АДМИНИСТРАЦИЯ БИШЕВСКОГО СЕЛЬСКОГО ПОСЕЛЕНИЯ

ПОСТАНОВЛЕНИЕ № 43

дер. Бишево 22 октября 2019 года

Об утверждении положения по организации и проведению работ по обеспечению безопасности

персональных данных при их обработке в информационных системах персональных данных

администрации Бишевского сельского поселения Урмарского района Чувашской Республики

В соответствии с Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 21 марта 2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом Федеральной службы по техническом и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»., администрация Бишевского сельского поселения Урмарского района Чувашской Республики п о с т а н о в л я е т:

1.Утвердить прилагаемое положения по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации Бишевского сельского поселения Урмарского района Чувашской Республики.

2.Настоящее постановление вступает в силу с момента официального опубликования.

Глава Бишевского сельского поселения Урмарского района Чувашской Республики Е.Ф.Васильева

ПОЛОЖЕНИЕ

по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации Бишевского сельского поселения Урмарского района Чувашской Республики

1. Общие положения

1. Настоящее Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации Бишевского сельского поселения Урмарского района Чувашской Республики (далее - Положение) разработано в соответствии с Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 21 марта 2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом Федеральной службы по техническом и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

2. Цель разработки настоящего Положения – установление порядка организации и проведения работ по обеспечению безопасности персональных данных (далее – ПДн) в информационных системах персональных данных (далее – ИСПДн) администрации Бишевского сельского поселения Урмарского района Чувашской Республики (далее – Администрация поселения) на протяжении всего жизненного цикла ИСПДн.

2. Термины и определения

1. В настоящем Положении используются следующие термины и их определения:

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания, если иное не предусмотрено федеральным законом.

Контролируемая зона – пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.

Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

Обработка персональных данных – действия (операции) с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации).

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

Ресурс информационной системы – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.

Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Уровень защищенности персональных данных - комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Утечка (защищаемой) информации по техническим каналам – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

Целостность информации – способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

3. Порядок организации и проведения работ по обеспечению безопасности персональных данных

1. Под организацией обеспечения безопасности ПДн при их обработке в ИСПДн понимается формирование и реализация совокупности согласованных по цели, задачам, месту и времени организационных и технических мероприятий, направленных на минимизацию ущерба от возможной реализации угроз безопасности ПДн, реализуемых в рамках создаваемой системы защиты персональных данных (далее - СЗПДн).

2. СЗПДн включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных, уровня защищенности ПДн, который необходимо обеспечить, и информационных технологий, используемых в информационных системах.

3. Безопасность ПДн при их обработке в ИСПДн обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.

4. Выбор средств защиты информации для СЗПДн осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации (далее – ФСБ России) и Федеральной службой по техническому и экспортному контролю (далее – ФСТЭК России) во исполнение Федерального закона «О персональных данных».

5. Структура, состав и основные функции СЗПДн определяются исходя из уровня защищенности ПДн при их обработке в ИСПДн.

6. СЗПДн создается в три этапа:

Этап 1. Предпроектное обследование ИСПДн и разработка технического задания на создание СЗПДн.

Этап 2. Проектирование СЗПДн, закупка, установка, настройка необходимых средств защиты информации.

Этап 3. Ввод ИСПДн с СЗПДн в эксплуатацию.

7. Этап 1. Проведение предпроектного обследования и разработка технического задания на создание СЗПДн.

1. Назначение распоряжением главы администрации Бишевского сельского поселения Урмарского района Чувашской Республики ответственного за организацию обработки ПДн.

2. Создание в Администрации поселения комиссии по определению уровня защищенности ПДн при их обработке в ИСПДн.

3. Определение перечня субъектов персональных данных (физических лиц), ПДн которых обрабатываются в Администрации поселения, перечня обрабатываемых ПДн и перечня документов, содержащих ПДн.

4. Определение перечня ИСПДн в Администрации поселения и состава ПДн, обрабатываемых в ИСПДн. Перечень ИСПДн и обрабатываемых ПДн утверждается распоряжением главы администрации Бишевского сельского поселения Урмарского района Чувашской Республики.

