Муниципальное образование Свирицкое сельское поселение Волховского муниципального района Ленинградской области АДМИНИСТРАЦИЯ ПОСТАНОВЛЕНИЕ   от «26» августа 2020 года                                                                                      № 94 «О мерах по обеспечению выполнения обязанностей муниципальных органов, предусмотренных Федеральным законом «О защите персональных данных» и принятыми в соответствии с ним нормативными правовыми актами» В соответствии с постановлением Правительства Российской Федерации от 21 марта 2012 г. №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных», и в целях организации работы по защите конфиденциальной информации и персональных данных в администрации муниципального образования «Свирицкое сельское поселение» Волховского муниципального района Ленинградской области (далее –   МО «Свирицкое сельское поселение») администрация муниципального образования Свирицкое сельское поселение постановляет: 1.Утвердить: 1.1.       Положение о порядке обработки персональных данных в администрации МО «Свирицкое сельское поселение» (Приложение№1). 1.2.       Правила рассмотрения запросов субъектов персональных данных или их представителей в администрации МО «Свирицкое сельское поселение» (Приложение№2). 1.3.         Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных администрации МО «Свирицкое сельское поселение» (Приложение№3). 1.4.       Правила работы с обезличенными персональными данными в администрации МО «Свирицкое сельское поселение» (Приложение№4). 1.5.       Перечень персональных данных, обрабатываемых в администрации   МО «Свирицкое сельское поселение» в связи с реализацией трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций (Приложение№5). 1.6.       Перечень должностей служащих администрации                                     МО «Свирицкое сельское поселение», ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных (Приложение№6). 1.7.       Должностную инструкцию ответственного за организацию обработки персональных данных в администрации МО  «Свирицкое сельское поселение» (Приложение№7). 1.8.       Форму обязательства о неразглашении информации, содержащей персональные данные в администрации МО  «Свирицкое сельское поселение»  (Приложение№8). 1.9.       Форму согласия на обработку персональных данных служащих администрации МО «Свирицкое сельское поселение» (Приложение№9). 1.10.   Порядок доступа в помещения, в которых ведётся обработка персональных данных, в администрации МО «Свирицкое сельское поселение»  (Приложение№10). 1.11.   Инструкцию о порядке резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств систем защиты персональных данных в администрации             МО «Свирицкое сельское поселение»  (Приложение№11). 1.12.   Инструкцию по организации антивирусной защиты в администрации МО «Свирицкое сельское поселение» (Приложение№12). 1.13.   Инструкцию пользователя информационной системы персональных данных в администрации МО «Свирицкое сельское поселение»   (Приложение№13). 1.14.   Инструкцию пользователю по обеспечению безопасности обработки персональных данных при возникновении внештатных ситуаций в администрации МО «Свирицкое сельское поселение» (Приложение№14). 1.15.   Положение о разрешительной системе допуска пользователей и обслуживающего персонала к информационным ресурсам и системе защиты персональных данных в администрации МО «Свирицкое сельское поселение»  (Приложение№15). 2.              Опубликовать  настоящее постановление в газете «Волховские огни» и разместить на  официальном сайте  МО «Свирицкое сельское поселение»  Волховского муниципального района Ленинградской области (http://svirica-adm.ru/). 3.              Контроль за исполнением настоящего постановления оставляю за собой.   Глава администрации                                                                     В.А.Атаманова

Исп. Дураничева С.В.

Тел. 8(81363)44-225

Приложение № 1

 

УТВЕРЖДЕНО

постановлением администрации

МО «Свирицкое сельское поселение »

от «26» августа2020 г. №94

 

 

Положение

о порядке обработки персональных данных в администрации муниципального образования  «Свирицкое сельское поселение» Волховского муниципального района Ленинградской области

 

ОПРЕДЕЛЕНИЯ

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых оператором с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники оператора.

Распространение персональных данных – действия, направленные
на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных – действия, направленные
на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных
в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных – совокупность содержащихся в базах данных оператора персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

ОБЩИЕ ПОЛОЖЕНИЯ

1.1.          Правовая основа

Положение о порядке обработки персональных данных в администрации муниципального образования «Свирицкое сельское поселение»  Волховского муниципального района Ленинградской области (далее – Положение) разработано на основании требований:

• Трудового кодекса Российской Федерации;
• Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее – Федеральный закон №152-ФЗ);
• постановления Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• постановления Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
• постановления Правительства Российской Федерации от 21.03.2012 №211 «Перечень мер направленных на обеспечение выполнения обязанностей предусмотренных Федеральным законом «О персональных данных»
  и принятыми в соответствие с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

Настоящее Положение устанавливает единый порядок обработки персональных данных в администрации муниципального образования  «Свирицкое сельское поселение» Волховского муниципального района Ленинградской области  (далее – Администрация)

 

1.2.          Цель Положения

Целью настоящего Положения является обеспечение безопасности персональных данных граждан от несанкционированного доступа, неправомерного их использования или утраты.

Настоящее Положение устанавливает и определяет:

• процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;
• цели обработки персональных данных;
• перечень обрабатываемых персональных данных;
• категории субъектов, персональные данные которых обрабатываются;
• сроки обработки и хранения обрабатываемых персональных данных;
• порядок уничтожения обработанных персональных данных при достижении целей обработки или при наступлении иных законных оснований;
• правила рассмотрения запросов субъектов персональных данных или их представителей;
• правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к обеспечению безопасности персональных данных, установленных Федеральным законом №152-ФЗ, принятыми в соответствии с ним нормативными правовыми актами и локальными актами администрации МО «Свирицкое сельское поселение»
• правила работы с обезличенными данными;
• перечень информационных систем персональных данных;
• перечень должностей муниципальных служащих Администрации, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
• перечень должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
• ответственного за организацию обработки персональных данных;
• обязательство лица, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора (контракта) прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
• форму согласия на обработку персональных данных субъектов персональных данных;
• порядок доступа в помещения, в которых ведется обработка персональных данных.

 

1.3.          Основные условия обработки персональных данных

Обработка персональных данных осуществляется после принятия необходимых мер по обеспечению безопасности персональных данных,
а именно:

• после получения согласия субъекта персональных данных,
  в соответствии с частью 2 статьи 6 Федерального закона №152-ФЗ;
• после направления уведомления об обработке персональных данных
  в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона
  от 27.07.2006 № 152-ФЗ;

Лица, допущенные к обработке персональных данных, под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашении информации, содержащей персональные данные.

2.     ПРОЦЕДУРЫ, НАПРАВЛЕННЫЕ НА ВЫЯВЛЕНИЕ
И ПРЕДОТВРАЩЕНИЕ НАРУШЕНИЙ ЗАКОНОДАТЕЛЬСТВА
В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1.          Меры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации

К мерам, направленным на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных относятся:

• назначение ответственного за организацию обработки персональных данных;
• применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с частями 1 и 2 статьи 19 Федерального закона №152-ФЗ;
• осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону №152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, требованиями к обеспечению безопасности персональных данных, политике и локальным актам администрации МО «Свирицкое сельское поселение» в отношении обработки персональных данных;
• оценка вреда, который может быть причинен субъектам персональным данных в случае нарушения законодательства Российской Федерации и настоящего Положения;
• ознакомление работников, непосредственно осуществляющих обработку персональных данных с положениями законодательства Российской Федерации о персональных данных и настоящим Положением;
• запрет на обработку персональных данных лицами, не допущенными к их обработке.

Документы, определяющие политику Администрации                                       в отношении обработки персональных данных, подлежат обязательному опубликованию.

 

2.2.          Порядок обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации

Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 01.10.2012  №1119 «Об утверждении требований к защите персональных данных при обработке в информационных системах персональных данных», нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.

При эксплуатации автоматизированных систем необходимо соблюдать требования:

• к работе допускаются только лица, назначенные постановлением Администрации
• на ПЭВМ, на которых обрабатываются и хранятся сведения о персональных данных, должны быть установлены пароли (идентификаторы);
• на период обработки защищаемой информации в помещении должны находиться только лица, допущенные в установленном порядке к обрабатываемой информации; допуск других лиц в указанный период может осуществляться с разрешения главы администрации муниципального образования МО «Свирицкое сельское поселение» Волховского муниципального района Ленинградской области (далее – глава Администрации).

 

2.3.          Порядок обработки персональных данных без использования средств автоматизации

Обработка персональных данных без использования средств автоматизации (далее – неавтоматизированная обработка) может осуществляться в виде документов на бумажных носителях.

При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.

При неавтоматизированной обработке персональных данных на бумажных носителях:

• не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы;
• персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
• документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
• дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.

При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовые формы), должны соблюдаться следующие условия:

• типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, наименование Администрации, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Администрацией способов обработки персональных данных;
• типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, — при необходимости получение письменного согласия на обработку персональных данных;
• типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
• типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.

Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.

Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

• при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
• при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

 

3.     ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

Целями обработки персональных данных являются:

• организация деятельности Администрации для обеспечения соблюдения законов и иных нормативно-правовых актов, реализации права на труд;
• осуществления возложенных на Администрацию функций, полномочий и обязанностей в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций.

 

4.     СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1.          Сроки обработки и хранения обрабатываемых персональных данных

Сроки обработки и хранения персональных данных определяются:

• Приказом Минкультуры Российской Федерации от 25.08.2010 №558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»;
• сроком исковой давности;
• иными требованиями законодательства Российской Федерации и муниципальными нормативно-правовыми актами Администрации

 

4.2.          Особенности хранения персональных данных

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъект  персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

 

 

 

 

5.     ПОРЯДОК УНИЧТОЖЕНИЯ ОБРАБОТАННЫХ

ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1.          Уничтожение обработанных персональных данных при достижении целей обработки или при наступлении иных законных оснований

Под уничтожением обработанных персональных данных понимаются действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.

 

5.2.          Порядок уничтожения обработанных персональных данных

Уничтожение обработанных персональных данных производится комиссией с составлением соответствующего акта.

 

6.     ПРАВИЛА РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

Правила рассмотрения запросов субъектов персональных данных оформляются отдельным документом и утверждаются главой Администрации муниципального образования МО «Свирицкое сельское поселение» Волховского  муниципального района Ленинградской области.

 

7.     ОТВЕТСТВЕННЫЙ ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1.          Ответственный за организацию обработки персональных данных

Ответственный за организацию обработки персональных данных в Администрации назначается распоряжением Администрации муниципального образования МО «Свирицкое сельское поселение» Волховского  муниципального района Ленинградской области из числа сотрудников Администрации

 

7.2.          Должностная инструкция ответственного за обработку персональных данных

Должностная инструкция ответственного за обработку персональных данных утверждается правовым актом Администрации. Ответственный за организацию обработки персональных под роспись знакомится с указанной должностной инструкцией

 

8.     ПЕРЕЧЕНЬ ДОЛЖНОСТЕЙ, ОСУЩЕСТВЛЯЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1.          Перечень должностей

Перечень муниципальных должностей, при замещении которых служащие допускаются к обработке персональных данных и имеют доступ
к персональным данным, утверждается распоряжением Администрации

 

8.2.          Обязательство о неразглашении персональных данных

Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящими Правилами и подписывают обязательство о неразглашении информации, содержащей персональные данные.

 

9.     ПРАВИЛА РАБОТЫ С ОБЕЗЛИЧЕННЫМИ ДАННЫМИ

Правила работы с обезличенными персональными данными оформляются отдельным документом и утверждаются постановлением Администрации

 

10.   ОТВЕТСТВЕННОСТЬ ЗА ПРОВЕДЕНИЕ МЕРОПРИЯТИЙ ПО ОБЕЗЛИЧИВАНИЮ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

Перечень должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных утверждается постановлением Администрации

 

11. ПОРЯДОК ДОСТУПА В ПОМЕЩЕНИЯ, В КОТОРЫХ ВЕДЁТСЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

Порядок доступа в помещения, в которых ведётся обработка персональных данных оформляется в виде отдельного документа и утверждается правовым актом администрации муниципального образования  «Свирицкое сельское поселение» Волховского муниципального района Ленинградской области.

 

12 ПРАВИЛА ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ

Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к обеспечению безопасности персональных данных оформляются отдельным документом и утверждаются правовым актом администрации муниципального образования  » Свирицкое сельское поселение »

 

Приложение № 2

 

УТВЕРЖДЕНЫ

постановлением администрации

МО «Свирицкое сельское поселение »

от «26» августа2020 г. №94

 

 

ПРАВИЛА

рассмотрения запросов субъектов персональных данных

или их представителей в администрации муниципального образования  «Свирицкое сельское поселение »

 

Статья 1. Право субъектов персональных данных на получение сведений

 

1.1.  Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных»;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные Федеральным законом Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» и другими федеральными законами.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

1. 2. Субъект персональных данных имеет право требовать от оператора уточнения его персональных данных, их блокирования или уничтожения,
   в случае если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

 

Статья 2. Порядок предоставления оператором сведений по запросу субъекта персональных данных

 

2.1. При обращении либо при получении запроса субъекта персональных данных или его представителя сведения должны быть предоставлены
в доступной форме. Запрос регистрируется в день поступления в установленном порядке.

2.2. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных
в отношениях с оператором (номер договора, дата заключения, условное словесное обозначение и(или) иные сведения), либо сведения иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.

2.3. Оператор при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных, обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными в течение 30 (тридцати) дней с даты получения запроса.

В случае отказа в предоставлении информации о наличии персональных данных оператор обязан дать в письменной форме мотивированный ответ
со ссылкой на действующее законодательство, являющегося основанием для такого отказа. Отказ в предоставлении информации направляется в срок, не превышающий 30 (тридцати) дней со дня получения запроса субъекта персональных данных.

2.4. В случае предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор в срок,
не превышающий 7 (семь) рабочих дней, вносит в них необходимые изменения. О внесённых изменениях уведомляется субъект персональных данных или его представитель.

2.5. В случае предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные в срок, не превышающий 7 (семь) рабочих дней. Об уничтоженных персональных данных уведомляется субъект персональных данных или его представитель.

2.6. При получении запроса из уполномоченного органа по защите прав субъектов персональных данных оператор обязан сообщить необходимую информацию в течение 30 (тридцати) дней с даты получения такого запроса.

2.7. Возможность ознакомления с персональными данными предоставляется на безвозмездной основе лицом ответственным за обработку персональных данных.

 

 

Ответственный за обеспечение

безопасности персональных данных   ________________

 

 

Приложение № 3

 

УТВЕРЖДЕНЫ

постановлением администрации

МО «Свирицкое сельское поселение »

от «26» августа2020 г. №94

 

ПРАВИЛА

осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных

 

Статья 1. Цель внутреннего контроля.

 

1.1. Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных осуществляется с целью проверки соответствия обработки персональных данных требованиям
к защите персональных данных, установленных Федеральным законом
№152-ФЗ «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами администрации муниципального образования «Свирицкое сельское поселение » Волховского муниципального района Ленинградской области

 

Статья 2. Виды и периодичность внутреннего контроля.

 

2.1. Внутренний контроль соответствия обработки персональных данных делится на текущий и периодический.

2.2. Текущий внутренний контроль осуществляется на постоянной основе Ответственным за обеспечение безопасности персональных данных.

2.3. Периодический внутренний контроль осуществляется комиссией
в соответствии с поручением главы администрации муниципального образования «Свирицкое сельское поселение» Волховского муниципального района Ленинградской области. Периодичность проверки – не реже одного раза в шесть месяцев.

 

Статья 3. Порядок создания комиссии для осуществления внутреннего контроля.

 

3.1. Проверки осуществляются комиссией, созданной распоряжением администрации МО «Свирицкое сельское поселение», из числа сотрудников администрации, допущенных к обработке персональных данных, также возможно привлечение в качестве членов комиссий экспертов. В проведении проверки не может участвовать лицо, прямо или косвенно заинтересованное в её результатах.

3.2. Проверки осуществляются непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра рабочих мест сотрудников, участвующих в процессе обработки персональных данных.

Статья 4. Порядок проведения внутренней проверки.

 

4.1. При проведении внутренней проверки комиссией должны быть полностью, объективно и всесторонне установлены:

• порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;
• порядок и условия применения средств защиты информации;
• эффективность принимаемых мер по обеспечению безопасности персональных данных;
• состояние учёта бумажных и машинных носителей персональных данных;
• соблюдение правил доступа к персональным данным;
• наличие (отсутствие) фактов несанкционированного доступа
  к персональным данным;
• мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• осуществление мероприятий по обеспечению целостности персональных данных.

4.2. По каждой проверке составляется протокол проведения внутренней проверки. Форма протокола приведена в Приложении к настоящим Правилам.

4.3. При выявлении в ходе проверки нарушений в протоколе делается запись о мероприятиях по устранению нарушений и сроках исполнения.

4.4. Протоколы хранятся у председателя комиссии в течение текущего года. Уничтожение протоколов проводится комиссией самостоятельно
по истечении срока хранения.

4.5. О результатах проверки и мерах, необходимых для устранения нарушений, председатель комиссии докладывает главе администрации муниципального образования МО «Свирицкое сельское поселение »

4.6. Срок проведения проверки не может составлять более 30 (тридцати) дней со дня принятия решения о её проведении.

 

 

 

Ответственный за обеспечение

безопасности персональных данных                              ___________

Приложение №1

к Правилам

 

Протокол

осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных

 

Комиссией по внутреннему контролю __.__.202_ проведена проверка ____________________________________________________ ______________________________________________________________________________.

место проверки

 

Проверка осуществлялась в соответствии с требованиями ______________________ ____________________________________________________________________________________________________________________________________________________________

название документа

 

В ходе проверки проверено:

______________________________________________________________________________

______________________________________________________________________________

______________________________________________________________________________

____________________________________________________________________________________________________________________________________________________________

 

Выявленные нарушения:

____________________________________________________________________________________________________________________________________________________________

______________________________________________________________________________

______________________________________________________________________________

______________________________________________________________________________

______________________________________________________________________________

 

Меры по устранению нарушений:

______________________________________________________________________________

______________________________________________________________________________

______________________________________________________________________________

____________________________________________________________________________________________________________________________________________________________

______________________________________________________________________________

 

Срок устранения нарушений: _________________________.

 

 

Председатель комиссии                                          __________________ И.О. Фамилия

 

Члены комиссии:

Должность                                                                __________________ И.О. Фамилия

Должность                                                                __________________ И.О. Фамилия

Должность                                                                __________________ И.О. Фамилия

 

 

Должность руководителя

проверяемого подразделения                                 __________________ И.О. Фамилия

Приложение № 4

 

УТВЕРЖДЕНЫ

постановлением администрации

МО «Свирицкое сельское поселение»

от «26» августа2020 г. №94

 

 

ПРАВИЛА

работы с обезличенными персональными данными

в администрации муниципального образования  «Свирицкое сельское поселение » Волховского муниципального района Ленинградской области

 

Статья 1. Условия обезличивания

 

Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса используемых информационных систем персональных данных и по достижению сроков обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законодательством Российской Федерации.

 

Статья 2. Способы обезличивания

 

2.1. К способам обезличивания персональных данных при условии дальнейшей обработки персональных данных относятся:

1) замена части сведений идентификаторами;

2) обобщение (понижение) точности некоторых сведений;

3) деление сведений на части и обработка их в разных информационных системах;

4) другие способы.

2.2. К способам обезличивания персональных данных в случае достижения целей обработки или в случае утраты необходимости
в достижении этих целей является сокращение перечня персональных данных.

 

Статья 3. Правила работы с обезличенными данными

 

3.1. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.

3.2. Обезличенные персональные данные могут обрабатываться
с использования и без использования средств автоматизации.

3.3. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо:

1) использование средств защиты информации;

2) использование антивирусных программ;

3) соблюдение правил доступа в помещение, в котором ведётся обработка персональных данных;

3.4. При обработке обезличенных персональных данных без использования средств автоматизации необходимо:

1) хранение бумажных носителей в условиях, исключающих доступ
к ним посторонних лиц;

2) соблюдение правил доступа в помещение, в котором ведётся обработка персональных данных.

 

 

Ответственный за обеспечение

безопасности персональных данных        __________________

 

Приложение № 5

 

УТВЕРЖДЕНЫ

постановлением администрации

МО «Свирицкое сельское поселение »

от «26» августа2020 г. №94

 

 

 

Перечень

персональных данных, обрабатываемых в администрации муниципального образования  «Свирицкое сельское поселение » Волховского муниципального района Ленинградской области в связи с реализацией трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций

 

1. Перечень персональных данных, обрабатываемых в администрации муниципального образования «Свирицкое сельское поселение» Волховского муниципального района Ленинградской области в связи с реализацией трудовых отношений:

Фамилия, имя, отчество;

Место, год и дата рождения;

Адрес регистрации;

Адрес проживания (реальный);

Телефонный номер (домашний, рабочий, мобильный);

почтовые и электронные адреса,

Паспортные данные (серия, номер, кем и когда выдан);

Семейное положение и состав семьи (муж/жена, дети);

Оклад и другие доходы;

ИНН;

номер страхового свидетельства государственного пенсионного страхования,

Данные о трудовом договоре (№ трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, номер, дата, содержание изменений к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);

данные о других договорах (индивидуальной, коллективной материальной ответственности, ученических, оказания услуг и т.п.)

данные о командировании

Информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность, квалификация);

Информация о трудовой деятельности до приема на работу, данные о профессии

Информация о знании иностранных языков;

Сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);

Данные о медицинской страховке;

Данные об аттестации работников;

Данные о повышении квалификации;

Данные о наградах, медалях, поощрениях, почетных званиях;

Информация о состоянии здоровья, о временной нетрудоспособности

Информация о негосударственном пенсионном обеспечении;

Данные об имущественном и социальном положении;

фотографии

 

2. Перечень персональных данных, обрабатываемых в администрации муниципального образования «Свирицкое сельское поселение» в связи с оказанием муниципальных услуг и осуществлением муниципальных функций:

• Фамилия, Имя, Отчество;
• Дата рождения;
• Адрес регистрации (адрес проживания);
• Паспортные данные (серия, номер, кем и когда выдан);

Семейное положение и состав семьи (муж/жена, дети);

Оклад и другие доходы;

ИНН;

Номер пенсионного страхования.

• Имущественное положение
• Социальное положение;
• Образование
• Информация о состоянии здоровья

 

Приложение № 6

 

УТВЕРЖДЕН

постановлением администрации

МО «Свирицкое  сельское поселение »

от «26» августа2020 г. №94

 

ПЕРЕЧЕНЬ

должностей служащих администрации муниципального образования  «Свирицкое сельское поселение » Волховского муниципального района Ленинградской области, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных

 

Муниципальные служащие администрации муниципального образования «Свирицкое сельское поселение» допускаются к обработке персональных данных и отвечают за проведение мероприятий по обезличиванию обрабатываемых персональных данных в случае замещения ими должностей:

-Глава администрации МО Свирицкое сельское поселение;

-Главный бухгалтер;

-Специалист по социальным вопросам и культуре;

-Специалист по управлению муниципальным имуществом, контролю и вопросам дорожной деятельности;

-Специалист ЖКХ.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Приложение № 7

 

УТВЕРЖДЕНА

постановлением администрации

МО «Свирицкое сельское поселение »

от «26» августа2020 г. №94

 

ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ

ответственного за организацию обработки персональных данных
в администрации муниципального образования  «Свирицкое сельское поселение» Волховского муниципального района Ленинградской области

 

 

Ответственный за организацию обработки персональных данных
в администрации муниципального образования «Свирицкое сельское поселение»  Волховского муниципального района Ленинградской области назначается распоряжением администрации муниципального образования «Свирицкое сельское поселение» Волховского муниципального района Ленинградской области.

Ответственный за организацию обработки персональных данных
в своей деятельности руководствуется Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Уставом муниципального образования  «Свирицкое сельское поселение» Волховского муниципального района Ленинградской области, Правилами обработки персональных данных в МО «Свирицкое сельское поселение»», нормативно-правовыми актами администрации муниципального образования «Свирицкое сельское поселение», настоящей должностной инструкцией.

 

Ответственный за организацию обработки персональных данных обязан:

1. Получать от сотрудников администрации МО «Свирицкое сельское поселение», осуществляющих обработку персональных данных, обязательство о неразглашении информации, содержащей персональные данные.
2. Предоставлять субъекту персональных данных либо его представителю по запросу информацию об обработке его персональных данных.
3. Осуществлять внутренний контроль за соблюдением требований законодательства Российской Федерации и Правил обработки персональных данных, в том числе требований к защите персональных данных;
4. Доводить до сведения лиц, допущенных к обработке персональных данных, положения федерального законодательства Российской Федерации
   о персональных данных, нормативных правовых актов администрации муниципального образования «Свирицкое сельское поселение» по вопросам обработки персональных данных, требований к защите персональных данных;
5. Организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

 

 

Ответственный за обеспечение

безопасности персональных данных                    ______________

 

Приложение № 8

 

УТВЕРЖДЕНА

постановлением администрации

МО «Свирицкое сельское поселение »

от «26» августа2020 г. №94

 

 

Форма обязательства

о неразглашении информации, содержащей персональные данные

 

 

Я, __________________________________________________________

(фамилия, имя, отчество лица, допущенного к обработке персональных данных)

__________________________________________________________________,

исполняющий(ая) должностные обязанности ___________________________

__________________________________________________________________

__________________________________________________________________,

предупрежден(а) о том, что на период исполнения должностных обязанностей мне будет предоставлен допуск к информации, содержащей персональные данные.

Настоящим добровольно принимаю на себя обязательства:

1. Не передавать и не разглашать третьим лицам информацию, содержащую персональные данные, которая мне доверена (будет доверена) или станет известной в связи с исполнением должностных обязанностей.
2. В случае попытки третьих лиц получить от меня информацию, содержащую персональные данные, сообщать непосредственному начальнику.
3. Не использовать информацию, содержащую персональные данные, с целью получения выгоды.
4. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты персональных данных.
5. В случае расторжения договора (контракта) и (или) прекращения права на допуск к информации, содержащей персональные данные, не разглашать и не передавать третьим лицам известную мне информацию, содержащую персональные данные.

Я предупрежден(а) о том, что нарушение данного обязательства является основанием привлечения к дисциплинарной и(или) иной ответственности в соответствии с законодательством Российской Федерации.

 

 

 

«____» __________ 20    г           _____________/_________________________

(подпись)                   (расшифровка подписи)

 

Приложение № 9

 

УТВЕРЖДЕНО

постановлением администрации

МО «Свирицкое сельское поселение »

от «26» августа2020 г. №94

 

Главе администрации МО «Свирицкое сельское поселение»  от ___________________________________________ _____________________________________________ паспорт  ______________________________________ выдан «   » ___________ 20____ г. _____________________________________________ зарегистрированного (ной) по адресу: _____________ ______________________________________________

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

Настоящим я, _________________________________________________________,  представляю Работодателю — Администрации МО «Свирицкое сельское поселение «

 ( ИНН 4718055170), зарегистрированному по адресу:

187469, Ленинградская область, Волховский район, п.Свирица ул.Новая Свирица, д.38, свои персональные данные в целях обеспечения соблюдения трудового законодательства и иных нормативно-правовых актов при содействии в трудоустройстве, обучении и продвижении по работе, обеспечения личной моей безопасности, текущей трудовой деятельности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Моими персональными данными является любая информация, относящаяся ко мне как к физическому лицу (субъекту персональных данных), указанная в трудовом договоре, личной карточке работника (унифицированная форма Т-2), трудовой книжке и полученная в течение срока действия заключенного трудового договора, в том числе: мои фамилия, имя, отчество, год, месяц, дата и место рождения, гражданство, документы, удостоверяющие личность, идентификационный номер налогоплательщика, номер страхового свидетельства государственного пенсионного страхования, адреса фактического места проживания и регистрации по местожительству, почтовые и электронные адреса, номера телефонов, фотографии, сведения об образовании, профессии, специальности и квалификации, семейном положении и составе семьи, сведения об имущественном положении, доходах, задолженности, занимаемых ранее должностях и стаже работы, воинской обязанности; сведения о трудовом договоре и его исполнении (занимаемые должности, существенные условия труда, сведения об аттестации, повышении квалификации и профессиональной переподготовке, поощрениях и наказаниях, видах и периодах отпуска, временной нетрудоспособности, социальных льготах, командировании, рабочем времени и пр.), а также о других договорах (индивидуальной, коллективной материальной ответственности, ученических, оказания услуг и т. п.), заключаемых при исполнении трудового договора.

Своей волей и в своих интересах выражаю согласие на осуществление Работодателем (оператором) любых действий в отношении моих персональных данных, которые необходимы или желаемы для достижения указанных целей, в том числе выражаю согласие на обработку без ограничения моих персональных данных, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т. ч. передачу), обезличивание, блокирование, уничтожение персональных данных при автоматизированной и без использования средств автоматизации обработке; запись на электронные носители и их хранение; передачу Работодателем (оператором) по своему усмотрению данных и соответствующих документов, содержащих персональные данные, третьим лицам, включая банки,  налоговые органы, в отделения пенсионного фонда, фонда социального страхования, фонда обязательного медицинского страхования, уполномоченным агентам и организациям; хранение моих персональных данных в течение 75 лет, содержащихся в документах, образующихся в деятельности Работодателя, согласно части 1 статьи 17 Закона от 22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации», а также при осуществлении любых иных действий с моими персональными данными, указанными в трудовом договоре и полученными в течение срока действия трудового договора, в соответствии с требованиями действующего законодательства РФ и Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Настоящее согласие на обработку персональных данных действует с момента представления бессрочно и может быть отозвано мной при представлении Работодателю (оператору) заявления в простой письменной форме в соответствии с требованиями законодательства Российской Федерации.

Обязуюсь сообщать в трехдневный срок об изменении местожительства, контактных
телефонов, паспортных, документных и иных персональных данных. Об ответственности за достоверность представленных персональных сведений предупрежден(а).

 

________________   __________________________                                                       подпись                                              расшифровка подписи

дата                                                                подпись                                  инициалы, фамилия

 

Приложение № 10

УТВЕРЖДЕН

постановлением администрации

МО «Свирицкое сельское поселение »

от «26» августа2020 г. №94

 

 

ПОРЯДОК

доступа в помещения, в которых ведётся обработка персональных данных, в администрации МО «Свирицкое сельское поселение »

 

 

1. Запрещается оставлять материальные носители с персональными данными без присмотра в незапертом помещении, в котором осуществляется обработка персональных данных.
2. Все сотрудники, постоянно работающие в помещениях, в которых ведётся обработка персональных данных, должны быть допущены к работе
   с соответствующими видами персональных данных.
3. В служебных помещениях применяются технические и организационные меры, направленные для защиты данных от нецелевого использования, несанкционированного доступа, раскрытия, потери, изменения и уничтожения обрабатываемых персональных данных.

К указанным мерам относятся:

1) технические меры защиты: применение антивирусных программ, программ защиты, установление паролей на персональных компьютерах;

2) организационные меры защиты: обучение и ознакомление
с принципами безопасности и конфиденциальности, доведение до операторов обработки персональных данных важности защиты персональных данных
и способов обеспечения защиты.

 

 

Ответственный за обеспечение

безопасности персональных данных                           __________________

 

Приложение № 11

УТВЕРЖДЕНА

постановлением администрации

МО «Свирицкое сельское поселение »

от «26» августа2020 г. №94

 

 

Инструкция

о порядке резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных
и средств защиты персональных данных

 

 

1. Назначение и область действия

 

Инструкция по резервированию и восстановлению работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации (далее – Инструкция) определяет действия, связанные с функционированием информационной системы персональных данных  (далее – ИСПД) администрации МО «Свирицкое сельское поселение», меры и средства поддержания непрерывности работы и восстановления работоспособности ИСПД.

Целью настоящего документа является превентивная защита элементов ИСПД от предотвращения потери защищаемой информации.

Задачей данной Инструкции является:

• определение мер защиты от потери информации;
• определение действий восстановления в случае потери информации.

Действие настоящей Инструкции распространяется на всех пользователей Организации, имеющих доступ к ресурсам ИСПД, а также основные системы обеспечения непрерывности работы и восстановления ресурсов при возникновении аварийных ситуаций, в том числе:

• системы жизнеобеспечения;
• системы обеспечения отказоустойчивости;
• системы резервного копирования и хранения данных;
• системы контроля физического доступа.

Пересмотр настоящего документа осуществляется по мере необходимости, но не реже одного раза в два года.

Ответственным сотрудником за реагирование на инциденты безопасности, приводящие к потере защищаемой информации, назначается ответственный
за обеспечение безопасности персональных данных.

Ответственным сотрудником за контроль обеспечения мероприятий
по предотвращению инцидентов безопасности, приводящих к потере защищаемой информации, назначается Администратор ИСПД.

 

2.     Порядок реагирования на инцидент

 

В настоящей Инструкции под Инцидентом понимается некое происшествие, связанное со сбоем в функционировании элементов ИСПД, предоставляемых пользователям ИСПД, а так же потерей защищаемой информации.

Происшествие, вызывающее инцидент, может произойти в результате:

• непреднамеренных действий пользователей;
• преднамеренных действий пользователей и третьих лиц;
• нарушения правил эксплуатации технических средств ИСПД;
• возникновения внештатных ситуаций и обстоятельств непреодолимой силы.

В кратчайшие сроки, не превышающие одного рабочего дня, ответственные за реагирование сотрудники предпринимают меры по восстановлению работоспособности. Предпринимаемые меры по возможности согласуются с вышестоящим руководством. По необходимости, иерархия может быть нарушена, с целью получения высококвалифицированной консультации в кратчайшие сроки.

 

3.Меры обеспечения непрерывности работы и восстановления ресурсов при возникновении инцидентов

 

3.1.          Технические меры

 

К техническим мерам обеспечения непрерывной работы и восстановления относятся программные, аппаратные и технические средства и системы, используемые для предотвращения возникновения Инцидентов, такие как:

• системы жизнеобеспечения;
• системы обеспечения отказоустойчивости;
• системы резервного копирования и хранения данных;
• системы контроля физического доступа.

Системы жизнеобеспечения ИСПД включают:

• пожарные сигнализации и системы пожаротушения;
• системы вентиляции и кондиционирования;
• системы резервного питания.

Помещения Администрации МО «Свирицкое сельское поселение», в которых размещаются элементы ИСПД и средства защиты, должны быть оборудованы средствами пожарной сигнализации и пожаротушения.

Для выполнения требований по эксплуатации (температура, относительная влажность воздуха) программно-аппаратных средств ИСПД в помещениях, где они установлены, должны применяться системы вентиляции и кондиционирования воздуха.

Для предотвращения потерь информации при кратковременном отключении электроэнергии все ключевые элементы ИСПД, компьютерное оборудование должно подключаться к сети электропитания через источники бесперебойного питания. В зависимости от необходимого времени работы ресурсов после потери питания могут применяться следующие методы резервного электропитания:

• локальные источники бесперебойного электропитания с различным временем питания для защиты отдельных компьютеров;
• источники бесперебойного питания с дополнительной функцией защиты от скачков напряжения;
• дублированные системы электропитания в устройствах (серверы, концентраторы, мосты и т. д.);
• резервные линии электропитания в пределах комплекса зданий;
• аварийные электрогенераторы.
• Системы обеспечения отказоустойчивости:
• технология RAID;
• Система резервного копирования и хранения данных;

Для защиты от отказов отдельных дисков серверов, осуществляющих обработку и хранение защищаемой информации, должны использоваться технологии RAID, которые (кроме RAID-0) применяют дублирование данных, хранимых на дисках.

Система резервного копирования и хранения данных должна обеспечивать хранение защищаемой информации на твердый носитель (ленту, жесткий диск и т.п.).

 

3.2.          Организационные меры

 

Резервное копирование и хранение данных должно осуществлять
на периодической основе:

• для обрабатываемых персональных данных – не реже одного раза в неделю;
• для технологической информации – не реже одного раза в месяц;
• эталонные копии программного обеспечения (операционные системы, штатное и специальное программное обеспечение, программные средства защиты), с которых осуществляется их установка на элементы ИСПД – не реже одного раза в месяц, и каждый раз при внесении изменений в эталонные копии (выход новых версий).

