Постановление Администрации города Южно-Сахалинска Сахалинской области от 21.02.2020 № 489-па

Об обработке персональных данных в администрации города Южно-Сахалинска

 

АДМИНИСТРАЦИЯ ГОРОДА ЮЖНО-САХАЛИНСКА

 

ПОСТАНОВЛЕНИЕ

 

от 21.02.2020489-па

 

Об обработке персональных данных в администрациигорода Южно-Сахалинска

 

             В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональныхданных», постановлением Правительства Российской Федерации от 21.03.2012 № 211«Об утверждении перечня мер, направленных на обеспечение выполненияобязанностей, предусмотренных Федеральным законом «О персональных данных» ипринятыми в соответствии с ним нормативными правовыми актами, операторами,являющимися государственными или муниципальными органами», постановлениямиПравительства Российской Федерации от 01.11.2012 № 1119 «Об утверждениитребований к защите персональных данных при их обработке в информационных системахперсональных данных» и от 15.09.2008 № 687 «Об утверждении Положения обособенностях обработки персональных данных, осуществляемой без использованиясредств автоматизации», приказами ФСТЭК России от 11.02.2013 № 17 «Обутверждении Требований о защите информации, не составляющей государственнуютайну, содержащейся в государственных информационных системах» и от 18.02.2013№ 21 «Об утверждении состава и содержания организационных и технических мер пообеспечению безопасности персональных данных при их обработке в информационныхсистемах персональных данных», приказами ФСБ России от 10.07.2014 № 378 «Обутверждении Состава и содержания организационных и технических мер пообеспечению безопасности персональных данных при их обработке в информационныхсистемах персональных данных с использованием средств криптографической защитыинформации, необходимых для выполнения установленных Правительством РоссийскойФедерации требований к защите персональных данных для каждого из уровнейзащищенности» и от 09.02.2005 № 66 «Об утверждении Положения о разработке,производстве, реализации и эксплуатации шифровальных (криптографических)средств защиты информации (Положение ПКЗ-2005)» и в целях организации работы пообработке персональных данных в администрации города Южно-Сахалинска иобеспечения их безопасности, администрация города Южно-Сахалинска постановляет:

             1. Утвердить:

             1.1. Правилаобработки персональных данных в администрации города Южно-Сахалинска(приложение №1);

             1.2. Правила рассмотрения запросов субъектов персональных данных или ихпредставителей в администрации города Южно-Сахалинска(приложение №2);

             1.3. Правила осуществления внутреннего контроля вадминистрации города Южно-Сахалинска соответствия обработки персональных данныхтребованиям к защите персональных данных, установленным Федеральным законом «Оперсональных данных» и принятыми в соответствии с ним нормативными правовымиактами (приложение №3);

             1.4. Правилаработы с обезличенными персональными данными в случае обезличиванияперсональных данных в администрации города Южно-Сахалинска (приложение №4);

             1.5. Переченьинформационных систем персональных данных, обрабатываемых в администрациигорода Южно-Сахалинска (приложение №5);

             1.6. Переченьперсональных данных, обрабатываемых в администрации города Южно-Сахалинска всвязи с реализацией трудовых отношений, а также в связи с оказаниемгосударственных и муниципальных услуг и осуществлением государственных и муниципальныхфункций (приложение №6);

             1.7. Переченьдолжностей в администрации города Южно-Сахалинска, ответственных за проведениемероприятий по обезличиванию обрабатываемых персональных данных, в случаеобезличивания персональных данных (приложение №7);

             1.8. Перечень должностей в администрации города Южно-Сахалинска, замещениекоторых предусматривает осуществление обработки персональных данных либоосуществление доступа к персональным данным (приложение №8);

             1.9. Перечень должностей в администрации города Южно-Сахалинска, доступ кперсональным данным которым необходим для выполнения служебных обязанностей(приложение №9);

             1.10. Должностную инструкцию ответственного за организацию обработки персональных данныхв администрации города Южно-Сахалинска (приложение №10);

             1.11. Типовое обязательство сотрудника администрации города Южно-Сахалинска онеразглашении информации, содержащей персональные данные на период исполненияим должностных обязанностей (приложение №11);

             1.12. Типовое обязательство сотрудника администрации города Южно-Сахалинсканепосредственно осуществляющего обработку персональных данных, в случаерасторжения с ним служебного контракта прекратить обработку персональных данных,ставших известными ему в связи с исполнением должностных обязанностей(приложение №12);

             1.13. Типовую форму согласия на обработку персональных данных сотрудников администрациигорода Южно-Сахалинска, иных субъектов персональных данных (приложение №13);

             1.14. Типовую форму разъяснения субъекту персональных данных юридических последствийотказа предоставить свои персональные данные (приложение №14);

             1.15. Порядокдоступа сотрудников администрации города Южно-Сахалинска в помещения, в которыхведется обработка персональных данных (приложение №15);

             1.16. Инструкцию по порядку обращения с сертифицированными средствамикриптографической защиты информации, предназначенными для защиты информацииограниченного доступа, не содержащей сведения, составляющие государственнуютайну и криптоключами к ним (приложение №16);

             1.17. Инструкцию ответственного за эксплуатацию средств криптографическойзащиты информации (приложение №17);

             1.18. Политику в отношении обработки персональных данных (приложение №18).

              2. Назначить ответственным за организациюобработки персональных данных и ответственным заэксплуатацию средств криптозащиты (далее - СКЗИ) в администрации городаЮжно-Сахалинска референта Департамента мобилизационной подготовки и защитыинформации аппарата администрации города Южно-Сахалинска.

              3. Руководителямструктурных подразделений аппарата и отраслевых функциональных органовадминистрации города Южно-Сахалинска, осуществляющих обработку персональныхданных:

             3.1. Обеспечить выполнение требований Правил обработки персональных данных в администрации городаЮжно-Сахалинска;

             3.2. Внести в должностные инструкции сотрудников, уполномоченных на обработкуперсональных данных, дополнения в части закрепления ответственности,предусмотренной законодательством Российской Федерации за нарушениебезопасности обрабатываемых ими персональных данных.

             4. Руководителям муниципальных, бюджетныхи казенных учреждений, муниципальных унитарных предприятий, входящих вструктуру ЕМТС и осуществляющих обработку персональных данных, в срок до 1апреля 2020 года:

             4.1. Назначить ответственных лиц за организацию обработки персональных данных;

             4.2. Разработать и утвердить документы об организации работы с персональнымиданными, аналогичные предусмотренным подпунктами 1.5-1.9 настоящегопостановления;

             4.3. Внести в должностные инструкции лиц, уполномоченных на обработкуперсональных данных, дополнения в части закрепления ответственности,предусмотренной законодательством Российской Федерации за нарушениебезопасности обрабатываемых ими персональных данных.

