Положение об обработке персональных данных в Администрации города Обнинска
|
Скачать 0.78 Mb.
|
|
Форма журнала учета используемых криптосредств, эксплуатационной и технической документации к ним Журнал начат _______________ Журнал завершен ______________ Ответственный _____________________ (Ф.И.О.) На ________ листах
Приложение №3 к распоряжению Администрации города Обнинска от ___________ № __________ Правила работы с обезличенными данными в Администрации города Обнинска 1. Общие положения Настоящий документ подготовлен в целях реализации Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Постановления Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правыми актами, операторами, являющимися государственными или муниципальными органами», а также Приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных» и устанавливает правила работы с обезличенными данными, определяет для них цели обработки, перечень обрабатываемых данных, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований регламентирует порядок работы с документами и электронными и магнитными носителями, содержащими персональные данные в Администрации города. Файлы или документы, содержащие обезличенные данные, обрабатываются в соответствии с полномочиями, возложенными на Администрацию, а также во исполнение законодательства Российской Федерации в таком виде, в котором информация, касающаяся поддающегося идентификации субъекта/лица, не может быть прямо (нет прямых идентификаторов) или косвенно (дополнительно обезличивается при помощи процедур, как «кодирование с установленным верхним пределом», при котором, например, определенный возраст перекодируется в возрастную группу) идентифицирована. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. При автоматизированной обработке обезличенные данные представляют собой файлы единичных записей, которые не содержат прямых идентификаторов, но при этом имеется риск разглашения информации через косвенную идентификацию. Доступ к обезличенным данным при наличии ключевых идентификаторов строго контролируется и может предоставляться исключительно в рамках исполнения законодательства Российской Федерации по обеспечению безопасности обработки обезличенных данных. 2. Условия обезличивания 2.1. Обезличивание персональных данных может быть проведено с целью снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных в Администрации и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. 2.2. Способы обезличивания при условии дальнейшей обработки персональных данных: - уменьшение перечня обрабатываемых сведений; - замена части сведений идентификаторами; - обобщение - понижение точности некоторых сведений; - понижение точности некоторых сведений (например, «Место жительства» может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город); - деление сведений на части и обработка в разных информационных системах; - другие способы. 2.3. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных. 2.4. Для обезличивания персональных данных используются любые способы явно не запрещенные законодательно. 3. Правила работы с обезличенными персональными данными 3.1. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности. 3.2.Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации. 3.3. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение: 3.3.1 парольной политики; 3.3.2 антивирусной политики; 3.3.3 правил работы со съемными носителями (если они используется); 3.3.4 правил резервного копирования; 3.3.5правил доступа в помещения, где расположены элементы информационных систем. 3.4. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение: 3.4.1 правил хранения бумажных носителей; 3.4.2 правил доступа к ним и в помещения, где они хранятся. 4. Порядок обеспечения безопасности при обработке и хранении обезличенных данных, осуществляемых без использования средств автоматизации 4.1. В целях обеспечения сохранности документов, содержащих обезличенные данные, все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться сотрудниками Администрации города, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях. 4.2. Документы с обезличенными данными, как и все документы, поступающие в Администрацию, обрабатываются в соответствии с утвержденной инструкцией по ведению делопроизводства в Администрации города. При обработке документа, содержащего обезличенные данные, в книге учета входящих/исходящих расписываются все сотрудники Администрации города, участвующие в работе с этим документом. Документ выдается только сотрудникам Администрации города. 4.3. Обезличенные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях данных (далее – материальные носители), в специальных разделах или на специальных полях форм (бланков). 4.4. При фиксации данных на материальных носителях не допускается фиксация на одном материальном носителе данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий обезличенных данных, осуществляемой без использования средств автоматизации, для каждой категории обезличенных данных должен использоваться отдельный материальный носитель. 4.5. Использование типовых форм документов, характер информации в которых предполагает или допускает включение в них обезличенных данных (далее – типовая форма), если типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки обезличенных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта обезличенных данных, источник получения обезличенных данных, сроки обработки обезличенных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки обезличенных данных. 4.6. При несовместимости целей обработки обезличенных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку обезличенных данных отдельно от других зафиксированных на том же носителе обезличенных данных, должны быть приняты меры по обеспечению раздельной обработки обезличенных данных, в частности: а) при необходимости использования или распространения определенных обезличенных данных отдельно от находящихся на том же материальном носителе других обезличенных данных осуществляется копирование обезличенных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование обезличенных данных, не подлежащих распространению и использованию, и используется (распространяется) копия обезличенных данных; б) при необходимости уничтожения или блокирования части обезличенных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование обезличенных данных, подлежащих уничтожению или блокированию. 4.7. Уничтожение или обезличивание части обезличенных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих обезличенных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). 