Носители должны храниться в несгораемом шкафу или помещении оборудованном системой пожаротушения.

Носители должны храниться не менее года, для возможности восстановления данных.

 

 

 

Ответственный за обеспечение

безопасности персональных данных         _________________

 

Приложение № 12

УТВЕРЖДЕНА

постановлением администрации

МО «Свирицкое сельское поселение »

от «26» августа2020 г. №94

 

 

ИНСТРУКЦИЯ

по организации антивирусной защиты в администрации муниципального образования «Свирицкое сельское поселение » Волховского муниципального района Ленинградской области

1. Общие положения

 

1.1. Настоящая Инструкция определяет требования к организации антивирусной защиты ИСПД администрации МО «Свирицкое сельское поселение».

1.2. Установка средств антивирусной защиты осуществляется Администратором ИСПД в соответствии с эксплуатационной документацией на антивирусное средство. Настройка параметров средств антивирусной защиты осуществляется Администратором ИСПД в соответствии с руководством по применению антивирусного средства.

 

 

2. Применение средств антивирусного контроля

 

2.1 Средство антивирусной защиты подлежит своевременному обновлению

2.2. Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы и др.), получаемая на съемных носителях (магнитных дисках, лентах, CD-ROM и т.п.).

2.3. Файлы, помещаемые в электронный архив, должны в обязательном порядке проходить антивирусный контроль. Периодические антивирусные проверки электронных архивов должны проводиться еженедельно.

2.4. Непосредственно после установки программного обеспечения должна быть выполнена его антивирусная проверка.

2.5. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений
о системных ошибках и т.п.) пользователь самостоятельно или вместе
с Администратором ИСПД должен провести внеочередной антивирусный контроль.

2.6. В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов пользователи обязаны:

• остановить обработку информации;
• немедленно поставить в известность о факте обнаружения зараженных вирусом файлов Администратора ИСПД и  владельца зараженных файлов;
• совместно с Администратором ИСПД провести анализ возможности дальнейшего их использования;
• провести уничтожение вирусов в зараженных файлах.

2.7. В случае обнаружения на жестком магнитном диске не поддающегося лечению вируса, Администратор ИСПД обязан запретить работу на автоматизированном рабочем месте (далее –АРМ) и в возможно короткие сроки обновить антивирусное средство. После обновления антивирусного средства произвести повторное лечение вируса. При невозможности вылечить вирус необходимо поставить
в известность Ответственного за обеспечение безопасности  персональных данных для принятия решения об его уничтожении.

 

3. Ответственность

 

Ответственность за организацию антивирусного контроля ИСПД
в соответствии с требованиями настоящей Инструкции возлагается
на Администратора ИСПД.

Ответственность за непосредственное проведение мероприятий антивирусного контроля в подразделении и соблюдение требований настоящей Инструкции возлагается на Администратора ИСПД и пользователей ИСПД.

Периодический контроль за состоянием антивирусной защиты, а также за соблюдением установленного порядка антивирусного контроля и выполнением требований настоящей Инструкции пользователями ИСПД организуется Администратором ИСПД.

 

 

Ответственный за обеспечение

безопасности персональных данных                ________________

 

Приложение № 13

УТВЕРЖДЕНА

постановлением администрации

МО «Свирицкое сельское поселение »

от «26» августа2020 г. №94

 

 

Инструкция

пользователя информационной системы персональных данных в администрации муниципального образования  «Свирицкое сельское поселение » Волховского муниципального района Ленинградской области

1. Общие положения

 

1.1. Пользователь информационной системы персональных данных (далее – Пользователь) осуществляет обработку персональных данных в информационной системы персональных данных (далее – ИСПД) администрации муниципального образования  «Свирицкое сельское поселение» Волховского муниципального района Ленинградской области (далее – администрация МО «Свирицкое сельское поселение»).

1.2. Пользователем является каждый сотрудник администрации                                  МО «Свирицкое сельское поселение», участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки персональных данных и имеющий доступ к аппаратным средствам, программному обеспечению, данным и средствам защиты.

1.3. Пользователь несет персональную ответственность согласно действующему законодательству Российской Федерации за свои действия и
за разглашение сведений ограниченного распространения, ставших известными ему по роду работы.

1.4. Пользователь в своей работе руководствуется настоящей Инструкцией, Положением об обработке и защите персональных данных руководящими и нормативными документами ФСТЭК России и ФСБ России и регламентирующими документами администрации МО «Свирицкое сельское поселение».

1.5. Методическое руководство работой пользователя осуществляется Ответственным за обеспечение безопасности персональных данных и Администратором ИСПД.

2. Должностные обязанности

 

Пользователь обязан:

2.1. Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководств по защите информации и распоряжений, регламентирующих порядок действий по защите информации.

2.2. Выполнять на автоматизированном рабочем месте (далее –АРМ) только те процедуры, которые определены для него Положением о разрешительной системе допуска пользователей и обслуживающего персонала к информационным ресурсам и системе защиты персональных данных.

2.3. Знать и соблюдать установленные требования по режиму обработки персональных данных, учету, хранению и пересылке носителей информации, защите персональных данных, а также руководящих и организационно-распорядительных документов.

2.4. Соблюдать требования парольной политики (раздел 3).

2.5. Соблюдать правила при работе в сетях общего доступа и (или) международного обмена – Интернет и других (раздел 4).

2.6. Экран монитора в помещении располагать во время работы так, чтобы исключить возможность несанкционированного ознакомления
с отображаемой на них информацией посторонними лицами, шторы
на оконных проемах должны быть завешаны (жалюзи закрыты).

2.7. Обо всех выявленных нарушениях, связанных с информационной безопасностью Организации, а так же для получений консультаций по вопросам информационной безопасности, необходимо обращаться к Администратору ИСПД либо Ответственному за обеспечение безопасности персональных данных.

2.8. Для получения консультаций по вопросам работы и настройке элементов ИСПД необходимо обращаться к Администратору ИСПД.

2.9. Пользователям запрещается:

• разглашать защищаемую информацию третьим лицам;
• копировать защищаемую информацию на внешние носители
  без разрешения Администратора ИСПД либо Ответственного за обеспечение безопасности персональных данных;
• самостоятельно устанавливать, тиражировать, или модифицировать программное обеспечение и аппаратное обеспечение, изменять установленный алгоритм функционирования технических и программных средств;
• несанкционированно открывать общий доступ к папкам на своем АРМ;
• запрещено подключать к АРМ и корпоративной информационной сети личные внешние носители и мобильные устройства;
• отключать (блокировать) средства защиты информации;
• обрабатывать на АРМ информацию и выполнять другие работы,
  не предусмотренные перечнем прав пользователя по доступу к ИСПД;
• сообщать (или передавать) посторонним лицам личные ключи и атрибуты доступа к ресурсам ИСПД;
• привлекать посторонних лиц для производства ремонта или настройки АРМ.

2.10. При отсутствии визуального контроля за АРМ доступ к нему должен быть немедленно заблокирован.

2.11. Принимать меры по реагированию, в случае возникновения внештатных или аварийных ситуаций, с целью ликвидации их последствий, в рамках и пределах возложенных на него функций.

 

3. Организация парольной защиты

 

3.1 Личные пароли доступа к элементам ИСПД выдаются Пользователям Администратором ИСПД.