             5. Руководителям муниципальных, бюджетных и казенных учреждений, муниципальныхунитарных предприятий, не входящих в структуру ЕМТС и осуществляющих обработкуперсональных данных, в срок до 1 апреля 2020 года:

             5.1. Назначить ответственных лиц за организацию обеспечения безопасностиперсональных данных и ответственных лиц за организацию обработки персональныхданных;

             5.2. Разработать и утвердить документы об организации работы с персональнымиданными, аналогичные предусмотренным пунктом 1 настоящего постановления;

             5.3. Внести в должностные инструкции лиц, уполномоченных на обработкуперсональных данных, дополнения в части закрепления ответственности,предусмотренной законодательством Российской Федерации за нарушениебезопасности обрабатываемых ими персональных данных.

             6. Назначить МКУ "Управление делами администрации городаЮжно-Сахалинска" ответственным за обеспечение безопасности персональныхданных в МИС «Единая мультисервисная телекоммуникационная сеть администрациигорода Южно-Сахалинска».

             7. Признать утратившим силу постановление администрации города Южно-Сахалинска от 26.05.2014 № 926-па «Об обработке персональныхданных в администрации города Южно-Сахалинска».

             8. Опубликовать настоящее постановление в газете «Южно-Сахалинск сегодня» иразместить на официальном сайте администрации города Южно-Сахалинска.

             9. Контроль исполнения постановления администрации города возложить надиректора Департамента мобилизационной подготовки и защиты информации аппаратаадминистрации города Южно-Сахалинска.

 

 

Мэргорода                                                                                                          С.А.Надсадин

Приложение №1

 

Утверждены

постановлением администрации

города Южно-Сахалинска

от 21.02.2020489-па

 

Правила

обработки персональных данных

в администрации города Южно-Сахалинска

1. Общие положения

 

             1.1. Администрации города Южно-Сахалинска (далее — Администрация) являетсяоператором, самостоятельно или совместно с другими лицами осуществляющимобработку персональных данных субъектов персональных данных (далее -персональные данные), а также определяющим цели обработки персональных данных,состав персональных данных, подлежащих обработке, действия (операции), совершаемыес персональными данными.

             1.2. Обработка персональных данных в Администрации осуществляется в целяхосуществления муниципальных функций, предоставления государственных имуниципальных услуг и в связи с реализацией трудовых отношений.

 

2. Правила обработки персональных данных

 

             2.1. Обработка персональных данных в связи с реализацией Администрациейтрудовых отношений осуществляется с письменного согласия субъектов персональныхданных, которое действует со дня их поступления на работу и на время еепрохождения, как с использованием средств автоматизации, так и безиспользования таких средств. Обеспечение защиты персональных данных,содержащихся в личных делах субъектов персональных данных, от неправомерного ихиспользования или утраты осуществляется структурнымподразделением отвечающим за кадровую политику.

             2.2. Персональные данные и иные сведения, содержащиеся в личных делах субъектовперсональных данных, относятся к служебной информации ограниченного распространения(за исключением сведений, которые в установленных федеральными законами случаяхмогут быть опубликованы в средствах массовой информации), а в случаях,установленных федеральными законами и иными нормативными правовыми актамиРоссийской Федерации, - к сведениям, составляющим государственную тайну.

             2.3. Обработка персональных данных для предоставления государственных имуниципальных услуг по запросу заявителя в соответствии с п. 4 ст. 7 Федеральногозакона от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных имуниципальных услуг» не требует получения согласия заявителя, как субъектаперсональных данных в соответствии с требованиями ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональныхданных» (далее - Федеральный закон № 152 - ФЗ).

             В случае, если запрос заявителя поступил в Администрацию в форме, непозволяющей достоверно идентифицировать личность заявителя как субъектаперсональных данных (по электронной почте, путем заполнения формы наофициальном сайте администрации города Южно-Сахалинска или аналогичнымспособом), Администрация информирует такого заявителя о времени и месте, где онможет получить результаты обработки персональных данных по предъявлениюдокумента, удостоверяющего его полномочия субъекта персональных данных.

             2.4. При обработке Администрацией персональных данных в целях осуществлениямуниципальных функций, предоставления государственных и муниципальных услуг и всвязи с реализацией трудовых отношений лица, уполномоченные на обработкуперсональных данных (далее - уполномоченные должностные лица), обязанысоблюдать следующие требования:

             2.4.1. объем и характер обрабатываемых персональных данных, способы обработкиперсональных данных должны соответствовать целям обработки персональных данных;

             2.4.2. защита персональных данных от неправомерного их использования илиуничтожения обеспечивается в порядке, установленном нормативными правовымиактами Российской Федерации;

             2.4.3. передача персональных данных не допускается без письменного согласиясубъекта персональных данных, за исключением случаев, установленныхфедеральными законами. В случае, если лицо, обратившееся с запросом, необладает соответствующими полномочиями на получение персональных данных либоотсутствует письменное согласие субъекта персональных данных на передачу егоперсональных данных, Администрация вправе отказать в предоставленииперсональных данных. В этом случае лицу, обратившемуся с запросом, направляетсяписьменный мотивированный отказ в предоставлении запрашиваемой информации;

             2.4.4. обеспечение конфиденциальности персональных данных обязательно, заисключением случаев обезличивания персональных данных и в отношенииобщедоступных персональных данных;

             2.4.5. хранение персональных данных должно осуществляться в форме, позволяющейопределить субъекта персональных данных, не дольше, чем этого требуют цели ихобработки. Указанные сведения подлежат уничтожению по достижении цели обработкиили в случае утраты необходимости в их достижении, если иное не установленозаконодательством Российской Федерации. Факт уничтожения персональных данныхоформляется актом, составленным в произвольной форме и утверждаемымруководителем соответствующего структурного подразделения аппарата илиотраслевого (функционального) органа Администрации, осуществляющего обработкуперсональных данных;

             2.4.6. опубликование и распространение персональных данных допускается вслучаях, установленных законодательством Российской Федерации.

             2.5. В целях обеспечения защиты персональных данных субъекты персональныхданных вправе:

             2.5.1. получать полную информацию о своих персональных данных и способеобработки этих данных (в том числе автоматизированной);

             2.5.2. получать свободный бесплатный доступ к своим персональным данным,включая право получать копии любой записи, за исключением случаев,предусмотренных Федеральным законом № 152-ФЗ ;

             2.5.3. требовать внесения необходимых изменений, уничтожения или блокированияперсональных данных, которые являются неполными, устаревшими, недостоверными,незаконно полученными или не являются необходимыми для заявленной целиобработки;

             2.5.4. обжаловать в порядке, установленном законодательством РоссийскойФедерации, действия (бездействие) уполномоченных должностных лиц.

 

3. Правила обработки персональных данных,осуществляемой

без использования средств автоматизации

 

             3.1. Обработка персональных данных без использования средств автоматизацииосуществляется как на бумажных носителях, так и в электронном виде наматериальных носителях информации.