5. Определение целей обработки персональных данных – выполнение требований трудового законодательства Российской Федерации и законодательства о муниципальной службе в Российской Федерации, предоставление государственных и муниципальных услуг, выполнение возложенных на Администрацию района функций, полномочий и обязанностей, рассмотрение обращений граждан.

6. Определение сроков обработки и хранения ПДн, исходя из требования, что ПДн не должны храниться дольше, чем этого требуют цели обработки этих ПДн, по достижению которых ПДн подлежат уничтожению.

7. Определение перечня используемых в ИСПДн (предлагаемых к использованию в ИСПДн) общесистемных и прикладных программных средств.

8. Определение режимов обработки ПДн в ИСПДн в целом и в отдельных компонентах.

9. Назначение распоряжением главы администрации Бишевского сельского поселения Урмарского района Чувашской Республики ответственного за обеспечение безопасности ПДн в ИСПДн (далее - Ответственный) для разработки и осуществления технических мероприятий по организации и обеспечению безопасности ПДн при их обработке в ИСПДн. Для каждой ИСПДн может быть назначен отдельный Ответственный.

10. Разработка разрешительной системы доступа (матрицы доступа) пользователей ИСПДн к обрабатываемой на ИСПДн информации.

11. Определение границ контролируемых зон путем издания соответствующего распоряжения главы администрации Бишевского сельского поселения Урмарского района Чувашской Республики и условий расположения ИСПДн относительно границ контролируемых зон.

12. Определение конфигурации и топологии ИСПДн в целом и их отдельных компонент, физических, функциональных и технологических связей как внутри этих систем, так и с другими системами различного уровня и назначения.

13. Определение технических средств и систем, используемых в ИСПДн, включая условия их расположения.

14. Формирование технических паспортов ИСПДн.

15. Разработка следующих организационно-распорядительных документов (далее - ОРД), регламентирующих процесс обработки и защиты персональных данных:

Положение о защите персональных данных;

Инструкция ответственного за обеспечение безопасности ПДн в ИСПДн;

Инструкция пользователя ИСПДн;

Раздел должностных инструкций сотрудников Администрации поселения в части обеспечения безопасности ПДн при их обработке, включая установление персональной ответственности за нарушения правил обработки ПДн.

16. Классификация ИСПДн в соответствии с «Порядком проведения классификации информационных систем персональных данных», утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 № 55/86/20 (подготовка и утверждение акта классификации).

17. Определение уровня защищенности ПДн при их обработке в ИСПДн в соответствии с «Требованиями к защите ПДн при их обработке в информационных системах персональных данных», утвержденными Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 (подготовка и утверждение акта определения уровня защищенности ПДн при их обработке в ИСПДн).

18. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, с учетом оценки возможного вреда в соответствии с нормативными правовыми актами, принятыми во исполнение Федерального закона «О персональных данных». Определение угроз безопасности ПДн в конкретных условиях функционирования ИСПДн (разработка моделей угроз безопасности ПДн при их обработке в ИСПДн).

19. Формирование технического задания на разработку СЗПДн по результатам предпроектного обследования на основе нормативно-методических документов ФСТЭК России и ФСБ России с учетом установленного уровня защищенности ПДн при их обработке в ИСПДн.

Техническое задание на разработку СЗПДн должно содержать:

обоснование разработки СЗПДн;

исходные данные создаваемой (модернизируемой) ИСПДн в техническом, программном, информационном и организационном аспектах;

уровень защищенности ПДн при их обработке в ИСПДн;

ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн, и приниматься в эксплуатацию ИСПДн;

конкретизацию мероприятий и требований к СЗПДн;

состав и содержание работ по этапам разработки и внедрения СЗПДн

перечень предполагаемых к использованию сертифицированных средств защиты информации.

8. Этап 2. Проектирование СЗПДн, закупка, установка, настройка и опытная эксплуатация необходимых средств защиты информации.