3.2. Полная плановая смена паролей в ИСПД проводится не реже одного раза в 3 месяца.

3.3. Правила ввода пароля:

• во время ввода паролей необходимо исключить возможность его подсматривания посторонними лицами или техническими средствами (видеокамеры и др.).

3.4. Правила хранение пароля:

• запрещается записывать пароли на бумаге, в файле, электронной записной книжке и других носителях информации, в том числе на предметах;
• запрещается сообщать другим Пользователям личный пароль и регистрировать их в системе под своим паролем.

3.5. Лица, использующие паролирование, обязаны:

• четко знать и строго выполнять требования настоящей Инструкции и других руководящих документов по паролированию;
• своевременно сообщать Администратору ИСПД об утере, компрометации, несанкционированном изменении паролей и несанкционированном изменении сроков действия паролей.

4. Правила работы в сетях общего доступа и (или) международного обмена

 

4.1. Работа в сетях общего доступа и (или) международного обмена (сети Интернет и других) (далее – Сеть) на элементах ИСПД, должна проводиться при служебной необходимости.

4.2. При работе в Сети запрещается:

• осуществлять работу при отключенных средствах защиты (антивирус и др.);
• передавать по Сети защищаемую информацию без использования средств шифрования;
• посещать Интернет-ресурсы, содержащие информацию экстремистского, расистского, порнографического и криминального характера, а также загружать данные, содержащие подобную информацию;
• использовать адрес корпоративной почты при регистрации
  на Интернет-ресурсах, в ходе деятельности, не связанной с выполнением должностных обязанностей;
• скачивать из Сети медиа-файлы развлекательного характера, программное обеспечение и другие файлы;
• размещать в сети Интернет информацию, классифицированную как «для служебного пользования», «персональные данные», «коммерческая тайна»;

4.3. Администрация МО «Свирицкое сельское поселение» оставляет за собой право:

• осуществлять мониторинг использования сотрудниками администрации МО «Свирицкое сельское поселение» сети Интернет;
• определять перечень запрещенных Интернет-ресурсов и осуществлять блокировку доступа к ним;
• осуществлять мониторинг появления адресов корпоративной почты
  на страницах Интернет-ресурсов;
• осуществлять мониторинг появления информации конфиденциального характера о деятельности Организации в сети Интернет, в том числе и
  на страницах социальных сетей;
• предоставлять информацию об использовании Интернет-ресурсов сотрудниками администрации МО «Свирицкое сельское поселение» правоохранительным органам в случаях, предусмотренных законодательством Российской Федерации;
• принимать меры дисциплинарного характера к сотрудникам, нарушающим положения настоящей инструкции.

 

5. Правила работы с корпоративной электронной почтой

 

5.1 Электронная почта является собственностью Администрации                    МО «Свирицкое сельское поселение»   и может быть использована ТОЛЬКО в служебных целях. Использование электронной почты в других целях ЗАПРЕЩЕНО.

5.2 Содержимое электронного почтового ящика сотрудника может быть проверено без предварительного уведомления по требованию руководства администрации МО «Свирицкое сельское поселение»

5.3 При работе с корпоративной системой электронной почты сотрудникам администрации МО «Свирицкое сельское поселение»  запрещается:

• использовать адрес корпоративной почты для оформления подписок, без предварительного согласования с руководством Организации;
• публиковать свой адрес, либо адреса других сотрудников компании
  на общедоступных Интернет ресурсах (форумы, конференции и т.п.);
• открывать вложенные файлы во входящих сообщениях без предварительной проверки антивирусными средствами, даже если отправитель письма хорошо известен;
• осуществлять массовую рассылку почтовых сообщений внешним адресатам без их на то согласия.
• осуществлять массовую рассылку почтовых сообщений рекламного характера без предварительного согласования с руководством Организации;
• рассылка через электронную почту материалов, содержащих вирусы или другие компьютерные коды, файлы или программы, предназначенные для нарушения, уничтожения либо ограничения функциональности любого компьютерного или телекоммуникационного оборудования или программ, для осуществления несанкционированного доступа, а также серийные номера к коммерческим программным продуктам и программы для их генерации, логины, пароли и прочие средства для получения несанкционированного доступа к платным ресурсам в Интернете, а также ссылки на вышеуказанную информацию;
• распространение защищаемых авторскими правами материалов, затрагивающих какой-либо патент, торговую марку, коммерческую тайну, копирайт или прочие права собственности и/или авторские и смежные с ним права третьей стороны.
• распространять информацию содержание и направленность которой запрещены международным и Российским законодательством включая материалы, носящие вредоносную, угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности, в том числе разъясняющие порядок применения взрывчатых веществ и иного оружия, и т.д.
• распространять информацию ограниченного доступа, представляющую коммерческую тайну;
• предоставлять, кому бы то ни было пароль доступа к своему почтовому ящику.

 

Ответственный за обеспечение

защиты персональных данных                        ­­­­­­­­­­______________

 

Приложение № 14

УТВЕРЖДЕНА

постановлением администрации

МО «Свирицкое сельское поселение» »

от «26» августа2020 г. №94

 

Инструкция

пользователя по обеспечению безопасности обработки персональных данных при возникновении внештатных ситуаций в администрации муниципального образования МО «Свирицкое сельское поселение» Волховского муниципального района Ленинградской области

1. Назначение и область действия

 

Настоящая Инструкция определяет возможные аварийные ситуации, связанные с функционированием информационной системы персональных данных (далее ИСПД) администрации МО «Свирицкое сельское поселение», меры и средства поддержания непрерывности работы и восстановления работоспособности ИСПД после аварийных ситуаций.

Целью настоящего документа является превентивная защита элементов ИСПД от прерывания в случае реализации рассматриваемых угроз.

Задачей данной Инструкции является:

• определение мер защиты от прерывания;
• определение действий восстановления в случае прерывания.

Действие настоящей Инструкции распространяется на всех сотрудников администрации МО «Свирицкое сельское поселение»,  имеющих доступ к ресурсам ИСПД, а также основные системы обеспечения непрерывности работы и восстановления ресурсов при возникновении аварийных ситуаций, в том числе:

• системы жизнеобеспечения;
• системы обеспечения отказоустойчивости;
• системы резервного копирования и хранения данных;
• системы контроля физического доступа.

Пересмотр настоящего документа осуществляется по мере необходимости, но не реже одного раза в год.

 

2. Порядок реагирования на аварийную ситуацию

 

2.1. Действия при возникновении аварийной ситуации

 

В настоящем документе под аварийной ситуацией понимается некоторое происшествие, связанное со сбоем в функционировании элементов ИСПД, предоставляемых Пользователям ИСПД. Аварийная ситуация становится возможной в результате реализации одной из угроз, приведенных
в Приложении.

В кратчайшие сроки, не превышающие одного рабочего дня, ответственные за реагирование сотрудники администрации                                         МО «Свирицкое сельское поселение» предпринимают меры по восстановлению работоспособности. Предпринимаемые меры по возможности согласуются с вышестоящим руководством. По необходимости, иерархия может быть нарушена, с целью получения высококвалифицированной консультации в кратчайшие сроки.

 

2.2.          Уровни реагирования на инцидент

 

При реагировании на инцидент, важно, чтобы пользователь правильно классифицировал критичность инцидента. Критичность оценивается на основе следующей классификации:

• Уровень 1 – Незначительный инцидент. Незначительный инцидент определяется как локальное событие с ограниченным разрушением, которое
  не влияет на общую доступность элементов ИСПД и средств защиты.
• Уровень 2 – Авария. Любой инцидент, который приводит или может привести к прерыванию работоспособности отдельных элементов ИСПД
  и средств защиты.

К авариям относятся следующие инциденты:

• отказ элементов ИСПД и средств защиты из-за:
  • повреждения водой (прорыв системы водоснабжения, канализационных труб, систем охлаждения), а также подтопления в период паводка или проливных дождей;
  • сбоя системы кондиционирования;
• отсутствие Ответственного за обеспечение безопасности персональных данных, Администратора ИСПД более чем на сутки из-за:
  • химического выброса в атмосферу;
  • сбоев общественного транспорта;
  • эпидемии;
  • массового отравления персонала;
  • сильного снегопада;
  • торнадо;
  • сильных морозов.
• Уровень 3 – Катастрофа. Любой инцидент, приводящий к полному прерыванию работоспособности всех элементов ИСПД и средств защиты,
  а также к угрозе жизни пользователей ИСПД. Обычно к катастрофам относят обстоятельства непреодолимой силы (пожар, взрыв), которые могут привести к неработоспособности ИСПД и средств защиты на сутки и более.

К катастрофам относятся следующие инциденты:

• пожар в здании;
• взрыв;
• просадка грунта с частичным обрушением здания;
• массовые беспорядки в непосредственной близости от ИСПД.

 

 

3. Меры обеспечения непрерывности работы и восстановления ресурсов при возникновении аварийных ситуаций

3.1. Технические меры

 

К техническим мерам обеспечения непрерывной работы и восстановления относятся программные, аппаратные и технические средства и системы, используемые для предотвращения возникновения аварийных ситуаций, такие как:

• системы жизнеобеспечения;
• системы обеспечения отказоустойчивости;
• системы резервного копирования и хранения данных;
• системы контроля физического доступа.

Системы жизнеобеспечения ИСПД включают:

• пожарные сигнализации и системы пожаротушения;
• системы вентиляции и кондиционирования;
• системы резервного питания.

 

3.2.          Организационные меры

 

Ответственные за реагирование сотрудники знакомят всех работников администрации МО «Свирицкое сельское поселение», находящихся в их зоне ответственности, с данной инструкцией в срок, не превышающий 3-х рабочих дней с момента выхода нового сотрудника на работу.

По окончании ознакомления сотрудник расписывается в журнале, предоставляемом Ответственным за реагирование сотрудником. Подпись сотрудника должна соответствовать его подписи в документе, удостоверяющем его личность.

Проводится обучение сотрудников администрации   МО «Свирицкое сельское поселение», имеющих доступ к ресурсам ИСПД, порядку действий при возникновении аварийных ситуаций. Должностные лица должны получить базовые знания в следующих областях:

• оказание первой медицинской помощи;
• пожаротушение;
• эвакуация людей;
• защита материальных и информационных ресурсов;
• методы оперативной связи со службами спасения и лицами, ответственными за реагирование сотрудниками на аварийную ситуацию;
• выключение оборудования, электричества, водоснабжения, газоснабжения.

Администратор ИСПД должен быть дополнительно обучен методам частичного и полного восстановления работоспособности элементов ИСПД.

Навыки и знания должностных лиц по реагированию на аварийные ситуации должны регулярно проверяться. При необходимости должно проводиться дополнительное обучение должностных лиц порядку действий при возникновении аварийной ситуации.

 

Ответственный за обеспечение защиты персональных данных

«Приложение

к Инструкции пользователя

 

 

Источники угроз

 

 

Технологические угрозы
1	Пожар в здании
2	Повреждение водой (прорыв системы водоснабжения, канализационных труб, систем охлаждения)
3	Взрыв (бытовой газ, теракт, взрывчатые вещества или приборы, работающие под давлением)
4	Химический выброс в атмосферу
Внешние угрозы
5	Массовые беспорядки
6	Сбои общественного транспорта
7	Эпидемия
8	Массовое отравление персонала
Стихийные бедствия
9	Удар молнии
10	Сильный снегопад
11	Сильные морозы
12	Просадка грунта (подмыв грунтовых вод, подземные работы) с частичным обрушением здания
13	Затопление водой в период паводка
14	Наводнение, вызванное проливным дождем
15	Торнадо
16	Подтопление здания (воздействие подпочвенных вод, вызванное внезапным и непредвиденным повышением уровня грунтовых вод)
Телеком и ИТ угрозы
17	Сбой системы кондиционирования
18	Сбой ИТ – систем
Угроза, связанная с человеческим фактором
19	Ошибка персонала, имеющего доступ к серверной
20	Нарушение конфиденциальности, целостности и доступности конфиденциальной информации
Угрозы, связанные с внешними поставщиками
21	Отключение электроэнергии
22	Сбой в работе интернет-провайдера
23	Физический разрыв внешних каналов связи

 

 

Ответственный за обеспечение
безопасности  персональных данных           _______________

 

Приложение № 15

УТВЕРЖДЕНА

постановлением администрации

МО «Свирицкое сельское поселение »

от «26» августа2020 г. №94

 

ПОЛОЖЕНИЕ

о разрешительной системе допуска пользователей и обслуживающего персонала к информационным ресурсам и системе защиты персональных данных в администрации муниципального образования  «Свирицкое сельское поселение»  Волховского муниципального района Ленинградской области

 

Настоящее Положение о разрешительной системе допуска разработано на основании нормативно-методических документов ФСТЭК России и определяет порядок и правила доступа работников администрации муниципального образования «Свирицкое сельское поселение» Волховского муниципального района Ленинградской области к информационным ресурсам информационной системы персональных данных (ИСПД) администрации муниципального образования  «Свирицкое сельское поселение» Волховского муниципального района Ленинградской области (далее – Администрация  МО «Свирицкое сельское поселение».

Перед предоставлением работнику доступа к информационным ресурсам ИСПД, условия предоставления доступа отражаются в трудовом договоре работника в разделе о защите сведений ограниченного доступа,
а также в их должностных обязанностях.

К работе в ИСПД допускаются работники, ознакомившиеся
с настоящим Положением, Положением об организации и обеспечении защиты персональных данных, Положением о порядке обработки персональных данных, Перечнем персональных данных, обрабатываемых
в муниципальном органе.

Учетная запись нового работника (пользователя) с соответствующими правами доступа создается Администратором ИСПД по представлению начальника структурного подразделения данного работника.

Сотрудники, допущенные к работе с персональными данными, несут дисциплинарную, гражданско-правовую, административную и уголовную ответственность в соответствии с требованиями законодательных, правовых актов, нормативно-распорядительных документов Российской Федерации и администрации  МО «Свирицкое сельское поселение».

Контроль доступа работников (пользователей) структурных подразделений администрации МО «Свирицкое сельское поселение» к информационным ресурсам ИСПД и обеспечение информационной безопасности при работе с информационными ресурсами ИСПД возлагается на Администратора ИСПД.

Логический алгоритм и положение о разрешительной системы допуска пользователей к ИСПД распространяется на все информационные системы администрации МО «Свирицкое сельское поселение».

 

 

 

Ответственный за обеспечение

безопасности  персональных данных                                      ____________
Ознакомлены:

№ пп	Фамилия, имя и отчество	Наименование подразделения	Должность	Дата	Подпись
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.