             3.2. Неавтоматизированная обработка персональных данных в электронном видедолжна осуществляться на съемных материальных носителях информации.

             3.3. При отсутствии технологической возможности осуществлениянеавтоматизированной обработки персональных данных в электронном виде насъемных материальных носителях информации необходимо принимать организационныеи технические меры, исключающие возможность несанкционированного доступа кперсональным данным лиц, не допущенных к их обработке.

             3.4. При обработке персональных данных без использования средств автоматизацииуполномоченными должностными лицами не допускается фиксация на одномматериальном носителе персональных данных, цели обработки которых заведомонесовместимы.

             3.5. Обработка персональных данных на бумажных носителях осуществляется всоответствии с требованиями, установленными постановлением Правительства РФ от15.09.2008 № 687 «Об утверждении Положения об особенностях обработкиперсональных данных, осуществляемой без использования средств автоматизации».

             3.6. При разработке и использовании типовых форм документов, необходимых дляреализации возложенных на Администрацию полномочий, характер информации вкоторых предполагает или допускает включение в них персональных данных (далее -типовая форма), должны соблюдаться следующие условия:

             3.6.1. типовая форма или связанные с ней документы (инструкция по еезаполнению, карточки, реестры и журналы) должны содержать сведения о целиобработки персональных данных, осуществляемой без использования средствавтоматизации, наименование и адрес Администрации, фамилию, имя, отчество иадрес субъекта персональных данных, чьи персональные данные вносятся вуказанную типовую форму, сроки обработки персональных данных, перечень действийс персональными данными, которые будут совершаться в процессе их обработки;

             3.6.2. типовая форма должна предусматривать поле, в котором субъектперсональных данных может поставить отметку о своем согласии на обработкуперсональных данных, осуществляемую без использования средств автоматизации,при необходимости получения согласия на обработку персональных данных;

             3.6.3. типовая форма должна быть составлена таким образом, чтобы каждый изсубъектов, чьи персональные данные содержатся в типовой форме, при ознакомлениисо своими персональными данными не имел возможности доступа к персональнымданным других лиц, содержащихся в указанной типовой форме;

             3.6.4. типовая форма должна исключать объединение полей, предназначенных длявнесения персональных данных, цели обработки которых заведомо несовместимы.

             3.7. Уничтожение или обезличивание персональных данных, если это допускаетсяматериальным носителем, может производиться способом, исключающим дальнейшуюобработку этих персональных данных, с сохранением возможности обработки иныхданных, зафиксированных на материальном носителе (удаление, вымарывание).

             3.8. Уточнение персональных данных при их обработке без использования средствавтоматизации производится путем изготовления нового материального носителя суточненными персональными данными.

 

4. Правила обработки персональных данных

в информационных системах персональныхданных

 

             4.1. Информационные системы персональных данных Администрации входят в составмуниципальной информационной системы «Единая мультисервиснаятелекоммуникационная сеть администрации города Южно-Сахалинска» (далее — ЕМТС).

             4.2. Обязанность по обеспечению защиты информации в ходе эксплуатацииаттестованной ЕМТС в соответствии с проектными решениями системы защиты информацииЕМТС и эксплуатационной документации используемой в составе ЕМТС, средствзащиты информации, включая управление (администрирование) системой защитыинформации ЕМТС осуществляет МКУ «Управление делами администрации городаЮжно-Сахалинска», как оператор ЕМТС обеспечивающего эксплуатациюаппаратно-технического и программного обеспечения ЕМТС согласно распоряженияАдминистрации города Южно-Сахалинска от 22.07.19 № 451-р.

             4.3. Обработка персональных данных в ЕМТС осуществляется в соответствии стребованиями постановления Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке винформационных системах персональных данных».

             4.4. Обработка персональных данных в информационных системах осуществляетсяпосле завершения работ по созданию системы защиты персональных данных винформационной системе, ее проверки и оценки соответствия информационнойсистемы персональных данных требованиям безопасности информации.

             4.5. Безопасность персональных данных при их обработке в информационной системеобеспечивает оператор этой системы, который обрабатывает персональные данные,или лицо, осуществляющее обработку персональных данных по поручению операторана основании заключаемого с этим лицом договора.

             4.6. Безопасность персональных данных при их обработке в информационныхсистемах обеспечивается с помощью системы защиты персональных данных,включающей организационные меры и средства защиты информации (в том числешифровальные (криптографические) средства, средства предотвращениянесанкционированного доступа, программно-технических воздействий на техническиесредства обработки персональных данных), а также используемые в информационнойсистеме информационные технологии.

             4.7. Безопасность персональных данных, обрабатываемых с использованием средствавтоматизации, достигается путем исключения несанкционированного, в том числеслучайного доступа к персональным данным.

             4.8. Доступ пользователей к персональным данным в информационных системахперсональных данных разрешается после обязательного прохождения процедурыидентификации и аутентификации.

             4.9. Самостоятельное подключение средств вычислительной техники, применяемойдля хранения, обработки или передачи персональных данных, кинформационно-телекоммуникационным сетям, позволяющим осуществлять передачуинформации через государственную границу Российской Федерации, в том числе кинформационно-телекоммуникационной сети Интернет, не допускается.

             4.10. Пользователями информационных систем, администраторами информационнойбезопасности, должно быть обеспечено:

             - своевременное обнаружение фактов несанкционированного доступа к персональнымданным и немедленное доведение этой информации до первого вице-мэра,руководителя аппарата Администрации;

             - недопущение воздействия на технические средства автоматизированной обработкиперсональных данных, в результате которого может быть нарушено их функционирование;

             - возможность незамедлительного восстановления персональных данных,модифицированных или уничтоженных вследствие несанкционированного доступа кним;

             - постоянный контроль за обеспечением уровня защищенности персональных данных;

             - знание и соблюдение условий использования средств защиты информации,предусмотренных эксплуатационной и технической документацией;

             - учет и соблюдение правил хранения, применяемых средств защиты информации, эксплуатационнойи технической документации к ним, носителей персональных данных;

             - при обнаружении нарушений порядка предоставления персональных данныхнезамедлительное приостановление предоставления персональных данныхпользователям информационной системы до выявления причин нарушений и устраненияэтих причин;

             - служебные проверки и составление заключений по фактам несоблюдения условийхранения носителей персональных данных, использования средств защитыинформации, которые могут привести к нарушению конфиденциальности персональныхданных или другим нарушениям, приводящим к снижению уровня защищенностиперсональных данных, разработка и принятие мер по предотвращению возможныхопасных последствий подобных нарушений.

4.11. В случае выявления нарушений порядкаобработки персональных данных уполномоченными должностными лицами принимаютсямеры по установлению причин таких нарушений и их устранению.

 

5. Правила допуска и доступа кперсональным данным

 

             5.1. Доступ к персональным данным предоставляется:

             - уполномоченным должностным лицам, допущенным к обработке персональных данных,в части, касающейся их должностных обязанностей;

             - уполномоченным представителям федеральных органов исполнительной власти вустановленной сфере деятельности, осуществляющих контрольно-надзорные функции впорядке, установленном законодательством Российской Федерации;

             - субъектам персональных данных.

             5.2. Фактом ознакомления с разрешением на допуск является подписьуполномоченного должностного лица об ознакомлении со списком должностных лиц,доступ которых к персональным данным необходим для выполнения служебныхобязанностей.

             5.3. В соответствии с ч.3 ст.6 Федерального закона № 152-ФЗ Администрация вправе поручитьобработку персональных данных другому лицу с согласия субъекта персональныхданных, если иное не предусмотрено федеральным законом, на основаниизаключаемого с этим лицом договора, в том числе муниципального контракта, либо наосновании нормативно-правового акта Администрации. Лицо, осуществляющееобработку персональных данных по поручению Администрации, обязано соблюдатьпринципы и правила обработки персональных данных, установленные Федеральнымзаконом № 152-ФЗ.

             5.4. В поручении Администрации (договоре, контракте или нормативно-правовомакте) должны быть определены перечень действий (операций) с персональнымиданными, которые будут совершаться лицом, осуществляющим обработку персональныхданных, цели обработки, установлена обязанность такого лица соблюдатьконфиденциальность персональных данных и обеспечивать безопасность персональныхданных при их обработке, а также указаны требования к защите обрабатываемыхперсональных данных в соответствии со ст.19 Федерального закона № 152-ФЗ.

             5.5. Допуск к персональным данным, в том числе содержащимся в информационныхсистемах персональных данных сторонних организаций, деятельность которых несвязана с исполнением функций Администрации, регламентируется законодательствоми нормативными правовыми актами Российской Федерации, а также контрактами(договорами, соглашениями) Администрации с операторами соответствующихинформационных систем персональных данных.

             5.6. Доступ к техническим (программно-техническим) средствам информационныхсистем персональных данных Администрации предоставляется сторонниморганизациям, выполняющим работы на договорной основе, в порядке, установленномтребованиями по защите информации.

             5.7. Порядок допуска сторонних организаций и/или их представителей кинформационным системам персональных данных определяется в муниципальномконтракте на выполнение работ (оказание услуг). Решением о допуске являетсяподписанный в установленном порядке муниципальный контракт на выполнение работ(оказание услуг).

             5.8. Доступ к персональным данным сторонних организаций осуществляется наосновании письменных запросов или письменных соглашений (договоров) сторон обобмене информацией.

             5.9. В письменном запросе (соглашении, договоре) должны быть указаны следующиесведения:

             - цель получения информации;

             - конкретное наименование информации (состав персональных данных);

             - способ доступа (предоставления), а также сведения о регистрацииорганизации-заявителя в уполномоченном органе по защите прав субъектовперсональных данных.

             5.10. При наличии соглашения со сторонней организацией о допуске к персональнымданным (предоставлении информации) доступ к персональным данным осуществляетсяв порядке, указанном в подписанном соглашении (договоре).

5.11. Доступ к персональным данным, в томчисле содержащимся в информационных системах персональных данных стороннихорганизаций, выполняющих работы на договорной основе, осуществляется наосновании подписанного договора на оказание услуг, а также настоящих Правил.

             5.12. Запрещается передача электронных копий баз (банков) данных, содержащихперсональные данные, любым сторонним организациям, за исключением случаев,предусмотренных законодательством Российской Федерации.

 

 

 

 

Приложение №2

 

Утверждены

постановлением администрации

города Южно-Сахалинска

от 21.02.2020489-па

 

 

Правила

рассмотрения запросов субъектовперсональных данных или их представителей в администрации городаЮжно-Сахалинска

 

1. Общие положения

 

             1.1. Правила рассмотрения запросов субъектов персональных данных или ихпредставителей в администрации города Южно-Сахалинска (далее — Администрация)определяют порядок рассмотрения запросов сотрудников Администрации, граждан,претендующих на замещение должностей в Администрации, граждан, персональныеданные которых обрабатываются в связи с обращением в Администрацию , в томчисле в связи с предоставлением государственных и муниципальных услуг иисполнения муниципальных функций.

             1.2. Субъект персональных данных имеет право на получение информации,касающейся обработки его персональных данных, в том числе содержащей:

             - подтверждение факта обработки персональных данных;

             - правовые основания и цели обработки персональных данных;

             - цели и применяемые способы обработки персональных данных;

             - наименование и место нахождения Администрации, сведения о лицах (заисключением сотрудников Администрации), которые имеют доступ к персональнымданным или которым могут быть раскрыты персональные данные на основаниидоговора с Администрацией или на основании федерального закона;

             - обрабатываемые персональные данные, относящиеся к соответствующему субъектуперсональных данных, источник их получения, если иной порядок представлениятаких данных не предусмотрен федеральным законом;

             - сроки обработки персональных данных, в том числе сроки их хранения;

             - порядок осуществления субъектом персональных данных прав, предусмотренныхФедеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее —Федеральный закон №152 - ФЗ);

             - информацию об осуществленной или о предполагаемой трансграничной передачеданных;

             - наименование организации или фамилию, имя, отчество (при наличии) и адреслица, осуществляющего обработку персональных данных по поручению Администрации,если обработка поручена или будет поручена такому лицу;

             - иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другимифедеральными законами.

             1.3. Право субъекта персональных данных на доступ к его персональным даннымможет быть ограничено в соответствии с федеральными законами, в том числе вслучаях предусмотренных ч.8 ст. 14 Федерального закона № 152-ФЗ.

             1.4. Запрос может быть направлен в форме электронного документа и подписанэлектронной подписью в соответствии с законодательством Российской Федерации.

             1.5. Субъект персональных данных вправе требовать от Администрации уточненияего персональных данных, их блокирования или уничтожения в случае, еслиперсональные данные являются неполными, устаревшими, неточными, незаконнополученными или не являются необходимыми для заявленной цели обработки, а такжепринимать предусмотренные законом меры по защите своих прав. Если субъектперсональных данных считает, что Администрация осуществляет обработку егоперсональных данных с нарушением требований Федерального закона № 152 - ФЗ илииным образом нарушает его права и свободу, субъект персональных данных вправеобжаловать действия или бездействие Администрации в уполномоченном органе позащите прав в субъектах персональных данных или в судебном порядке.

             1.6. Субъект персональных данных имеет право на защиту своих прав и законныхинтересов, в том числе на возмещение убытков и (или) компенсацию моральноговреда в судебном порядке.

