    1. Проведение инструктажей сотрудников, работающих с защищаемой информацией, по темам: правила работы, защита информации, положения законодательства в сфере защиты информации, новые угрозы в сфере защиты информации. Повышение осведомленности всех сотрудников МАДОУ в вопросах информационной безопасности.
    1. Организация первоначального доступа пользователям к ресурсам информационный системы в соответствии с утвержденным положением о разграничении прав доступа. Блокировка учетных записей, изменение полномочий пользователей и добавление новых пользователей в соответствии с Инструкцией о внесении изменений в списки пользователей и наделению их полномочиями доступа к ресурсам.
    1. Осуществление резервного копирования.
    1. Реализация горячего резервирования ключевых узлов (межсетевых экранов, серверов баз данных, сервера AD, криптошлюзов, коммутаторов, маршрутизаторов).
    1. Организация резервных каналов связи и контроль обеспечения провайдером заявленных характеристик канала связи.
    1. Осуществление контроля целостности программного обеспечения (в том числе и средств защиты информации). Периодически (не реже одного раза в месяц) сверять рассчитанные контрольные суммы ключевых системных и исполняемых файлов ПО и СЗИ с эталонными значениями.
    1. Периодическое тестирование функций системы защиты, согласно плану мероприятий по обеспечению безопасности информации, либо при изменении программной среды.
    1. Участие в составе группы реагирования на инциденты информационной безопасности в расследованиях причин инцидентов безопасности, внесение по результатам таких расследований предложений по совершенствованию системы безопасности. По мере возможности, Администратор должен восстанавливать ущерб, нанесенный информационной системе во время инцидента безопасности, а также восстанавливать ПДн и конфиденциальную информацию, модифицированную или уничтоженную в результате такого инцидента.
    1. Контроль выполнения Пользователями требований Инструкции пользователя, а также других установленных требований для обеспечения безопасности.
    1. В случае получения от Пользователей информации о фактах утраты, компрометации ключевой, парольной и аутентифицирующей информации, а также любой другой информации ограниченного доступа, Администратор незамедлительно принимает все необходимые меры для обеспечения безопасности, в пределах своих полномочий.
    1. Обеспечение отсутствия на АРМ Пользователей средств разработки и отладки программного обеспечения. Контроль за отключением на АРМ Пользователей и невозможностью самостоятельного включения пользователем технологий мобильного кода (JavaScript, Adobe Flash, макросы MS Office и т. д.), кроме случаев, когда использование таких технологий необходимо для выполнения служебных (должностных) обязанностей.
    1. Выявление уязвимостей посредством периодического сканирования системы сертифицированным сканером безопасности. Принятие решений на основании итогов каждого сканирования.
    1. Контроль обновлений системного, прикладного программного обеспечения и средств защиты информации (в том числе обновлений антивирусных баз, сигнатур сценариев вторжений, информации об уязвимостях).
    1. Контроль сотрудников сторонних организаций, производящих ремонт/обслуживание технических средств или настройку/установку программного обеспечения.
    1. Обеспечение функционирования и поддержания работоспособности:

-        системы защиты информации от несанкционированного доступа;

-        системы межсетевого экранирования;

-        системы обнаружения и предотвращения вторжений;

-        системы криптографической защиты информации;

-        системы антивирусной защиты.

    1. Обеспечение непрерывности процессов. В случае нарушения работоспособности технических средств и программного обеспечения, в том числе средств защиты, Администратор принимает меры по их своевременному восстановлению и выявлению причин, приведших к нарушению работоспособности.
  1. ПРАВА АДМИНИСТРАТОРА БЕЗОПАСНОСТИ.

Администратор имеет право:

    1. Знакомиться с нормативными актами МАДОУ.
    1. Вносить предложения заведующему по совершенствованию существующей системы защиты информации.
    1. Требовать от Пользователей соблюдения требований Инструкции пользователя и иных нормативно-правовых и организационно-распорядительных документов по обеспечению информационной безопасности.
    1. Инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения безопасности.
    1. Требовать прекращения работы, как в целом, так и отдельных Пользователей, в случае выявления нарушений требований по обеспечению безопасности.
    1. Обращаться за необходимыми разъяснениями по вопросам обработки и обеспечения безопасности персональных данных к Ответственному за организацию обработки персональных данных.
  1. НАСТРОЙКА И ОБСЛУЖИВАНИЕ СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦАНИРОВАННОГО ДОСТУПА.
    1. Администратор участвует в развертывании средства защиты информации от несанкционированного доступа.
    1. Администратор производит настройку подсистемы регистрации, идентификации и аутентификации. Идентификации и аутентификации подлежат как пользователи, так и учетные записи служб, приложений, программных процессов.
    1. Удаленные (внешние) пользователи проходят идентификацию и аутентификацию. Администратор обеспечивает наличие минимального количества точек входа удаленных пользователей. Администратор производит мониторинг подключений и действий внешних пользователей. Администратор обеспечивает доступ внешних (удаленных) пользователей по защищенным каналам связи. Администратор предоставляет возможность удаленного доступа только тем пользователям, которым такой доступ необходим в силу исполнения ими служебных обязанностей.
    1. Администратор осуществляет контроль использования мобильных технических средств (ноутбуки, нетбуки, планшеты, смартфоны и иные устройства). В случае использования мобильных устройств удаленными пользователями. Учет мобильных технических средств производится Администратором в Журнале учета портативных устройств, имеющих встроенные носители информации.
    1. Администратор осуществляет учет машинных носителей информации, как стационарных (жесткие диски АРМ и серверов, SSD-накопители и т. д.), так и съемных (флеш-накопители, съемные жесткие диски, карты памяти, память мобильных устройств и т. д.). Каждому носителю присваивается идентификационный номер. Для стационарных машинных носителей информации фиксируется местонахождение носителя (АРМ, кабинет), в случае замены или утилизации стационарного, или съемного машинного носителя принимаются меры по гарантированному уничтожению информации на носителе или самого носителя с соответствующей пометкой в Журнале учета машинных носителей информации. Съемные машинные носители информации выдаются пользователям под роспись в Журнале учета приема/выдачи съемных машинных носителей информации. Дата сдачи машинного носителя также фиксируется в Журнале.
    1. Администратор является ответственным за хранение, выдачу, инициализацию средств аутентификации (аппаратных ключей, учетных записей, первичных паролей). Администратор определяет парольную политику и требования к сложности паролей. Администратор выдает пользователю пароль для первоначального входа. Устанавливаются следующие требования к паролям:
  • минимальная длина пароля составляет 8 символов, пароль должен содержать буквы английского алфавита верхнего и нижнего регистров, как минимум одну цифру и один спецсимвол;
  • при смене пароля, новый пароль должен отличаться минимум на два символа от предыдущего;
  • максимальное время действия пароля – 90 дней;
  • минимальное время действия пароля – 10 дней;
  • запрещается использование пользователями пяти последних использованных паролей при создании новых паролей;
    1. Администратор контролирует наличие и работоспособность средств доверенной загрузки.
    1. Администратор запрещает пользователям самостоятельную установку любого программного обеспечения. Перечень разрешенного к установке программного обеспечения подлежит периодическому пересмотру. Установка разрешенного программного обеспечения производится либо Администратором лично, либо в присутствии Администратора и под контролем Администратора.
  1. РЕГИСТРАЦИЯ И УЧЕТ СОБЫТИЙ БЕЗОПАСНОСТИ.
    1. Под системой регистрации и учета событий безопасности понимается совокупность средств централизованного управления.
    1. Система регистрации и учета событий безопасности, а также информация, хранящаяся в электронных журналах регистрации событий сами по себе, являются объектами защиты. Администратор принимает меры по защите этой информации в соответствии с техническим заданием на систему защиты информации и системы защиты информации. Доступ к записям системы регистрации и учета событий безопасности разрешен только Администратору.
    1. Администратор периодически изучает записи системы регистрации и учета событий безопасности и в случае обнаружения инцидентов безопасности информации созывает группу реагирования на инциденты информационной безопасности, которая в свою очередь действует согласно соответствующим инструкциям.
    1. Реализуется регистрация событий безопасности в виртуальной инфраструктуре. Администратор участвует в настройке системы регистрации событий безопасности в виртуальной инфраструктуре и изучает журналы событий с определенной периодичностью.
  • запуск (завершение) работы компонентов виртуальной инфраструктуры;
  • доступ субъектов доступа к компонентам виртуальной инфраструктуры;
  • изменения в составе и конфигурации компонентов виртуальной инфраструктуры во время их запуска, функционирования и аппаратного отключения;
  • изменения правил разграничения доступа к компонентам виртуальной инфраструктуры.
  1. ДЕЙСТВИЯ АДМИНИСТРАТОРА ПРИ РЕМОНТЕ ТЕХНИЧЕСКИХ СРЕДСТВ, ОБСЛУЖИВАНИИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И УТИЛИЗАЦИИ НОСИТЕЛЕЙ ИНФОРМАЦИИ.
    1. Администратор присутствует в процессе установки, обновления, настройки программного обеспечения (в том числе и средств защиты информации) сотрудниками сторонних организаций.
    1. Администратор присутствует в процессе ремонта технических средств сотрудниками сторонних организаций. Администратор обеспечивает гарантированное затирание данных с носителей информации, либо демонтаж носителей информации (в том числе и оперативной памяти) с технических средств в случае необходимости отправки технических средств для ремонта на территорию сторонних организаций.
    1. Администратор обеспечивает гарантированное затирание данных на машинных носителях информации при утилизации технических средств, либо принимает участие в физическом уничтожении машинных носителей информации в составе комиссии по уничтожению.