1. Создание СЗПДн является необходимым условием обеспечения безопасности ПДн, в том случае, если существующие организационные и технические меры обеспечения безопасности не соответствуют требованиям к обеспечению безопасности ПДн для соответствующего уровня защищенности ПДн при их обработке в ИСПДн и/или не нейтрализуют всех угроз безопасности ПДн для данной ИСПДн.

2. Технические меры защиты ПДн предполагают использование программно-аппаратных средств защиты информации. При обработке ПДн с использованием средств автоматизации применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется в процессе предпроектного обследования информационных ресурсов Администрации поселения. Применение технических мер должно быть регламентировано нормативным актом Администрации поселения.

3. Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации.

4. На стадии проектирования и создания СЗПДн для ИСПДн Администрации поселения проводятся следующие мероприятия:

разработка технического проекта СЗПДн;

приобретение (при необходимости), установка и настройка серийно выпускаемых технических средств обработки, передачи и хранения информации;

разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;

приобретение, установка и настройка сертифицированных технических, программных и программно-технических средств защиты информации, в том числе (при необходимости) средств криптографической защиты информации;

реализация разрешительной системы доступа пользователей ИСПДн к обрабатываемой в ИСПДн информации;

подготовка эксплуатационной документации на используемые средства защиты информации;

корректировка (дополнение) организационно-распорядительной документации в части защиты информации (положений, приказов, паспортов ИСПДн, топологических схем, инструкций и других документов).

9. Этап 3. Ввод ИСПДн с СЗПДн в промышленную эксплуатацию.

1. На стадии ввода в ИСПДн (СЗПДн) осуществляются:

опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн (при необходимости);

приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации (при необходимости);

контроль выполнения требований (возможно проведение данного контроля в виде аттестации по требованиям безопасности персональных данных).

1. Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).

4. Проведение работ по обеспечению безопасности персональных данных

1. Работы по обеспечению безопасности ПДн проводятся в соответствии с Планом мероприятий по защите персональных данных (Приложение № 1). Внутренние проверки режима защиты ПДн в Администрации поселения проводятся в соответствии с Планом внутренних проверок режима защиты персональных данных (Приложение № 2). Планы утверждаются главой администрации Бишевского сельского поселения Урмарского района Чувашской Республики

2. Контроль за проведением работ по обеспечению безопасности ПДн осуществляет ответственный за организацию обработки ПДн в виде методического руководства, участия в разработке требований по защите персональных данных, организации работ по выявлению возможных каналов утечки информации, согласования выбора средств вычислительной техники и связи, технических и программных средств защиты, участия в оценке соответствия ИСПДн Администрации поселениятребованиям безопасности ПДн.

3. При необходимости к проведению работ по обеспечению безопасности персональных данных могут привлекаться специализированные организации, имеющие лицензию ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации.

4. В соответствии с п. 5.2 Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденных руководством 8 Центра ФСБ России 21.02.2008 № 149/54-144, при необходимости использования при создании СЗПДн средств криптографической защиты информации к проведению работ по обеспечению безопасности персональных данных Администрации поселения необходимо привлекать специализированные организации, имеющие лицензии ФСБ России на осуществление работ по распространению шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведения, составляющие государственную тайну, на осуществление технического обслуживания шифровальных (криптографических) средств, на осуществление работ по оказанию услуг в области шифрования информации, не содержащих сведений, составляющих государственную тайну.

5. Решение вопросов обеспечения безопасности персональных данных в динамике изменения обстановки и контроля эффективности защиты

1. Модернизация СЗПДн для функционирующих ИСПДн Администрации поселения должна осуществляться в случае:

изменения состава или структуры ИСПДн или технических особенностей ее построения (изменения состава или структуры программного обеспечения, технических средств обработки ПДн, топологии ИСПДн);

изменения состава угроз безопасности ПДн в ИСПДн;

изменения уровня защищенности ПДн при их обработке в ИСПДн;

прочих случаях, по решению оператора.

2. В целях определения необходимости доработки (модернизации) СЗПДн не реже одного раза в год ответственным за организацию обработки ПДн должна проводиться проверка состава и структуры ИСПДн, состава угроз безопасности ПДн в ИСПДн и уровня защищенности ПДн при их обработке в ИСПДн, соблюдения условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией. Результаты проверки оформляются актом проверки и утверждаются главой администрации Бишевского сельского поселения Урмарского района Чувашской Республики.

3. Анализ инцидентов безопасности ПДн и составление заключений в обязательном порядке должно проводиться в случае выявления следующих фактов:

несоблюдение условий хранения носителей персональных данных;

использование средств защиты информации, которые могут привести к нарушению заданного уровня безопасности (конфиденциальность/ целостность/доступность) персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных;

нарушение заданного уровня безопасности ПДн (конфиденциальность/ целостность/доступность).

Приложение № 1

к Положению по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации Бишевского сельского поселения Урмарского района Чувашской Республики от « 22 » октября 2019 г.

План мероприятий по защите персональных данных в администрации Бишевского сельского поселения Урмарского района Чувашской Республики

Приложение № 2

к Положению по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации Бишевского сельского поселения Урмарского района Чувашской Республики от 22.10.2019 г.

План внутренних проверок режима защиты персональных данных в администрации Бишевского сельского поселения Урмарского района Чувашской Республики

АДМИНИСТРАЦИЯ БИШЕВСКОГО СЕЛЬСКОГО ПОСЕЛЕНИЯ УРМАРСКОГО РАЙОНА ЧУВАШСКОЙ РЕСПУБЛИКИ

ПОСТАНОВЛЕНИЕ № 44

дер. Бишево 22 октября 2019 года

Об утверждении политики администрации Бишевского сельского поселения Урмарского района

Чувашской Республики в отношении обработки персональных данных

В соответствии с Конституцией Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных", постановления Правительства Российской Федерации от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" Федеральный закон от 06.10.2003 № 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации", ст. 12 Федерального закона от 15.11.1997 № 143-ФЗ "Об актах гражданского состояния", Федеральный закон от 02.03.2007 № 25-ФЗ "О муниципальной службе в Российской Федерации", Закон ЧР от 05.10.2007 N 62 "О муниципальной службе в Чувашской Республике", Федеральный закон от 02.05.2006 № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", Гражданский кодекс Российской Федерации, Устав, Положение об обработке персональных данных, Градостроительный кодекс РФ, Жилищный кодекс РФ, Закон ЧР от 17.10.2005 № 42 «О регулировании жилищных отношений», Федеральный закон от 27.07. 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», Федеральный закон от 13.03.2006 № 38-ФЗ «О рекламе», Постановление Кабинета Министров ЧР от 12.01.2006 №2 «О Порядке ведения органами местного самоуправления в Чувашской Республике учета граждан в качестве нуждающихся в жилых помещениях и имеющих право на государственную поддержку на строительство (приобретение) жилых помещений», Постановление Кабинета Министров Чувашской Республики N 53 от 26.02.2014 «Порядок формирования и утверждения списков участников мероприятий по улучшению жилищных условий граждан, проживающих в сельской местности, в том числе молодых семей и молодых специалистов, и выдачи свидетельств о предоставлении социальных выплат на строительство (приобретение) жилья в сельской местности»; Федеральная целевая программа "Устойчивое развитие сельских территорий на 2014 - 2017 годы и на период до 2020 года", утвержденная постановлением Правительства Российской Федерации от 15 июля 2013 г. N 598, Земельный кодекс РФ; Федеральный закон «О введении в действие Земельного кодекса РФ»; Федеральный закон «О введении в действие Градостроительного кодекса РФ»; Федеральный закон "Об обороте земель сельскохозяйственного назначения"; Федеральный закон "О переводе земель или земельных участков из одной категории в другую"; Федеральный закон "О внесении изменений в некоторые законодательные акты Российской Федерации по вопросу оформления в упрощенном порядке прав граждан на отдельные объекты недвижимого имущества"; Федеральный закон "О садоводческих, огороднических и дачных некоммерческих объединениях граждан"; Федеральный закон "О личном подсобном хозяйстве", Федеральный закон от 24.04.2008 № 48-ФЗ «Об опеке и попечительстве».

администрация Бишевского сельского поселения Урмарского района Чувашской Республики п о с т а н о в л я е т:

1.Утвердить прилагаемое положения по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации Бишевского сельского поселения Урмарского района Чувашской Республики.

2.Настоящее постановление вступает в силу с момента официального опубликования.

Глава Бишевского сельского поселения Урмарского района Чувашской Республики Е.Ф.Васильева

ПОЛИТИКА

администрации Бишевского сельского поселения Урмарского района Чувашской Республикив отношении обработки персональных данных

I.Общие положения

1. Настоящая Политика администрации Бишевского сельского поселения Урмарского района Чувашской Республикив отношении обработки персональных данных (далее - Политика) разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных.

2. Политика раскрывает категории персональных данных, обрабатываемых администрации Бишевского сельского поселения Урмарского района Чувашской Республики (далее – Оператор), цели, способы и принципы обработки персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке.

3. Настоящая Политика является общедоступным документом, декларирующим основы деятельности Оператора при обработке персональных данных.

4. Настоящая Политика вступает в силу с момента ее утверждения главой администрации Бишевского сельского поселения Урмарского района Чувашской Республики и действует бессрочно до замены ее новой Политикой или до наступления иных случаев, предусмотренных законодательством в области обработки персональных данных.

5. Настоящая Политика обязательна для соблюдения и подлежит доведению до всех сотрудников Оператора, осуществляющих обработку персональных данных.

6. В настоящей Политике используются следующие понятия, термины и сокращения:

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

II.Информация об операторе

Наименование: Администрация Бишевского сельского поселения Урмарского района Чувашской Республики

ИНН: 2114902711

Адрес местонахождения: 429412, Чувашская Республика - Чувашия, Урмарский район, деревня Бишево, Новая улица, 1

Почтовый адрес: 429412, Чувашская Республика - Чувашия, Урмарский район, деревня Бишево, Новая улица, 1

Тел.:  8(83544) 37-2-31

Интернет-страница: http://gov.cap.ru/Default.aspx?gov_id=448

III.Правовые основания обработки персональных данных

1. Обработка персональных данных осуществляется Оператором в соответствии со следующими законодательными и нормативными правовыми актами Российской Федерации:

Конституция Российской Федерации, Трудовой кодекс Российской Федерации, Федеральный закон от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных", постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" Федеральный закон от 06.10.2003 № 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации", ст. 12 Федерального закона от 15.11.1997 № 143-ФЗ "Об актах гражданского состояния", Федеральный закон от 02.03.2007 № 25-ФЗ "О муниципальной службе в Российской Федерации", Закон ЧР от 05.10.2007 N 62 "О муниципальной службе в Чувашской Республике", Федеральный закон от 02.05.2006 № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", Гражданский кодекс Российской Федерации, Устав, Положение об обработке персональных данных, Градостроительный кодекс РФ, Жилищный кодекс РФ, Закон ЧР от 17.10.2005 № 42 «О регулировании жилищных отношений», Федеральный закон от 27.07. 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», Федеральный закон от 13.03.2006 № 38-ФЗ «О рекламе», Постановление Кабинета Министров ЧР от 12.01.2006 №2 «О Порядке ведения органами местного самоуправления в Чувашской Республике учета граждан в качестве нуждающихся в жилых помещениях и имеющих право на государственную поддержку на строительство (приобретение) жилых помещений», Постановление Кабинета Министров Чувашской Республики N 53 от 26.02.2014 «Порядок формирования и утверждения списков участников мероприятий по улучшению жилищных условий граждан, проживающих в сельской местности, в том числе молодых семей и молодых специалистов, и выдачи свидетельств о предоставлении социальных выплат на строительство (приобретение) жилья в сельской местности»; Федеральная целевая программа "Устойчивое развитие сельских территорий на 2014 - 2017 годы и на период до 2020 года", утвержденная постановлением Правительства Российской Федерации от 15 июля 2013 г. N 598, Земельный кодекс РФ; Федеральный закон «О введении в действие Земельного кодекса РФ»; Федеральный закон «О введении в действие Градостроительного кодекса РФ»; Федеральный закон "Об обороте земель сельскохозяйственного назначения"; Федеральный закон "О переводе земель или земельных участков из одной категории в другую"; Федеральный закон "О внесении изменений в некоторые законодательные акты Российской Федерации по вопросу оформления в упрощенном порядке прав граждан на отдельные объекты недвижимого имущества"; Федеральный закон "О садоводческих, огороднических и дачных некоммерческих объединениях граждан"; Федеральный закон "О личном подсобном хозяйстве", Федеральный закон от 24.04.2008 № 48-ФЗ «Об опеке и попечительстве».

2. Во исполнение настоящей Политики разработаны и утверждены следующие документы:

Распоряжение «Об ответственном за организацию обработки персональных данных» (включая Инструкцию ответственного за организацию обработки персональных данных);

Распоряжение «О комиссии по определению уровня защищенности персональных данных при их обработке в информационных системах персональных данных»;

Распоряжение «Об утверждении перечня информационных систем персональных данных, перечня персональных данных, содержащихся в программных комплексах, входящих в состав информационных систем персональных данных и перечня обрабатываемых персональных данных»;

Распоряжение «Об утверждении перечня сотрудников осуществляющих обработку персональных данных и имеющих доступ к персональным данным» (включая Инструкцию пользователя информационных систем персональных данных);

Распоряжение «Об обеспечении безопасности материальных носителей персональных данных»;

Распоряжение «Об ответственном за обеспечение безопасности персональных данных в информационных системах персональных данных» (включая Инструкцию ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных);

Распоряжение «Об утверждении перечня должностей служащих, замещение которых предусматривает осуществление обработки персональных данных, либо осуществление доступа к обрабатываемым персональным данным»;

Распоряжение «Об утверждении перечня должностей служащих, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных»;

Распоряжение «О контролируемых зонах»;

Распоряжение «Об утверждении порядка доступа в помещения, в которых осуществляется обработка персональных данных» (включая Порядок доступа в помещения в которых осуществляется обработка персональных данных);

Распоряжение «О системе разграничения доступа в информационных системах персональных данных»;

Положение о защите персональных данных;

Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;

Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных»;

Правила работы с обезличенными данными;

Акты определения уровня защищенности персональных данных при их обработке в информационных системах персональных данных;

Модели угроз безопасности персональных данных в информационных системах персональных данных;

Акты результата опроса о частоте (вероятности) реализации угрозы и опасности угрозы по видам угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

IV.Цели обработки персональных данных

1. Оператор обрабатывает персональные данные исключительно в следующих целях:

• Исполнение условий трудовых договоров, заключенных между Оператором и работниками Оператора, а также иными лицами;

• Исполнение условий договоров (контрактов), заключенных между Оператором и контрагентами Оператора;

• Ведение бюджетного, налогового, оперативного, кадрового и воинского учета; взимание необходимых налогов и сборов с доходов работников в соответствии с законодательством РФ;

• Формирование и предоставление в соответствующие органы необходимой статистической, бюджетной, налоговой и иной отчетности по установленным формам;

• Ведение реестра муниципальных служащих;

• Организация обучения и повышения квалификации работников администрации, являющихся муниципальными служащими;

• Рассмотрение обращений граждан, регистрация письменных обращений граждан, регистрация обращений посредством "Интерактивной приемной", регистрация обращений граждан посредством электронной почты;

• Ведение документооборота, информационное взаимодействие с органами государственной власти Чувашской Республики предоставления муниципальных услуг жителям;

• Формирование реестров учета нуждающихся в улучшении жилищных условий;

• Размещения сведений по сотрудникам (ФИО, должность, рабочий телефон, фотографию) на официальном сайте администрации и информационных стендах;

• Передача данных в: Управление ПФ РФ ЧР, Межрайонную инспекцию Федеральной налоговой службы № 7 по Чувашской Республике, Государственное учреждение – региональное отделение Фонда социального страхования Российской Федерации по Чувашской Республике – Чувашии, Управление Федеральной миграционной службы по Чувашской Республике, Военный комиссариат Чувашской Республики, Многофункциональный центр предоставления государственных и муниципальных услуг, Управление Федеральной службы судебных приставов по Чувашской Республике – Чувашии, Отделение Пенсионного фонда Российской Федерации (государственное учреждение) по Чувашской Республике – Чувашии, Территориальный орган Федеральной службы государственной статистики по Чувашской Республике – Чувашии и Министерства юстиции Чувашской Республики, МВД по Чувашской Республике, Суды, Органы прокуратуры, Органы дознания или следствия, Уполномоченному по правам человека Российской Федерации; ПАО Акционерный коммерческий Сберегательный банк Российской Федерации (адрес: Вавилова ул., д. 19, г. Москва, 117997; в рамках договора; обработка персональных данных будет осуществляться путем: смешанной обработки; с передачей по внутренней сети юридического лица; с передачей по сети интернет; перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение; объем обрабатываемых персональных данных менее 100000 субъектов персональных данных; исполнитель руководствуется в своих действиях ч.2.ст. 18.1, 19 Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных»), МКУ "ЦФХО" Урмарского района Чувашской Республики (адрес: 429400, Чувашская Республика - Чувашия, Урмарский район, поселок городского типа Урмары, улица Чапаева, 2; в рамках договора; обработка вышеуказанных персональных данных будет осуществляться путем: смешанной обработки; с передачей по внутренней сети юридического лица; с передачей по сети интернет; перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение; объем обрабатываемых персональных данных менее 100000 субъектов персональных данных; исполнитель руководствуется в своих действиях ч.2.ст. 18.1, 19 Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных»);

• регистрация обращений граждан, регистрация актов гражданского состояния; оформления журналов обеспечение кадрового резерва, оформление договоров с юридическими и физическими лицами, предоставление муниципальных услуг, предоставление социальных выплат на строительство (приобретение) жилья

V.Категории субъектов обрабатываемых персональных данных

1. В информационных системах персональных данных Оператора обрабатываются персональные данные следующих категорий субъектов:

муниципальные служащие и работники Оператора;

граждане, участвующие в конкурсе на замещение вакантной должности муниципальной службы;

граждане, представленные к награждению почетными званиями;

граждане, персональные данные которых необходимы для оказания муниципальных и государственных услуг в рамках Федерального закона от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» и выполнения возложенных на Оператора функций, полномочий и обязанностей;

граждане, персональные данные которых необходимы для рассмотрений обращений граждан.

VI.Основные принципы обработки персональных данныхОператор в своей деятельности по обработке руководствуется следующими принципами:

обработка персональных данных осуществляется на законной и справедливой основе;

обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

обработке подлежат только персональные данные, которые отвечают целям их обработки;

содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;

при обработке персональных данных обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;

хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом «О персональных данных».

1. Оператор не осуществляет обработку биометрических персональных данных.

2. Оператор осуществляет обработку специальных категорий персональных данных, касающихся состояния здоровья, на бумажных носителях на основании того, что:

обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан.

1. Оператор не осуществляет трансграничную передачу персональных данных.

VII.меры по обеспечению безопасности персональных данных при их обработке

1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:

назначением ответственного за организацию обработки персональных данных;

изданием Оператором локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

осуществлением внутреннего контроля соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных;

ознакомлением сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными актами по вопросам обработки персональных данных, и обучением указанных сотрудников;

выполнением требований, установленных постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» при обработке персональных данных, осуществляемой без использования средств автоматизации;

определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;

оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

учетом машинных носителей персональных данных;

обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

контролем над принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

VIII.Права субъектов персональных данных

1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных.

2. Субъект персональных данных вправе требовать от Оператора уточнения обрабатываемых Оператором персональных данных субъекта персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч.8 ст.14 Федерального закона «О персональных данных».

4. Для реализации своих прав (см. п.п. 8.1-8.3) и защиты законных интересов, субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

5. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.

6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

IX.Контактная информация

1. Ответственным за организацию обработки и обеспечение безопасности персональных данных назначен специалист-эксперт: 8(83544) 37-2-31