 

 

2. Порядок работы с запросами,уведомлениями и иными

обращениями субъектов персональных данныхили их представителей

 

             2.1. При поступлении запроса, уведомления или иного обращения субъектаперсональных данных или его представителя уполномоченными должностными лицамиАдминистрации осуществляется его регистрация в журнале учета обращенийсубъектов персональных данных.

             2.2. Уполномоченные должностные лица Администрации обязаны сообщить в порядке,предусмотренном ст. 14 Федерального закона № 152-ФЗ, субъекту персональных данныхили его представителю информацию о наличии персональных данных, относящихся ксоответствующему субъекту персональных данных, а также предоставить возможностьознакомления с этими персональными данными при обращении субъекта персональныхданных или его представителя в течение 30 (тридцати) дней с даты получениязапроса субъекта персональных данных или его представителя.

             2.3. В случае отказа в предоставлении информации о наличии персональных данныхо соответствующем субъекте персональных данных или его персональных данных,субъекту персональных данных или его представителю при их обращении, либо приполучении запроса субъекта персональных данных или его представителя,уполномоченные должностные лица Администрации обязаны дать в письменной формемотивированный ответ, содержащий ссылку на положение п . 8 ст. 14 Федеральногозакона № 152-ФЗ или иного федерального закона, являющееся основанием для такогоотказа, в срок, не превышающий 30 (тридцати) дней со дня обращения субъектаперсональных данных или его представителя либо с даты получения запросасубъекта персональных данных или его представителя.

             2.4. Уполномоченные должностные лица Администрации обязаны предоставитьбезвозмездно субъекту персональных данных или его представителю возможностьознакомления с персональными данными, относящимися к этому субъектуперсональных данных. В срок, не превышающий 7 (семи) рабочих дней со дняпредоставления субъектом персональных данных или его представителем сведений,подтверждающих, что персональные данные являются неполными, неточными илинеактуальными, уполномоченные должностные лица Администрации обеспечиваютвнесение в них необходимых изменений. В срок, не превышающий 7 (семи) рабочихдней со дня представления субъектом персональных данных или его представителемсведений, подтверждающих, что такие персональные данные являются незаконнополученными или не являются необходимыми для заявленной цели обработки,уполномоченные должностные лица Администрации обязаны уничтожить такиеперсональные данные. Уполномоченные должностные лица Администрации обязаныуведомить субъекта персональных данных или его представителя о внесенныхизменениях и предпринятых мерах и принять разумные меры для уведомления третьихлиц, которым персональные данные этого субъекта были переданы.

             2.5. Уполномоченные должностные лица Администрации обязаны сообщить вуполномоченный орган по защите прав субъектов персональных данных по запросуэтого органа необходимую информацию в течение 30 (тридцати) дней с датыполучения такого запроса.

             2.6. Документальное оформление работы с запросами, уведомлениями и инымиобращениями субъектов персональных данных и их представителей осуществляется всоответствии с примерными формами, приведенными в приложениях № 1 - 12 к настоящим Правилам.

             2.7. Во всем ином, что не урегулировано настоящими Правилами, при работе сзапросами, уведомлениями и иными обращениями по вопросам обработки персональныхданных уполномоченные должностные лица Администрации руководствуютсядействующим законодательством.

Приложение № 1

к правилам рассмотрения запросов субъектов

персональных данных или их представителей

 вадминистрации города Южно-Сахалинска»

 

 

 В ______________________________

 (указать уполномоченный орган)

Уведомление об уничтожении

(примерная форма)

 

             Настоящим уведомлением сообщаем вам, что в связи с _______________

персональные данные_____________________________________уничтожены.

 (указать персональные данные)

 

 ____________________________________ _____________________

 (должность) (подпись) (Ф.И.О.)

 

 "___"_____________ 20___ г.

 

 

 

 

 

 

 

 

Приложение № 2

к правилам рассмотрения запросов субъектов

персональных данных или их представителей

 вадминистрации города Южно-Сахалинска»

 

 В ______________________________

 (указать уполномоченный орган)

Уведомление об устранении допущенныхнарушений

(примерная форма)

             Настоящим уведомлением сообщаем вам, что допущенные нарушения при обработкеперсональных данных, а именно: __________________________

____________________________________________________________________

(указать допущенные нарушения)____________________________________________________________________

________________________________________________устранены.

_________________________________________ _________________

 (должность)(подпись) (Ф.И.О.)

 

 "___"_____________ 20___ г.

 

 

 

Приложение № 3

к правилам рассмотрения запросов субъектов

персональных данных или их представителей

в администрации города Южно-Сахалинска

 

Запрос

(примерная форма)

             Уважаемый(ая) _______________________________________________ ,

 (Ф.И.О.)

             В связи с ___________________________ у администрации города Южно-Сахалинскавозникла необходимость получения следующей информации, составляющей Вашиперсональные данные_____________________________________________________________.

(перечислить информацию)

             Просим Вас предоставить указанные сведения в течение _____ рабочих дней смомента получения настоящего запроса.

             В случае невозможности предоставить указанные сведения просим в указанный срокдать письменное согласие на получение нами необходимой информации из следующихисточников __________________, следующими способами ___________________.

             По результатам обработки указанной информации нами планируется принятиеследующих решений, которые будут доведены до Вашего сведения________________________________.

             Против принятого решения Вы имеете право заявить свои письменные возражения в____________________ срок.

________________________________________ __________________

 (должность)(подпись) (Ф.И.О.)

 

 "___"_____________ 20___ г.

 

 

 

Приложение № 4

к правилам рассмотрения запросов субъектов

персональных данных или их представителей

 в администрациигорода Южно-Сахалинска»

 

 

Уведомление о блокировании

(примерная форма)

             Уважаемый(ая) _______________________________________________ ,

 (Ф.И.О.)

в связи с __________________________________ сообщаем Вам, чтоВаши персональные данные ____________________________________________

 (указать персональные данные)

заблокированы насрок _____.

________________________________________ _________________

 (должность)(подпись) (Ф.И.О.)

 

 "___"_____________ 20___ г.

 

 

Приложение № 5

к правилам рассмотрения запросов субъектов

персональных данных или их представителей

 вадминистрации города Южно-Сахалинска

 

Уведомление об уточнении

(примерная форма)

             Уважаемый(ая) _______________________________________________ ,

 (Ф.И.О.)

в связи с _____________________________________________ сообщаемВам, что Ваши персональные данные уточнены в соответствии со сведениями:_________________________________________________________.

________________________________________ __________________

 (должность)(подпись) (Ф.И.О.)

 

 "___"_____________ 20___ г.

 

 

 

Приложение № 6

к правилам рассмотрения запросов субъектов

персональных данных или их представителей

в администрации города Южно-Сахалинска

 

Уведомление

(примерная форма)

             Уважаемый(ая) ________________________________________________,

 (Ф.И.О.)

администрацией города Южно-Сахалинска» производится обработкасведений, составляющих Ваши персональные данные:

___________________________________________________________________.

 (указать сведения)

             Цели обработки: _______________________________________________

_____________________________________________________________.

             Способы обработки: ____________________________________________

_____________________________________________________________.

             Перечень лиц, которые имеют доступ к информации, содержащей Ваши персональныеданные или могут получить такой доступ:

 

 № п.п.

Должность

Ф.И.О.

Вид доступа

Примечания

 

             По результатам обработки указанной информации нами планируется принятиеследующих решений, которые будут доведены до Вашего сведения____________________________________________________________________

___________________________________________________________.

             Против принятого решения Вы имеете право заявить свои письменные возражения в____________________ срок.

________________________________________ __________________

 (должность)(подпись) (Ф.И.О.)

 

 "___"_____________ 20___ г.

 

 

 

 

 

 

 

Приложение № 7

к правилам рассмотрения запросов субъектов

персональных данных или их представителей

в администрации города Южно-Сахалинска

 

Уведомление об уничтожении

(примерная форма)

             Уважаемый(ая) _______________________________________________ ,

 (Ф.И.О.)

в связи с __________________________________________________сообщаем Вам, что Ваши персональные данные ________________________уничтожены.

 (указать персональные данные)

 

__________________ ______________________ __________________

 (должность)(подпись) (Ф.И.О.)

 

 "___"_____________ 20___ г.

 

 

 

 

Приложение № 8

к правилам рассмотрения запросов субъектов

персональных данных или их представителей

в администрации города Южно-Сахалинска

 

Уведомление об устранении допущенныхнарушений

(примерная форма)

             Уважаемый(ая) ________________________________________________,

 (Ф.И.О.)

в связи с ______________________________________ сообщаем Вам, чтовсе допущенные нарушения при обработке Ваших персональных данных устранены.

______________________________________ ____________________

 (должность)(подпись) (Ф.И.О.)

 

 "___"_____________ 20___ г.

 

 

 

 

Приложение № 9

к правилам рассмотрения запросов субъектов

персональных данных или их представителей

в администрации города Южно-Сахалинска

 

Мэру города Южно-Сахалинска

________________________

от ________________________

(Ф.И.О., фактический

адрес проживания, тел.)

Заявление

(примерная форма)

             Прошу заблокировать обрабатываемые Вами мои персональные данные:____________________________________________________________________

(указать блокируемые персональные данные)

на срок:__________________________________________________________;

(указать срок блокирования)

в связи с тем, что ___________________________________________________.

 (указать причину блокированияперсональных данных)

___________________________________________

 (подпись) (Ф.И.О.)

 

 "___"______________ 20___ г.

 

 

 

 

Приложение № 10

к правилам рассмотрения запросов субъектов

персональных данных или их представителей

в администрации города Южно-Сахалинска

 

Мэру города Южно-Сахалинска

________________________

от ________________________

(Ф.И.О., фактический

адрес проживания, тел.)

Заявление

(примерная форма)

             Прошу предоставить мне для ознакомления обрабатываемую Вами информацию,составляющую мои персональные данные, указать цели, способы и сроки ееобработки, предоставить сведения о лицах, которые имеют к ней доступ (которымможет быть предоставлен такой доступ), сведения о том, какие юридическиепоследствия для меня может повлечь ее обработка.

             В случае отсутствия такой информации прошу Вас уведомить меня об этом.

___________________________________________

 (подпись)(Ф.И.О.)

 

 "___"______________ 20___ г.

 

 

 

Приложение № 11

к правилам рассмотрения запросов субъектов

персональных данных или их представителей

в администрации города Южно-Сахалинска

 

Мэру города Южно-Сахалинска

________________________

от ________________________

(Ф.И.О., фактический

 адрес проживания, тел.)

Заявление

(примерная форма)

             Прошу уничтожить обрабатываемые Вами мои персональные данные:____________________________________________________________________

(указать уничтожаемые персональные данные)

в связи с тем, что ____________________________________________________.

 (указать причину уничтоженияперсональных данных)

___________________________________________

 (подпись)(Ф.И.О.)

 

 "___"______________ 20___ г.

 

 

Приложение № 12

к правилам рассмотрения запросов субъектов

персональных данных или их представителей

в администрации города Южно-Сахалинска»

 

Мэру города Южно-Сахалинска

________________________

от ________________________

(Ф.И.О., фактический

адрес проживания, тел.)

Заявление

(примерная форма)

             Прошу уточнить обрабатываемые Вами мои персональные данные в соответствии сосведениями: __________________________________________

 (указать уточненные персональныеданные заявителя)

в связи с тем, что____________________________________________________.

 (указать причину уточненияперсональных данных)

___________________________________________

 (подпись)(Ф.И.О.)

 

 "___"______________ 20___ г.

 

 

 

 

 

Приложение №3

 

Утверждены

постановлением администрации

города Южно-Сахалинска

от 21.02.2020489-па

 

Правила

осуществления внутреннего контролясоответствия обработки персональных данных требованиям к защите персональныхданных, установленным Федеральным законом «О персональных данных» и принятыми всоответствии с ним нормативными актами

1. Общие положения

 

             1.1. Настоящими Правилами определяются процедуры, направленные на выявление ипредотвращение нарушений законодательства Российской Федерации в сфереперсональных данных, основания, порядок, формы и методы проведения внутреннегоконтроля соответствия обработки персональных данных требованиям к защитеперсональных данных.

             1.2. В целях осуществления внутреннего контроля соответствия обработкиперсональных данных требованиям к защите персональных данных в администрациигорода Южно-Сахалинска (далее - Администрация) организовывается проведениеплановых и внеплановых проверок (далее — проверки) условий обработкиперсональных данных на предмет соответствия Федеральному закону от 27.07.2006 №152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ) ипостановлению Правительства Российской Федерации от 21.03.2012 № 211 «Обутверждении перечня мер, направленных на обеспечение выполнения обязанностей,предусмотренных Федеральным законом «О персональных данных» и принятыми всоответствии с ним нормативными правовыми актами, операторами, являющимисягосударственными или муниципальными органами».

 

2. Тематика внутреннего контроля

 

             2.1. Тематика проверок обработки персональных данных с использованием средствавтоматизации:

             2.1.1. Соответствие указанных в «Перечне персональных данных» персональныхданных фактически обрабатываемым;

             2.1.2. Актуальность Перечня должностей работников, замещение которыхпредусматривает осуществление обработки персональных данных;

             2.1.3. Подтверждение факта ознакомления с локальными актами в области обработкии обеспечения безопасности персональных данных;

             2.1.4. Выборочные проверки уровня знания сотрудникамиорганизационно-распорядительных документов в области обработки и обеспечениябезопасности персональных данных;

             2.1.5. Соблюдение пользователями информационных систем персональных данных(далее-ИСПДн) инструкции по учету, выдаче, хранению, обращению с машинныминосителями информации и персональными идентификаторами, предназначенными дляхранения информации ограниченного использования (персональными данными) (Приложение№3 к настоящим Правилам);

             2.1.6. Соблюдение пользователями ИСПДн парольной политики;

             2.1.7. Соблюдение пользователями ИСПДн антивирусной политики;

             2.1.8. Соблюдение пользователями правил работы со средствами криптографическойзащиты информации (далее СКЗИ);

             2.1.9. Соблюдение порядка доступа в помещения, где расположены элементы ИСПДн;

             2.1.10. Соблюдение порядка работы со средствами защиты информации;

             2.1.11. Знание пользователей ИСПДн о своих действиях во внештатных ситуациях;

2.2. Тематика проверок обработкиперсональных данных без использования средств автоматизации:

             2.2.1. Хранение бумажных носителей с персональными данными;

             2.2.2. Доступ к бумажным носителям с персональными данными;

             2.2.3. Доступ в помещения, где обрабатываются и хранятся бумажные носители сперсональными данными.

 

3. Порядок проведения внутренних проверок

 

             3.1. Проверки проводятся в соответствии с ежегодным Планом внутренних проверокусловий обработки персональных данных Администрации (далее — План проверок)(примерная форма указана в Приложении №1 к настоящим Правилам) или на основаниипоступившего письменного заявления о нарушениях правил обработки персональныхданных (внеплановые проверки).

             3.2. Ежегодный План проверок разрабатывается комиссией по организации обработкии защиты персональных данных Администрации (далее — Комиссия) для осуществлениявнутреннего контроля соответствия обработки персональных данных требованиям,предусмотренным Федеральным законом № 152 — ФЗ и утверждается председателем Комиссии.

             3.3. Состав комиссии:

             - председатель комиссии - первый вице-мэр, руководитель аппарата Администрации;

             - заместитель председателя Комиссии - директор Департамента мобилизационнойподготовки и защиты информации;

             - члены комиссии :

             - референт Департамента мобилизационной подготовки и защиты информации;

             - руководитель проверяемого структурного подразделения аппарата или отраслевого(функционального) органа Администрации;

             - администратор безопасности муниципальнойинформационной системы «Единая мультисервисная телекоммуникационная сетьадминистрации города Южно-Сахалинска».

             3.4. В Плане проверок по каждой проверке устанавливается объект внутреннегоконтроля, проверяемый период, срок проведения проверки, ответственныеисполнители.

             3.5. Проверки проводятся Комиссией по организации обработки и защитыперсональных данных. В проведении проверки не может участвовать сотрудник,прямо или косвенно заинтересованный в ее результатах.

             3.6. Основанием для проведения внеплановой проверки является поступившее вАдминистрацию письменное обращение субъекта персональных данных или егопредставителя о нарушении правил обработки персональных данных.

             3.7. Проведение внеплановой проверки организуется в течение 5 рабочих дней смомента поступления обращения.

             3.8. Срок проведения проверки не может превышать месяц со дня принятия решенияо ее проведении.

             3.9. Члены Комиссии, получившие доступ к персональным данным субъектовперсональных данных в ходе проведения проверки, обеспечивают конфиденциальностьперсональных данных субъектов персональных данных, не раскрывают третьим лицами не распространяют персональные данные без согласия субъекта персональныхданных.

             3.10. По результатам каждой проверки Комиссией проводится заседание. Решения,принятые на заседаниях Комиссии, оформляются протоколом (Приложение №2 кнастоящим Правилам).

             3.11. По существу поставленных в обращении (жалобе) вопросов Комиссия в течение5 рабочих дней со дня окончания проверки дает письменный ответ заявителю.

 

Приложение № 1

к правилам осуществления внутреннегоконтроля соответствия обработки персональных данных требованиям к защитеперсональных данных

УТВЕРЖДАЮ

Первый вице-мэр,

руководитель аппарата Администрации

 города Южно-Сахалинска

___________________________

"___" ______________ 20__ г.

 

План

внутренних проверок условий обработкиперсональных данных

в администрации города Южно-Сахалинска

(примерная форма)

 №

Тема проверки

Нормативный

документ,

предъявляющий

требования

Срок

проведения

Исполнитель

1.

Соответствие указанных в «Перечне персональных данных» персональных данных фактически обрабатываемым

Перечень персональных данных, обрабатываемых в администрации города Южно-Сахалинска»

 

 

2.

Актуальность Перечня должностей работников, замещение которых предусматривает осуществление обработки персональных данных

Перечень должностей сотрудников администрации города Южно-Сахалинска, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным

 

 

3.

Подтверждение факта ознакомления с локальными актами в области обработки и обеспечения безопасности персональных данных

Правила обработки персональных данных в администрации города Южно-Сахалинска

 

 

4.

Выборочные проверки уровня знания сотрудниками организационно-распорядительных документов в области обработки и обеспечения безопасности персональных данных

Правила обработки персональных данных в администрации города Южно-Сахалинска

 

 

5.

Соблюдение пользователями ИСПДн

инструкции по учету, выдаче, хранению, обращению с машинными носителями информации и персональными идентификаторами, предназначенными для хранения информации ограниченного использования

Инструкция по учету, выдаче, хранению, обращению с

машинными носителями информации и персональными

 идентификаторами, предназначенными для хранения

 информации ограниченного использования

 

 

6.

Соблюдение пользователями

ИСПДн парольной политики

Правила обработки ПДн в администрации города Южно-Сахалинска,

Положение о ЕМТС,

Инструкция

пользователю ЕМТС, Регламент использования ресурсов ЕМТС

 

 

7.

Соблюдение пользователями

ИСПДн антивирусной

политики

 

 

8.

Соблюдение пользователями правил работы со СКЗИ

Инструкция

по порядку обращения с сертифицированными средствами

криптографической защиты информации, предназначенными

для защиты информации ограниченного доступа, не содержащей

сведения, составляющие государственную тайну и криптоключами к ним

 

 

9.

Соблюдение порядка доступа в помещения, где расположены элементы ИСПДн

Порядок доступа сотрудников администрации города Южно-Сахалинска в помещения, в которых ведется обработка ПДн

 

 

10.

Соблюдение порядка работы со средствами защиты информации

Инструкция

пользователю ЕМТС

 

 

11.

Знание пользователей

ИСПДн о своих действиях

во внештатных ситуациях

Инструкция

пользователя ЕМТС, Регламент использования ресурсов ЕМТС

 

 

12.

Хранение бумажных

носителей с персональными

данными

Правила обработки ПДн в администрации города Южно-Сахалинска, Порядок доступа сотрудников администрации города Южно-Сахалинска в помещения, в которых ведется обработка ПДн

 

 

13.

Доступ к бумажным

носителям с персональными

данными

 

 

14.