5. Инструкция ответственного за организацию информационной безопасности в МАДОУ «Детский сад «Звездочка» г. Белоярский»

  1. ОБЩИЕ ПОЛОЖЕНИЯ.
    1. Ответственный за организацию информационной безопасности в МАДОУ (далее – Ответственный) назначается приказом заведующего МАДОУ (далее – Учреждение) и отвечает за организацию, обеспечение своевременного и квалифицированного выполнения сотрудниками Учреждения законодательства Российской Федерации о Информационной безопасности.
    1. Ответственный должен знать законодательные и иные нормативные правовые акты Российской Федерации, методические материалы информационной безопасности. Ответственный поддерживает в актуальном состоянии свои знания в сфере действующего законодательства и законодательных инициатив, связанных с информационной безопасностью.
    1. В своей деятельности Ответственный руководствуется настоящей Инструкцией и действующим законодательством в сфере информационной безопасности.
  1. ОСНОВНЫЕ ФУНКЦИИ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
    1. Ответственный изучает все стороны деятельности Учреждения и вырабатывает рекомендации по организации информационной безопасности при решении следующих основных вопросов:
  • контроль за поддержанием в актуальном состоянии действующих локальных нормативных актов, журналов и форм учета по работе информационной безопасностью;
  • контроль за обеспечением соответствия проводимых работ в части информационной безопасности, правилам и нормам охраны труда;
  • организация работы по заключению договоров на работы по информационной безопасности;
  • рассмотрение предложений по совершенствованию действующей системы защиты предоставленных Администратором;
  • осуществление в пределах своей компетенции иных функций в соответствии с целями и задачами Учреждения.
  1. ОСНОВНЫЕ ОБЯЗАННОСТИ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
    1. Соблюдать требования нормативных актов Учреждения, устанавливающих порядок работы по информационной безопасности
    1. Обеспечивать доведение до сведения сотрудников Учреждения законодательства Российской Федерации о информационной безопасности, нормативных актов по вопросам обработки информационной безопасности, требований к защите инфор.
    1. Осуществлять внутренний контроль за соблюдением сотрудниками Учреждения законодательства Российской Федерации о информационной безопасности, в том числе требований к защите.
    1. Контролировать ведение документации, предусмотренной нормативными актами Учреждения в части обеспечения информационной безопасности.
    1. Обеспечивать доработку локальных нормативных документов по информационной безопасности. Учреждения в случае такой необходимости или при поступлении такого требования от регулирующего органа.
    1. Участвовать в расследовании нарушений по вопросам защиты информационной безопасности, имевших место, разрабатывать предложения по устранению недостатков и предупреждению подобного рода нарушений.
    1. Обеспечивать организацию проведения занятий со специалистами Учреждения по организационным вопросам информационной безопасности.
  1. ПРАВА ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
    1. Знакомиться с документами и материалами, необходимыми для выполнения возложенных на него задач.
    1. Проводить проверки соблюдения режима обеспечения информационной безопасности.
    1. Требовать от сотрудников Учреждения соблюдения требований нормативно-правовых и организационно-распорядительных документов по вопросам информационной безопасности.
    1. Инициировать проведение служебных расследований по фактам нарушения установленных требований информационной безопасности.
    1. Требовать от сотрудников Учреждения письменных объяснений при проведении служебных расследований по вопросам нарушений требований информационной безопасности.
    1. Вносить предложения об отстранении от выполнения служебных обязанностей сотрудников, систематически нарушающих требования информационной безопасности.
    1. Давать сотрудникам Учреждения обязательные для выполнения указания по информационной безопасности, определяемые законодательством Российской Федерации и локальными нормативными актами Учреждения.
    1. Привлекать в установленном порядке специалистов Учреждения, имеющих непосредственное отношение к рассматриваемым проблемам, для более детального изучения отдельных вопросов, возникающих в процессе работы.

6. Принципы обработки персональных данных

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

Что такое целевая обработка персональных данных и как ее обеспечить

2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

7. Цели сбора информации о субъектах

Любой вид информации, которая прямо или косвенно относится к определенному гражданину, рассматривается как «персональные данные» (ПДн). Обрабатывать такие сведения – значит выполнять любые действия или операции с этой информацией. Операторам разрешается эти сведения:

  • собирать;
  • записывать;
  • систематизировать;
  • накапливать;
  • хранить;
  • уточнять;
  • извлекать;
  • применять;
  • передавать;
  • обезличивать;
  • блокировать;
  • удалять;
  • уничтожать.

Выполнение таких действий должно осуществляться с определенными целями. В законе о персональных данных прописано, что обработка ПДн должна ограничиваться конкретно обозначенными целями, имеющими законные основания. Если на предприятии, к примеру, хранится две базы с персональными сведениями работников с различными целями, не допускается их объединение в одну базу.

Перечень целей обработки персональных данных должен указываться в соглашении, которое предприятие подписывает с работником, клиентом, деловым партнером. Политика компании, касающаяся обработки ПДн, должна размещаться в местах с открытым доступом. 

На этой странице

Сайт использует сервис веб-аналитики Яндекс Метрика с помощью технологии «cookie». Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie