Об ответственном за организацию обработки персональных данных в Администрации Конаковского района Тверской области и ответственном за обеспечение безопасности персональных данных в информационных системах персональных данных Администрации Конаковского
АДМИНИСТРАЦИЯ КОНАКОВСКОГО РАЙОНА
ТВЕРСКОЙ ОБЛАСТИ
=============================================================
Р А С П О Р Я Ж Е Н И Е
11.07.2016 г.Конаково № 161
Об ответственном за организацию обработки персональных данных в Администрации Конаковского района Тверской области и ответственном за обеспечение безопасности персональных данных в информационных системах персональных данных Администрации Конаковского района Тверской области
В целях выполнения требований Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 21 марта 2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», постановления Правительства Российской Федерации от 1 ноября 2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и в целях обеспечения уровня защищенности персональных данных при их обработке в информационных системах персональных данных, определенного в отдельных нормативных актах Администрации Конаковского района Тверской области, руководствуясь Уставом МО «Конаковский район» Тверской области,
ОБЯЗЫВАЮ:
1. Назначить заместителя главы администрации по правовым вопросам, управляющего делами ответственным за организацию обработки персональных данных в Администрации Конаковского района Тверской области.
2. Утвердить Инструкцию ответственного за организацию обработки персональных в Администрации Конаковского района Тверской области (приложение 1).
3. Назначить ответственным за обеспечение безопасности персональных данных в информационных системах персональных данных Администрации Конаковского района Тверской области заведующего информационным отделом.
4. Утвердить Инструкцию ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных Администрации Конаковского района Тверской области (приложение 2).
5. Контроль за исполнением настоящего распоряжения оставляю за собой.
Глава администрации
Конаковского района О.В. Лобановский
Приложение 1
к распоряжению Администрации
Конаковского района Тверской области
от 11. 07.2016 № 161
Инструкция ответственного за организацию обработки
персональных данных в Администрации Конаковского района
Тверской области
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Ответственный за организацию обработки персональных данных в Администрации Конаковского района Тверской области (далее - Ответственный) назначается распоряжением Администрации Конаковского района Тверской области (далее - муниципальный орган) и отвечает за организацию, обеспечение своевременного и квалифицированного выполнения сотрудниками муниципального органа законодательства Российской Федерации о персональных данных (далее - ПДн). в том числе требований к обработке и защите ПДн.
1.2. Ответственный должен знать нормы действующего законодательства Российской Федерации в сфере (области) обработки и обеспечения безопасности ПДн.
1.3. В своей деятельности Ответственный руководствуется Политикой в отношении обработки персональных данных в Администрации Конаковского района Тверской области, настоящей Инструкцией.
2. ОСНОВНЫЕ ФУНКЦИИ И ОБЯЗАННОСТИ
ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
Функции Ответственного:
2.1. Ответственный изучает все стороны деятельности муниципального органа и вырабатывает рекомендации по организации обработки ПДн при решении следующих основных вопросов:
- организация доступа к ПДн и учет сотрудников муниципального органа, допущенных к обработке ПДн. как в программных комплексах, входящих в состав информационных систем персональных данных (далее - ИСПДн). так и на бумажных носителях;
- контроль за поддержанием в актуальном состоянии действующих нормативных актов, журналов и форм учета по работе с ПДн;
- контроль за обеспечением соответствия проводимых работ в части обработки ПДн технике безопасности, правилам и нормам охраны труда;
- организация работы по заключению договоров на работы по защите ПДн;
- контроль за поддержанием в актуальном состоянии уведомления об обработке ПДн;
- рассмотрение предложений по совершенствованию действующей системы защиты ПДн. предоставленных Ответственным за обеспечение безопасности ПДн в ИСПДн муниципального органа;
- осуществление в пределах своей компетенции иных функций в соответствии с целями и задачами муниципального органа.
Ответственный обязан:
2.2. Знать цели обработки ПДн в муниципального органа и перечень обрабатываемых ПДн.
2.3. Соблюдать требования Политики в отношении обработки персональных данных в Администрации Конаковского района Тверской области и иных нормативных актов муниципального органа, устанавливающих порядок работы с ПДн.
2.4. Обеспечивать доведение до сведения сотрудников муниципального органа нормы действующего законодательства Российской Федерации в сфере (области) обработки и обеспечения безопасности ПДн. нормативных актов муниципального органа по вопросам обработки ПДн.
2.5. Осуществлять внутренний контроль за соблюдением сотрудниками муниципального органа норм действующего законодательства Российской Федерации в сфере (области) обработки и обеспечения безопасности ПДн.
2.6. Контролировать ведение документации, предусмотренной нормативными актами муниципального органа в части обеспечения безопасности ПДн.
2.7. Обеспечивать доработку нормативно-методических документов по защите ПДн муниципального органа.
2.8. Расследовать нарушения по вопросам защиты информации, имевших место, разрабатывать предложения по устранению недостатков и предупреждению подобного рода нарушений.
2.9. Обеспечивать организацию проведения занятий со специалистами муниципального органа по организационным вопросам обработки ПДн (проводить инструктаж сотрудников, осуществляющих обработку ПДн и имеющих доступ к ПДн. обрабатываемым в муниципальном органе).
2.10.Обеспечивать организацию приема и обработки обращений и запросов субъектов ПДн или их представителей по вопросам обработки ПДн и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов согласно п.З ч.4 ст.22.1 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных».
3.3. ПРАВА ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Ответственный имеет право:
3.1. Знакомиться в установленном порядке с документами и материалами. необходимыми для выполнения возложенных на него задач.
3.2. Проводить проверки соблюдения режима обеспечения безопасности ПДн в структурных подразделениях муниципального органа.
3.3. Требовать от сотрудников муниципального органа соблюдения требований Политики в отношении обработки персональных данных в муниципальном органе, а также соблюдения требований действующего законодательства Российской Федерации в сфере (области) обработки и обеспечения безопасности ПДн.
3.4. Инициировать проведение служебных расследований по фактам нарушения установленных требований обработки ПДн.
3.5. Требовать от сотрудников муниципального органа письменных объяснений при проведении служебных расследований по вопросам нарушений требований по обработке и защите ПДн.
3.6. Вносить предложения Главе администрации Конаковского района об отстранении от выполнения служебных обязанностей сотрудников, систематически нарушающих требования по обработке и защите ПДн.
3.7. Давать сотрудникам муниципального органа обязательные для выполнения указания по обработке и защите ПДн. определяемые законодательством Российской Федерации и требованиями муниципального органа.
3.8. Привлекать в установленном порядке специалистов, имеющих непосредственное отношение к рассматриваемым проблемам, для более детального изучения отдельных вопросов, возникающих в процессе работы.
Приложение 2
к распоряжению Администрации
Конаковского района Тверской области
от 11. 07.2016 № 161
Инструкция
ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных Администрации
Конаковского района Тверской области
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Ответственный за обеспечение безопасности персональных данных в информационных системах персональных данных Администрации Конаковского района Тверской области (далее - Ответственный) назначается распоряжением Администрации Конаковского района Тверской области (далее — муниципальный орган) и отвечает за обеспечение конфиденциальности, целостности и доступности персональных данных (далее - ПДн) в процессе их обработки в информационных системах персональных данных (далее - ИСПДн) муниципального органа.
1.2. Ответственный должен знать нормы действующего законодательства Российской Федерации в сфере (области) обработки и обеспечения безопасности ПДн.
1.3. В своей деятельности Ответственный руководствуется Политикой в отношении обработки персональных данных в Администрации Конаковского района Тверской области. настоящей Инструкцией, рекомендациями Ответственного за организацию обработки персональных данных (далее -Ответственный за организацию обработки ПДн).
1.4. Методическое руководство работой Ответственного осуществляет Ответственный за организацию обработки ПДн.
2. ОСНОВНЫЕ ФУНКЦИИ И ОБЯЗАННОСТИ
ОТВЕТСТВЕННОГО ЗА ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ
СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
Функции Ответственного:
2.1. Ответственный изучает все стороны деятельности муниципального органа и вырабатывает рекомендации по защите ПДн при решении следующих основных вопросов:
- проведение аналитической работы по комплексной защите и предупреждению утечки ПДн;
- подготовка решений в отношении сведений о работах, выполняемых муниципального органа, подлежащих защите;
- рассмотрение проектов технических заданий, нормативных актов и указаний, договоров на выполнение работ, отчетной документации, с целью определения достаточности предусмотренных в них требований и мероприятий по комплексной защите ПДн. при научных исследованиях, при проведении других работ;
- координация внедрения и эксплуатации систем защиты и безопасности информации, обрабатываемой техническими средствами;
- проведение работ по контролю эффективности принимаемых мер по выявлению и закрытию возможных каналов утечки ПДн;
- подготовка предложений по совершенствованию действующей системы защиты ПДн с последующим предоставлением Ответственному за организацию обработки ПДн муниципального органа и/или Главе администрации Конаковского района;
- учет применяемых средств защиты информации, эксплуатационной и технической документации к ним носителей ПДн;
- обеспечение соответствия проводимых работ в части обработки ПДн технике безопасности, правилам и нормам охраны труда;
- осуществление в пределах своей компетенции иных функций в соответствии с целями и задачами муниципального органа.
Ответственный обязан:
2.2. Соблюдать требования действующего законодательства Российской Федерации в сфере (области) обработки и обеспечения безопасности ПДн.
2.3. Знать состав, структуру, назначение и выполняемые задачи ИСПДн. а также состав информационных технологий и технических средств, позволяющих осуществлять обработку ПДн.
2.4. Осуществлять общее техническое сопровождение ИСПДн:
- контролировать соблюдение требований по размещению и использованию технических средств, указанных в инструкциях по эксплуатации этих средств;
- контролировать сохранность пломб на оборудовании автоматизированных рабочих мест;
- вести журнал учета и выдачи используемых материальных носителей ПДн;
- контролировать использование съемных материальных носителей информации, в том числе запрещать использование неучтенных носителей информации;
- проводить инструктаж сотрудников, осуществляющих обработку ПДн и имеющих доступ к ПДн. обрабатываемым в ИСПДн муниципального органа (далее - Пользователи ИСПДн) по правилам работы в ИСПДн.
2.5. Осуществлять настройку и сопровождение подсистемы регистрации и учета ИСПДн:
- реализовывать полномочия доступа (чтение, запись) для каждого пользователя к элементам защищаемых информационных ресурсов (том. каталог, файл, запись, поле записи) на основе утвержденного руководителем списка сотрудников, допущенных к работе в ИСПДн;
- назначать пароли Пользователей ИСПДн;
- контролировать плановую смену паролей Пользователями ИСПДн для доступа в ИСПДн;
- своевременно удалять профиль Пользователя ИСПДн при увольнении или переводе сотрудника;
- вводить в базу данных системы защиты от несанкционированного доступа (далее - НСД) описания событий, подлежащих регистрации в системном журнале;
- регулярно проводить анализ системного журнала для выявления попыток несанкционированного доступа к ИСПДн;
- своевременно информировать Ответственного за организацию обработки ПДн о несанкционированных действиях персонала для организации расследования попыток НСД.
2.6. Сопровождать подсистему обеспечения целостности рабочего программного обеспечения (ПО) ИСПДн:
- обеспечивать регулярное и своевременное обновление антивирусного программного обеспечения муниципального органа;
- обеспечивать поддержание установленного порядка эксплуатации антивирусного программного обеспечения;
- обеспечивать регулярное и своевременное создание резервных копий ИСПДн муниципального органа;
- осуществлять настройку и сопровождение системы защиты от НСД в ИСПДн.
2.7. Проводить периодическое тестирование функций системы защиты от НСД при изменении программной среды и полномочий Пользователей ИСПДн.
2.8. Требовать прекращения обработки ПДн в случае нарушения установленного порядка работ или нарушения функционирования средств и систем защиты информации.
2.9. Участвовать в анализе ситуаций, касающихся функционирования средств защиты информации и служебных расследований фактов НСД.
2.10.Участвовать при проведении внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн.
2.11. Контролировать выполнение Пользователями ИСПДн требований Инструкции пользователя информационных систем персональных данных Администрации Конаковского района Тверской области, а также установленных требований для обеспечения уровней защищенности ПДн.
2.12.Контролировать правильность применения Пользователями ИСПДн средств защиты информации.
2.13.В случае получения от Пользователей ИСПДн информации о фактах утраты, компрометации ключевой, парольной и аутентифицирующей информации. а также любой другой информации ограниченного доступа, незамедлительно принять все необходимые меры для обеспечения безопасности ПДн в пределах своих полномочий.
2.14.Обеспечивать функционирование и поддерживать работоспособность на автоматизированных рабочих местах ИСПДн:
- антивирусного программного обеспечения;
- средств защиты от несанкционированного доступа.
2.15. В случае нарушения работоспособности технических средств и программного обеспечения ИСПДн. в том числе средств защиты ИСПДн. принимать меры по их своевременному восстановлению и выявлению причин, приведших к нарушению работоспособности.
2.16. Своевременно информировать Ответственного за организацию обработки ПДн о выявленных нарушениях требований по обеспечению безопасности ПДн и попытках несанкционированного доступа к ИСПДн.
3. ПРАВА ОТВЕТСТВЕННОГО ЗА ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
Ответственный имеет право:
3.1. Знакомиться с нормативными актами муниципального органа, регламентирующими процессы обработки и защиты ПДн.
3.2. Вносить предложения Главе администрации Конаковского района по совершенствованию существующей системы защиты информации.
3.3. Привлекать по согласованию Ответственным за организацию обработки ПДн и Главой администрации Конаковского района к работе по созданию и совершенствованию системы защиты ПДн других сотрудников муниципального органа.
3.4. Требовать от Пользователей ИСПДн соблюдения требований Инструкции пользователя информационных систем персональных данных Администрации Конаковского района Тверской области, а также соблюдения требований действующего законодательства Российской Федерации в сфере (области) обработки и обеспечения безопасности ПДн.
3.5. Участвовать в работе по совершенствованию мероприятий. обеспечивающих безопасность ПДн. вносить свои предложения по совершенствованию организационных и технических мер защиты ПДн в ИСПДн.
3.6. Инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения безопасности ПДн.
3.7. Требовать прекращения работы в ИСПДн. как в целом, так и отдельных Пользователей ИСПДн. в случае выявления нарушений требований по обеспечению безопасности ПДн или в связи с нарушением функционирования ИСПДн.
3.8.Обращаться за необходимыми разъяснениями по вопросам обработки и обеспечения безопасности ПДн к Ответственному за организацию обработки ПДн.
