У Т В Е Р Ж Д Е Н О
приказом ГБОУ РМ «Краснослободская общеобразовательная школа - интернат»
от 20 сентября 2021 г. № 58
ПОЛОЖЕНИЕ
о защите персональных данных Государственного бюджетного общеобразовательного учреждения Республики Мордовия «Краснослободская общеобразовательная школа-интернат для детей, обучающихся по адаптированным образовательным программам»
Краснослободск 2021
СОДЕРЖАНИЕ
1. Общие положения 3
2. Основные понятия, используемые в настоящем Положении 5
3. Общие принципы и условия обработки персональных данных 6
4. Получение персональных данных граждан 8
5. Хранение и использование персональных данных граждан 9
6. Передача персональных данных граждан третьим лицам 11
7. Общедоступные источники персональных данных 12
8. Обеспечение безопасности персональных данных при их обработке в ИС 12
9. Состав мероприятий, проводимых для обеспечения защиты информации 13
10. Порядок обработки персональных данных без использования средств вычислительной техники 16
11. Права и обязанности гражданина в области защиты его персональных данных 17
12. Ответственность за нарушение законодательства об охране ПДн 22
Приложение 1 23
Приложение 2 24
Приложение 3 25
Приложение 4 26
Приложение 5 28
Приложение 6 29
Приложение 7 30
Приложение 8 31
Приложение 10 33
Приложение 11 34
Приложение 12 37
Приложение 13 39
Приложение 14 41
Приложение 15 43
Приложение 16 45
Приложение 17 49
Приложение 18 53
1. Общие положения
1.1. Настоящее Положение разработано в соответствии с Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119, и устанавливает методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационной системах (далее – ИС) Государственного бюджетного общеобразовательного учреждения Республики Мордовия «Краснослободская общеобразовательная школа-интернат для детей, обучающихся по адаптированным образовательным программам» (далее – ГБОУ РМ «Краснослободская общеобразовательная школа - интернат», Учреждение), а также определяет порядок создания, обработки и защиты персональных данных.
1.2. Основанием для разработки данного Положения являются:
Конституция Российской Федерации от 12 декабря 1993 г. (ст. 2, 17-24, 41);
часть 1 и 2, часть 4 Гражданского кодекса Российской Федерации;
Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
Постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
Приказ ГБОУ РМ «Краснослободская общеобразовательная школа - интернат» от 20 сентября 2021г. № 54 «О защите персональных данных»;
Регламентирующие документы ФСТЭК России об обеспечении безопасности персональных данных:
1.3. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах, информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации и без использования таковых, а также гарантии их защиты и ответственность за нарушение норм, регулирующих обработку и защиту персональных данных.
1.4. Цель настоящего Положения – защита персональных данных, обрабатываемых в информационных системах Учреждения и, а также персональных данных работников Учреждения от несанкционированного доступа. Персональные данные являются конфиденциальной, строго охраняемой информацией. Конфиденциальность, сохранность и защита персональных данных обеспечиваются отнесением их к сфере негосударственной тайны.
Общее руководство, координацию работ, организацию применения технических средств защиты и текущий контроль деятельности по защите персональных данных в Учреждении выполняет работник, назначенный приказом ГБОУ РМ «Краснослободская общеобразовательная школа - интернат» от 20 сентября 2021г. № 54 «О защите персональных данных»;
1.5. Настоящее Положение распространяется на персональные данные обрабатываемые в ИС Учреждения независимо от вида носителя, на котором она зафиксирована, согласно «Перечню информационных ресурсов, подлежащих защите…»
1.6. Положение вступает в силу с момента его утверждения приказом ГБОУ РМ «Краснослободская общеобразовательная школа - интернат» от 20 сентября 2021г. № 54 «О защите персональных данных» и действует без ограничения срока.
1.7. При необходимости приведения настоящего Положения в соответствие с вновь принятыми законодательными актами, изменения вносятся на основании приказа ГБОУ РМ «Краснослободская общеобразовательная школа - интернат» от 20 сентября 2021г. № 54 «О защите персональных данных».
1.8. Настоящее Положение распространяется на всех субъектов, ПДн которых обрабатываются в Учреждении, а также работников Учреждения, имеющих доступ и осуществляющих перечень действий с персональными данными граждан.
1.9. Работники Учреждения подлежат ознакомлению с данным документом в порядке, предусмотренном приказом ГБОУ РМ «Краснослободская общеобразовательная школа - интернат» от 20 сентября 2021г. № 54 «О защите персональных данных», под личную подпись.
1.10. В обязанности работников, осуществляющих первичный сбор персональных данных граждан, входит получение согласия гражданина на обработку его персональных данных под личную подпись.
1.11. В настоящем Положении не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также вопросы применения криптографических методов и способов защиты информации.
2. Основные понятия, используемые в настоящем Положении
Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники.
Автоматизированная система (АС) – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Администратор безопасности – субъект доступа, ответственный за защиту АС от несанкционированного доступа к информации.
Блокирование ПДн – временное прекращение сбора, систематизации, накопления, использования, распространения ПДн, в том числе их передачи.
Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность ПДн, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации или без использования таких средств.
Конфиденциальность ПДн – обязательное для соблюдения оператором или иным получившим доступ к ПДн лицом требование не допускать их распространение без согласия субъекта ПДн или наличия иного законного основания.
Неавтоматизированная обработка ПДн – обработка персональных данных (использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных), осуществляемая без использования средств вычислительной техники.
Несанкционированный доступ к информации (НСД) – доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Обезличивание ПДн – действия, в результате которых невозможно определить принадлежность ПДн конкретному субъекту ПДн.
Обработка информации – совокупность операций сбора, накопления, ввода-вывода, приема-передачи, записи, хранения, регистрации, уничтожения, преобразования и отображения, осуществляемых над информацией.
Обработка ПДн – действия (операции) с ПДн, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение ПДн.
Общедоступные ПДн – ПДн, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Объект защиты информации – информация, носитель информации или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации.
Организационно-технические мероприятия по обеспечению защиты информации – совокупность действий, направленных на применение организационных мер и программно-технических способов защиты информации на объекте информатизации.
Персональные данные (ПДн) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение ПДн – действия, направленные на передачу ПДн определенному кругу лиц (передача ПДн) или на ознакомление с ПДн неограниченного круга лиц, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом.
Уничтожение ПДн – действия, в результате которых невозможно восстановить содержание ПДн в информационной системе ПДн или в результате которых уничтожаются материальные носители ПДн.
3. Общие принципы и условия обработки персональных данных
3.1. Обработка персональных данных гражданина осуществляется на основе принципов:
1) Обработка персональных данных должна осуществляться на законной и справедливой основе.
2) Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3) Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4) Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5) Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6) При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Учреждение должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
7) Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом № 152-ФЗ, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законодательством.
3.2. В целях обеспечения прав и свобод человека и гражданина Учреждение и его представители при обработке персональных данных гражданина обязаны соблюдать следующие общие требования:
1) Все персональные данные гражданина следует получать у него самого или у его полномочного представителя. Если персональные данные гражданина, возможно, получить только у третьей стороны, то гражданин должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
2) При определении объема и содержания обрабатываемых персональных данных гражданина Учреждение должно руководствоваться Конституцией Российской Федерации, законодательством РФ в сфере защиты персональных данных и обработки информации, Уставом Учреждения и иными локальными нормативными актами в области защиты персональных данных.
3) Учреждение не имеет права получать и обрабатывать персональные данные гражданина, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ.
4) Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении гражданина или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных Федеральным законом № 152 ФЗ.
5) Решение, порождающее юридические последствия в отношении гражданина или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме гражданина или в случаях, предусмотренных Федеральным законодательством, устанавливающим также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
6) Учреждение обязано разъяснить гражданину порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты гражданином своих прав и законных интересов.
7) Учреждение обязано рассмотреть возражение в течение тридцати дней со дня его получения и уведомить гражданина о результатах рассмотрения такого возражения.
8) Защита персональных данных гражданина от неправомерного их использования или утраты должна быть обеспечена Учреждением за счет своих средств, в порядке, установленном Федеральным законодательством и другими нормативными документами.
3.3. Учреждение вправе поручить обработку персональных данных другому лицу с согласия гражданина, если иное не предусмотрено Федеральным законом № 152-ФЗ, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – поручение Учреждения). Лицо, осуществляющее обработку персональных данных по поручению Учреждения, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом № 152-ФЗ. В поручении Учреждения должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона № 152-ФЗ.
3.4. Лицо, осуществляющее обработку персональных данных по поручению Учреждения, не обязано получать согласие гражданина на обработку его персональных данных.
3.5. В случае если Учреждение поручает обработку персональных данных другому лицу, ответственность перед гражданином за действия указанного лица несет Учреждение. Лицо, осуществляющее обработку персональных данных по поручению Учреждения, несет ответственность перед Учреждением.
3.6. Надзорно-контрольные органы имеют доступ к защищаемой информации исключительно в сфере своей компетенции.
3.7. К числу массовых потребителей персональных данных вне Учреждения относятся государственные и негосударственные функциональные структуры: налоговые инспекции, правоохранительные органы, органы статистики, страховые агентства, военкоматы, пенсионные фонды, ФОМС, подразделения муниципальных органов управления и др.
3.8. Учреждение при обработке персональных данных граждан обязано принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
4. Получение персональных данных граждан
4.1. Получение персональных данных преимущественно осуществляется путем представления их самим гражданином, на основании его письменного согласия, за исключением случаев, прямо предусмотренных действующим законодательством РФ.
В случаях, предусмотренных Федеральным законодательством, обработка персональных данных осуществляется только с согласия гражданина в письменной форме. Равнозначным содержащему собственноручную подпись гражданина согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом № 152-ФЗ электронной подписью. Согласие гражданина в письменной форме на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Учреждения, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Учреждением способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено Федеральным законодательством;
9) подпись субъекта персональных данных.
Для обработки персональных данных, содержащихся в согласии в письменной форме, дополнительное согласие на обработку не требуется.
В случае недееспособности гражданина или не достижения гражданином возраста 14 лет согласие на обработку его персональных данных дает в письменной форме его законный представитель.
4.2. В случае необходимости проверки персональных данных гражданина Учреждение заблаговременно должно сообщить об этом гражданину, о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа гражданина дать письменное согласие на их получение.
5. Хранение и использование персональных данных граждан
5.1. Информация персонального характера гражданина хранится и обрабатывается с соблюдением требований действующего Российского законодательства о защите персональных данных.
5.2. Обработка персональных данных осуществляется Учреждением смешанным путем:
неавтоматизированным способом обработки персональных данных;
автоматизированным способом обработки персональных данных (с помощью ПЭВМ и специальных программных продуктов).
5.3. Персональные данные граждан хранятся на бумажных носителях и в электронном виде.
5.4. Ответственные лица за хранение документов, содержащих персональные данные граждан, назначены приказом ГБОУ РМ «Краснослободская общеобразовательная школа - интернат» от 20 сентября 2021г. № 58 «Об утверждении документов по защите информации».
5.5. Хранение оконченных производством документов, содержащих персональные данные граждан, осуществляется в помещениях Учреждения, предназначенных для хранения отработанной документации.
Ответственные лица за хранение оконченных производством документов, содержащих персональные данные граждан, назначаются приказом ГБОУ РМ «Краснослободская общеобразовательная школа - интернат» от 20 сентября 2021г. № 58 «Об утверждении документов по защите информации».
5.6. Возможна передача персональных данных граждан по внутренней сети организации с использованием технических и программных средств защиты информации, с доступом только для работников Учреждения, допущенных к работе с персональными данными граждан приказом ГБОУ РМ «Краснослободская общеобразовательная школа - интернат» от 20 сентября 2021г. № 58 «Об утверждении документов по защите информации» и только в объеме, необходимом данным работникам для выполнения своих должностных обязанностей.
5.7. Хранение персональных данных граждан осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Хранение документов, содержащих персональные данные граждан, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению с оформлением Акта уничтожения (Приложение 2).
5.8. Учреждение обеспечивает ограничение доступа к персональным данным граждан лицам, не уполномоченным Федеральным законодательством, либо работодателем для получения соответствующих сведений.
5.9. Доступ к персональным данным граждан имеют работники Учреждения, допущенные к работе с персональными данными приказом ГБОУ РМ «Краснослободская общеобразовательная школа - интернат» от 20 сентября 2021г. № 58 «Об утверждении документов по защите информации». В должностные инструкции данных работников включается пункт об обязанности сохранения информации, являющейся конфиденциальной.
6. Передача персональных данных граждан третьим лицам
6.1. Передача персональных данных граждан третьим лицам осуществляется Учреждением только с письменного согласия гражданина, с подтверждающей визой Директора Учереждения за исключением случаев, если:
1) передача необходима для защиты жизни и здоровья гражданина, либо других лиц, и получение его согласия невозможно;
2) в целях обследования и лечения гражданина, не способного из-за своего состояния выразить свою волю;
3) по запросу органов дознания, следствия, прокуратуры и суда в связи с проведением расследования или судебным разбирательством, в соответствии с Законом об оперативно-розыскной деятельности;
4) в случае оказания помощи несовершеннолетнему в возрасте до 14 лет, для информирования его родителей или законных представителей;
5) при наличии оснований, позволяющих полагать, что права и интересы гражданина могут быть нарушены противоправными действиями других лиц;
6) в иных случаях, прямо предусмотренных Федеральным законодательством.
6.2. В целях соблюдения Федерального законодательства и иных нормативных правовых актов Российской Федерации возможна передача персональных данных граждан:
1) для содействия в трудоустройстве, обучении, повышения их квалификации, переподготовке, проведения аттестации на квалификационную категорию, получении грамот, наград и иных форм поощрений;
2) в иных случаях, прямо предусмотренных Федеральным законодательством.
Лица, которым в установленном Федеральным законом №152-ФЗ порядке переданы сведения, составляющие персональные данные гражданина, несут дисциплинарную, административную или уголовную ответственность за разглашение в соответствии с законодательством Российской Федерации.
6.3. Передача персональных данных гражданина третьим лицам осуществляется на основании запроса третьего лица с разрешающей визой Директора Учреждения при условии соблюдения требований, предусмотренных п. 7.1 настоящего Положения.
Учреждение обеспечивает ведение Журнала учета обращений граждан по вопросам обработки персональных данных (Приложение 5) по запросам третьих лиц, в котором регистрируются поступившие запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных, а также отмечается, какая именно информация была передана.
В случае если лицо, обратившееся с запросом, не уполномочено Федеральным законодательством на получение персональных данных гражданина, либо отсутствует письменное согласие гражданина на передачу его персональных данных, Учреждение обязано отказать в предоставлении персональных данных. В данном случае лицу, обратившемуся с запросом, выдается мотивированный отказ в предоставлении персональных данных в письменной форме, копия отказа хранится в Учреждении.
7. Общедоступные источники персональных данных
7.1. Включение персональных данных гражданина в общедоступные источники персональных данных возможно только при наличии его письменного согласия.
7.2. При обезличивании персональных данных согласие гражданина на включение персональных данных в общедоступные источники персональных данных не требуется.
7.3. Сведения о гражданине могут быть исключены из общедоступных источников персональных данных по требованию самого гражданина, либо по решению суда или иных уполномоченных государственных органов.
8. Обеспечение безопасности персональных данных при их обработке в ИС
8.1. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».
8.2. Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
8.3. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее - оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе
8.4. Для обеспечения защиты информации, содержащейся в информационной системе, оператором назначается структурное подразделение или должностное лицо (работник), ответственные за защиту информации.
8.5. Для проведения работ по защите информации в ходе создания и эксплуатации информационной системы обладателем информации (заказчиком) и оператором в соответствии с законодательством Российской Федерации при необходимости привлекаются организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 г. N 99-ФЗ «О лицензировании отдельных видов деятельности».
8.6. Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании».
8.7. Защита информации, содержащейся в информационной системе, является составной частью работ по созданию и эксплуатации информационной системы и обеспечивается на всех стадиях (этапах) ее создания и в ходе эксплуатации путем принятия организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в информационной системе, в рамках системы (подсистемы) защиты информации информационной системы (далее - система защиты информации информационной системы).
8.8. Организационные и технические меры защиты информации, реализуемые в рамках системы защиты информации информационной системы, в зависимости от информации, содержащейся в информационной системе, целей создания информационной системы и задач, решаемых этой информационной системой, должны быть направлены на исключение:
неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
неправомерного блокирования информации (обеспечение доступности информации).
Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия:
формирование требований к защите информации, содержащейся в информационной системе;
разработка системы защиты информации информационной системы;
внедрение системы защиты информации информационной системы;
аттестация информационной системы по требованиям защиты информации и ввод ее в действие;
обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.
8.9. Обеспечение безопасности персональных данных при их неавтоматизированной обработке (без использования средств вычислительной техники) осуществляется в соответствии с постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (раздел 10 настоящего «Положения…»).
9. Состав мероприятий, проводимых для обеспечения защиты информации
9.1. Формирование требований к защите информации, содержащейся в информационной системе, предполагает проведение следующих мероприятий:
9.1.1. Обследование информационной системы:
сбор и анализ необходимых сведений об ИС;
анализ способов, режимов, целей и оснований по обработке ПДн;
определение информации, подлежащей обработке в информационной системе;
определение перечня объектов защиты
анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система
выявление существующих информационно-организационных и технических мер защиты ПДн;
анализ организационно-распорядительной документации (ОРД) по обеспечению безопасности ПДн;
9.1.2. Классификация информационной системы:
определение степени возможного ущерба от нарушения конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), целостности (неправомерные уничтожение или модифицирование) или доступности (неправомерное блокирование) информации
определение значимости обрабатываемой в ИС информации и масштаба информационной системы
определение масштаба информационной системы
9.1.3. Определение угроз безопасности информации, составление Модели угроз безопасности информации.
9.1.4. Определение требований к системе защиты информации информационной системы:
определение базового набора мер защиты информации для установленного класса защищенности информационной системы;
адаптация базового набора мер защиты информации;
уточнение адаптированного базового набора мер защиты информации с учетом не выбранных ранее мер защиты информации;
дополнение уточненного адаптированного базового набора мер защиты информации;
9.2. Разработка системы защиты информации информационной системы.
9.2.1. Проектирование системы защиты информации информационной системы;
определение типов субъектов и объектов доступа, методов управления доступом и правил разграничения доступа субъектов доступа к объектам доступа, подлежащих реализации в информационной системе;
выбор мер защиты информации, подлежащих реализации в системе защиты информации информационной системы;
определение видов и типов средств защиты информации, обеспечивающих реализацию технических мер защиты информации;
определение структуры системы защиты информации информационной системы, включая состав (количество) и места размещения ее элементов;
выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации;
определение параметров настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации;
определение мер защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями.
9.2.2. Разработка эксплуатационной документации на систему защиты информации информационной системы, включающей в себя:
структуру системы защиты информации информационной системы;
состав, места установки, параметры и порядок настройки средств защиты информации, программного обеспечения и технических средств;
правила эксплуатации системы защиты информации информационной системы.
9.2.3. Макетирование и тестирование системы защиты информации информационной системы:
проверка работоспособности и совместимости выбранных средств защиты информации с информационными технологиями и техническими средствами;
проверка выполнения выбранными средствами защиты информации требований к системе защиты информации информационной системы;
корректировка проектных решений, разработанных при создании информационной системы и (или) системы защиты информации информационной системы;
корректировка проектной и эксплуатационной документации на систему защиты информации информационной системы.
9.3. Внедрение системы защиты информации информационной системы;
установка и настройка средств защиты информации в информационной системе;
разработка документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации;
внедрение организационных мер защиты информации;
предварительные испытания системы защиты информации информационной системы;
опытную эксплуатацию системы защиты информации информационной системы;
анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению;
приемочные испытания системы защиты информации информационной системы.
9.4. Аттестация информационной системы и ввод её в действие.
Проведение аттестационных испытаний по утвержденной и согласованной программе и методике испытаний.
Оформление заключения по результатам проведения аттестации и Аттестата соответствия требованиям по безопасности информации.
9.5. Обеспечение защиты информации в ходе эксплуатации аттестационной информационной системы.
Администрирование системы защиты информации информационной системы;
Выявление инцидентов и реагирование на них;
Управление конфигурацией аттестованной информационной системы и ее системы защиты информации;
Контроль за обеспечением уровня защищенности информации, содержащейся в информационной системе.
9.6. Обеспечение защиты информации при выходе при выводе её из эксплуатации аттестационной информационной системы или после принятия решения об окончании обработки информации.
Архивирование информации, содержащейся в информационной системе;
Уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации.
10. Порядок обработки персональных данных без использования средств вычислительной техники
10.1. Обработка персональных данных без использования средств вычислительной техники (далее – неавтоматизированная обработка персональных данных) осуществляется в виде документов на бумажных носителях.
10.2. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.
10.3. При неавтоматизированной обработке персональных данных на бумажных носителях:
не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы;
персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.
10.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовые формы), должны соблюдаться следующие условия:
типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных - при необходимости получения письменного согласия на обработку персональных данных;
типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.
10.5. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). Уничтожение персональных данных производится с составлением Акта уничтожения (Приложение 2).
11. Права и обязанности гражданина в области защиты его персональных данных
11.1. В целях обеспечения защиты персональных данных, хранящихся в Учреждении, граждане имеют право:
на полную информацию о составе и содержимом их персональных данных, а также способе обработки этих данных;
на свободный доступ к своим персональным данным.
Гражданин имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных Учреждением;
2) правовые основания и цели обработки персональных данных;
3) применяемые Учреждением цели и способы обработки персональных данных;
4) наименование и место нахождения Учреждения, сведения о лицах (за исключением работников Учреждения), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Учреждением или на основании Федерального закона № 152-ФЗ;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом № 152-ФЗ;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Учреждения, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом № 152-ФЗ или Федеральным законодательством.
Сведения должны быть предоставлены гражданину Учреждением в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Сведения предоставляются гражданину или его законному представителю Учреждением при обращении, либо при получении запроса гражданина или его законного представителя. Форма запроса субъекта персональных данных о наличии и об ознакомлении с ПДн приведена в Приложении 7. Запрос должен содержать номер основного документа, удостоверяющего личность гражданина или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие гражданина в отношениях с Учреждением (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Учреждением, подпись гражданина или его законного представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
При получении запроса субъекта персональных данных или его представителя на наличие ПДн необходимо в течение 30 дней с даты получения запроса (согласно пункту 1 статьи 20 152-ФЗ) подтвердить обработку ПДн, в случае ее осуществления. Если обработка ПДн субъекта не ведется, то в течение 30 дней с даты получения запроса (согласно пункту 2 статьи 20 152-ФЗ) необходимо отправить уведомление об отказе подтверждения обработки ПДн (Приложение 11).