4.8. Уточнение обезличенных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными. 4.9. Обработка обезличенных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории обезличенных данных можно было определить места хранения обезличенных данных (материальных носителей) должны соблюдаться условия, обеспечивающие сохранность обезличенных данных и исключающие несанкционированный к ним доступ, для этого документы должны находиться в закрываемых на замок шкафах, сейфах, иных шкафах, имеющих запираемые блок-секции, должен иметься перечень лиц назначенных ответственные за хранение документов, ответственные за помещения в которых хранятся документы, документы должны выдаваться допущенным к ним сотрудникам под роспись в журналах. Журналы ведутся в соответствии с нормативными актами. 4.10. Не допускается без согласования с руководителем структурного подразделения формирование и хранение баз данных (картотек, файловых архивов и др.), содержащих обезличенные данные. 5. Порядок обеспечения безопасности при обработке и хранении обезличенных данных, осуществляемых с использованием средств автоматизации 5.1. Обработка обезличенных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к обезличенным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение обезличенных данных, а также иных несанкционированных действий. Работы по обеспечению безопасности обезличенных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем. 5.2. Организация режима обеспечения безопасности, где размещено оборудование, а также охрана помещений, в которых ведется работа с обезличенными данными, должны обеспечивать сохранность носителей обезличенных данных, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц. 5.3. Безопасность обезличенных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку обезличенных данных (далее – уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность и безопасность обезличенных данных при их обработке. 5.4. При обработке обезличенных данных должно быть обеспечено: а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к обезличенным данным и (или) передачи их лицам, не имеющим права доступа к такой информации; б) своевременное обнаружение фактов несанкционированного доступа к обезличенным данным; в) недопущение воздействия на технические средства автоматизированной обработки обезличенных данных, в результате которого может быть нарушено их функционирование; г) возможность незамедлительного восстановления обезличенных данных, измененных, заблокированных или уничтоженных вследствие несанкционированного доступа к ним; д) постоянный контроль за обеспечением уровня защищенности обезличенных данных. 5.5. Мероприятия по обеспечению безопасности обезличенных данных при их обработке в информационных системах включают в себя: а) учет лиц, допущенных к работе с персональными данными в информационной системе; б) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей обезличенных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности обезличенных данных или другим нарушениям, приводящим к снижению уровня защищенности обезличенных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений; в) оператор при необходимости может разработать дополнительные нормативные акты по защите обезличенных данных. 5.6. Для разработки и осуществления мероприятий по обеспечению безопасности обезличенных данных при их обработке оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности обезличенных данных. 5.7. Лица, доступ которых к обезличенным данным необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим обезличенным данным на основании списка, утвержденного оператором или уполномоченным лицом. 5.8. Запросы пользователей на получение обезличенных данных, включая лиц, а также факты предоставления обезличенных данных по этим запросам по возможности должны регистрироваться автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица. 5.9. При обнаружении нарушений порядка обработки обезличенных данных оператор или уполномоченное лицо незамедлительно устраняет причины нарушений. 5.10. В целях обеспечения антивирусной защиты работа с персональными данными проводится в соответствии с инструкцией «По организации антивирусной защиты». |
||||||||||||||||||||||||||||||||||||||||
Похожие:
 |
Положение по организации и проведению работ по обеспечению безопасности... Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных... |
 |
Руководство пользователя по обеспечению безопасности информационной... Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке... |
|
Овсянниковского сельского поселения распоряжени е Российской федерации от 01. 11. 2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных... |
|
Об организации и проведении работ по обеспечению безопасности персональных... Х обеспечения безопасности персональных данных при обработке в информационных системах Управления Министерства юстиции Российской... |
|
Мероприятия и документы по защите персональных данных Фз «О персональных данных» и Постановления Правительства Российской Федерации от 17. 11. 2007 №781 «Об утверждении Положения об обеспечении... |
|
Положение по организации и проведению работ по обеспечению безопасности... Структура организационной системы обеспечения безопасности персональных данных 27 |
|
Регламент обеспечения безопасности персональных данных при их обработке... Защита персональных данных от несанкционированного и непреднамеренного воздействия 12 |
|
Инструкция по использованию ресурсов сети Интернет в информационной... Об утверждении Инструкции по использованию ресурсов сети Интернет в информационной сети Администрации города Обнинска |
|
Инструкция администратора безопасности в Муниципальном учреждении... Ава и обязанности администратора безопасности по вопросам обеспечения информационной безопасности при обработке персональных данных... |
|
Положение об организации работы с персональными данными работников... Ности, не отнесенные к должностям муниципальной службы (далее работники), обеспечение защиты прав работников при обработке их персональных... |
|
Соглашение об обработке персональных данных В настоящем соглашении об обработке персональных данных (далее – Соглашение) нижеприведенные термины имеют следующие определения |
|
Приказ о назначении ответственного лица в области обработки и защиты... Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных... |
|
Администрация Егорлыкского района Ростовской области постановление Фз «О персональных данных», постановлением Правительства РФ от 01. 11. 2012 №119 «Об утверждении требований к защите персональных... |
|
Методические рекомендации исполнительным органам государственной... Приказ о назначении сотрудников, ответственных за обеспечение безопасности персональных данных при их обработке в информационных... |
|
Приказ фстэк россии от 18 февраля 2013 г. №21 «Об утверждении состава... Муниципальном казенном учреждении муниципального образования город-курорт Пятигорск «Многофункциональный центр предоставления государственных... |
|
Приказ Об обработке персональных данных в Аппарате Администрации Ненецкого автономного округа |