При получении запроса субъекта персональных данных или его представителя на ознакомление с ПДн необходимо в течение 30 дней с даты получения запроса (согласно пункту 1 статьи 20 152-ФЗ) предоставить для ознакомления ПДн, в случае осуществления обработки этих ПДн. Если обработка ПДн субъекта не ведется, то в течение 30 дней с даты получения запроса (согласно пункту 2 статьи 20 152-ФЗ) необходимо отправить уведомление об отказе предоставления информации по ПДн (Приложение 11).
В случае если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления гражданину по его запросу, гражданин вправе обратиться повторно в Учреждение или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законодательством, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Гражданин вправе требовать от Учреждения уточнения его персональных данных (Приложение 8), их блокирования или уничтожения (Приложение 9) в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
При получении запроса субъекта персональных данных или его представителя на уточнение ПДн необходимо внести в них необходимые изменения в срок, не превышающий 7 рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, по предоставлению субъектом ПДн или его сведений, подтверждающих, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет Учреждение, персональные данные являются неполными, неточными или неактуальными (согласно пункту 3 статьи 20 152-ФЗ) и отправить уведомление о внесенных изменениях. Если обработка ПДн субъекта не ведется или не были предоставлены сведения, подтверждающих, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет Учреждение, являются неполными, неточными или неактуальными, то необходимо в течение 30 дней с даты получения запроса отправить уведомление об отказе осуществления изменения ПДн (Приложении 12).
При получении запроса субъекта персональных данных или его представителя на уничтожение ПДн необходимо их уничтожить в срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки (согласно пункту 3 статьи 20 152-ФЗ) и отправить уведомление об уничтожении. Если обработка ПДн субъекта не ведется или не были предоставлены сведения, подтверждающие, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет Учреждение, являются незаконно полученными или не являются необходимыми для заявленной цели обработки, а также в силу необходимости обработки ПДн по требованиям иных законодательных актов, то необходимо в течение 30 дней с даты получения запроса отправить уведомление об отказе уничтожения ПДн (Приложении 13).
11.2. В случае выявления неправомерной обработки персональных данных при обращении гражданина или его законного представителя, либо по запросу гражданина или его законного представителя, либо уполномоченного органа по защите прав субъектов персональных данных, Учреждение обязано осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Учреждения) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении гражданина или его законного представителя, либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных, Учреждение обязано осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Учреждения) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы гражданина или третьих лиц. Формы уведомления при выявлении неправомерных действий с ПДн приведены в Приложении 16.
11.3. В случае подтверждения факта неточности персональных данных Учреждение на основании сведений, представленных гражданином или его законным представителем, либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязано уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Учреждения) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных. Формы уведомления при выявлении неточности ПДн приведены в Приложении 15.
11.4. В случае выявления неправомерной обработки персональных данных, осуществляемой Учреждением (или лицом, действующим по поручению Учреждения), Учреждение в срок, не превышающий трех рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Учреждения. В случае если обеспечить правомерность обработки персональных данных невозможно, Учреждение в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязана уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Учреждение обязано уведомить гражданина или его законного представителя, а в случае, если обращение гражданина или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган. Формы уведомления при выявлении неправомерных действий с ПДн приведены в Приложении 16.
11.5. В случае достижения цели обработки персональных данных Учреждение обязано прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Учреждения) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Учреждения) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является гражданин, иным соглашением между Учреждением и гражданином, либо если Учреждение не вправе осуществлять обработку персональных данных без согласия гражданина на основаниях, предусмотренных Федеральным законом № 152-ФЗ или Федеральным законодательством. Формы уведомления при достижении целей обработки ПДн приведены в Приложении 17.
11.6. В случае отзыва гражданином согласия на обработку его персональных данных Учреждение обязано прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Учреждения) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Учреждения) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Учреждением и гражданином, либо если Учреждение не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ или Федеральным законодательством. Форма запроса на отзыв согласия на обработку ПДн приведена в Приложении 10, а формы ответов на эти запросы в Приложении 14.
11.7. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока, Учреждение осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Учреждения) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен Федеральным законодательством.
11.8. Для своевременной и полной реализации своих прав, гражданин обязан предоставить Учреждению достоверные персональные данные.
11.9. Если гражданин или его законный представитель считает, что Учреждение осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Учреждения в уполномоченный орган по защите прав субъектов персональных данных (Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи) или в судебном порядке.
11.10. Гражданин имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Моральный вред, причиненный гражданину вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом № 152-ФЗ, а также требований к защите персональных данных, установленных в соответствии с Федеральным законом № 152-ФЗ, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
12. Ответственность за нарушение законодательства об охране ПДн
12.1. Персональная ответственность – одно из главных требований к организации функционирования системы защиты персональных данных и является обязательным условием обеспечения эффективности этой системы.
Руководитель, разрешающий доступ работника к персональным данным (конфиденциальному документу), несет персональную ответственность за данное разрешение.
Каждый работник Учреждения, получающий доступ к персональным данным, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
12.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
К работнику, ответственному за обработку персональных данных, может быть применено одно из дисциплинарных взысканий, предусмотренных ст. 192 ТК РФ, а именно: замечание, выговор, увольнение. К дисциплинарной ответственности привлекаются только те работники, которые по условиям своих трудовых договоров обязаны соблюдать правила работы с персональными данными.
К административной ответственности могут быть привлечены как работники, так и организация в целом на основании статей 2.4. КоАП РФ и 13.11, 13.12, 13,14. КоАП РФ.
Уголовная ответственность за нарушение неприкосновенности частной жизни предусмотрена статьей 137 УК РФ. В качестве наказания за это преступление предусмотрено наложение штрафа в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательные работы на срок от ста двадцати до ста восьмидесяти часов, либо исправительные работы на срок до одного года, либо арест на срок до четырех месяцев.
Если же преступление совершено с использованием служебного положения, то наказанием может быть штраф в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, лишение права занимать определенные должности или заниматься определенной деятельность на срок от двух до пяти лет, либо арест на срок от четырех до шести месяцев (часть 2 статьи 137 УК РФ).
Директор О.С.Нуждина
20 сентября 2021 г.
Приложение 1
Согласие на обработку персональных данных
(в целях исполнения прав и обязанностей сторон трудового договора)
Я, нижеподписавшийся(аяся), проживающий(ая) по адресу: _______________
______________________________________________________________________
паспорт серия ________ номер ____________, выдан ________________________
______________________________________________________________________
(наименование выдавшего органа, дата)
в соответствии с требованиями статьи 9 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» подтверждаю свое согласие на обработку Государственным бюджетным общеобразовательным учреждением Республики Мордовия «Краснослободская общеобразовательная школа - интернат» (далее – Оператор), моих персональных данных, включающих: фамилию, имя, отчество, пол, дату и место рождения, адрес регистрации и фактического проживания, контактный телефон, паспортные данные, реквизиты полиса ОМС, ИНН, страховой номер индивидуального лицевого счета в Пенсионном Фонде РФ (СНИЛС), семейное положение, профессия, доходы, сведения документов воинского учета.
Настоящее согласие предоставляется для реализации целей в результате вступления со мной в трудовые (гражданско-правовые, налоговые, административные и т.п.) правоотношения для использования в управленческой, административной и иной не запрещенной законом деятельности, обеспечения соблюдения требований законов и иных нормативно-правовых актов, а также предоставления сторонним лицам (включая органы государственного и муниципального управления) в рамках требований законодательства Российской Федерации.
Настоящее согласие предоставляется для осуществления Оператором любых действий в отношении моих персональных данных, которые необходимы для достижения указанных выше целей, включая (без ограничений) сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение, а также осуществление любых иных действий с учетом федерального законодательства.
Согласие вступает в силу со дня его подписания и действует в течение неопределенного срока. Согласие может быть отозвано мною в любое время на основании моего письменного заявления.
Субъект персональных данных:
____________________ (__________________) «____» __________ 20_ г.