Доступ в помещения, где обрабатываются и хранятся бумажные носители с персональными данными

 

 

 

 

ЗаместительПредседателя комиссии __________________ ФИО.

 

 

 

 

 

 

 

Приложение №2

к правилам осуществления внутреннегоконтроля соответствия обработки персональных данных требованиям к защитеперсональных данных

Протокол

проведения внутренней проверки условийобработки

персональных данных в_________________________

 (наименование подразделения)

администрации города Южно-Сахалинска

Настоящий Протокол составлен в том, что__.__. 20__ г. комиссией проведена проверка ________________________________.

 (тема проверки)

Проверка осуществлялась в соответствии стребованиями __________________________________________________________________________________

В ходе проверки проверено:________________________________________

____________________________________________________________________

Выявленные нарушения:__________________________________________

____________________________________________________________________

Меры по устранению нарушений:___________________________________

____________________________________________________________________

Срок устранения нарушений:_________________________.

 

Председателькомиссии __________________ФИО.

 

Заместительпредседателя комисии __________________ФИО

 

Члены:

Должность__________________ ФИО.

Должность__________________ ФИО.

Должность__________________ ФИО.

 

Должностьруководителя проверяемого

подразделенияадминистрации

города Южно-Сахалинска»__________________ ФИО.

 

 

Приложение №3

к правилам осуществления внутреннегоконтроля соответствия обработки персональных данных требованиям к защитеперсональных данных

Инструкция по учету, выдаче, хранению,обращению с

машинными носителями информации иперсональными

 идентификаторами, предназначеннымидля хранения

 информации ограниченногоиспользования (персональными данными)

 

1. Общие положения

             1.1. Все машинные носители информации, предназначенные для хранения информацииограниченного использования (для служебного использования, персональных данных)подлежат обязательному учету. Каждый съемный носитель с записанной на неминформацией ограниченного доступа должен иметь этикетку, на которой указываетсяего уникальный учетный номер.

             1.2. Машинные носители информации учитываются в журнале учета. Журналы учетаведутся и хранятся в структурных подразделениях аппарата и отраслевых(функциональных) органах Администрации (далее — структурные подразделения), вкоторых ведется обработка информации ограниченного доступа.

             1.3. Машинные носители информации выдаются и принимаются по журналу учетаруководителем структурного подразделения.

             1.4. Машинные носители информации в обязательном порядке маркируются следующимобразом:

             - на компакт-дисках (DVD, CD и др.) учетный номер проставляется на лицевойстороне диска специальным маркером;

             - на жестком магнитном диске учетный номер проставляется на корпусе. Жесткиймагнитный диск учитывается отдельно (в случае съемной конструкции) или всоставе системного блока (СБ) автоматизированного рабочего места. В случаеучета в составе СБ, на корпус СБ (в удобное для просмотра место) наклеиваетсябирка с указанием учетного номера, типа, модели машинного носителя, его объема,серийного номера жесткого магнитного диска;

             - на носителях информации типа USB Flash-носители на корпус наклеивается биркас указанием учетного номера носителя и его серийного номера;

             - на персональных идентификаторах на корпус наклеивается бирка с указаниемучетного номера носителя;

             - бирки не должны закрывать заводские номера машинных носителей информации

             1.5. Машинные носители информации хранятся в запертом шкафу.

             1.6. Пользователям запрещается:

             - использовать неучтенные машинные носители информации;

             - использовать неучтенные персональные идентификаторы;

             - хранить съемные носители с информацией ограниченного доступа вместе сносителями открытой информации, на рабочих столах, либо оставлять их безприсмотра или передавать на хранение другим лицам;

             - выносить съемные носители с информацией ограниченного доступа из служебныхпомещений для работы с ними на дому.

             1.7. При отправке или передаче информации ограниченного доступа адресатам насъемные носители записываются только предназначенные адресатам данные. Отправкаинформации ограниченного доступа адресатам на съемных носителях осуществляетсяв порядке, установленном для документов для служебного пользования. Выноссъемных носителей информации ограниченного доступа для непосредственнойпередачи адресату осуществляется только с разрешения руководителя структурногоподразделения.

             1.8. О фактах утраты съемных носителей, содержащих информацию ограниченногодоступа, либо разглашения содержащихся в них сведений немедленно ставится визвестность руководитель структурного подразделения. На утраченные носители комиссией по организации обработки и защитыперсональных данных составляется акт. Соответствующиеотметки вносятся в Журнал учета магнитных, оптических и иных носителейинформации.

             1.9. Съемные носители информации, пришедшие в негодность, или отслужившиеустановленный срок, подлежат уничтожению. Уничтожение съемных носителей синформацией ограниченного доступа осуществляется комиссией по организации обработки и защиты персональных данных. Порезультатам уничтожения носителей информации составляется акт.

             1.10. Сотрудники и лица, выполняющие работы по договорам и контрактам, имеющиеотношение к работе с информацией ограниченного доступа или персональным данным,должны быть в обязательном порядке ознакомлены под роспись с настоящейИнструкцией.

 

 

 

Приложение №4

 

Утверждены

постановлением администрации

города Южно-Сахалинска

от 21.02.2020489-па

 

Правила

работы с обезличенными данными

в случае обезличивания персональных данныхв

администрации города Южно-Сахалинска»

1. Общие положения

 

             1.1. Настоящие Правила определяют порядок работы с обезличенными данными вслучае обезличивания персональных данных в администрации города Южно-Сахалинска(далее — Администрация).

             1.2. Настоящие Правила разработаны в соответствии с Федеральным законом от27.07.2006 № 152-ФЗ «О персональных данных», постановлением ПравительстваРоссийской Федерации от 21.032012 № 211 "Об утверждении перечня мер,направленных на обеспечение выполнения обязанностей, предусмотренныхФедеральным законом "О персональных данных" и принятыми всоответствии с ним нормативными правовыми актами, операторами, являющимисягосударственными или муниципальными органами", постановлениемПравительства Российской Федерации от 01.11.2012 № 1119 "Об утверждениитребований к защите персональных данных при их обработке в информационныхсистемах персональных данных", приказом Федеральной службы по техническомуи экспертному контролю от 11.02.2013 № 17 "Об утверждении Требований озащите информации, не составляющей государственную тайну, содержащейся вгосударственных информационных системах", приказом Роскомнадзора от05.09.2013 № 996 "Об утверждении требований и методов по обезличиваниюперсональных данных" (далее - приказ Роскомнадзора №996).

 

2. Порядок работы с обезличенными персональнымиданными

 

             2.1. Обезличивание персональных данных в Администрации проводится с цельюснижения ущерба от разглашения защищаемых персональных данных, снижения классаавтоматизированных информационных систем, оператором которых является Администрация(далее - автоматизированные информационные системы) и по достижении целейобработки персональных данных или в случае утраты необходимости в достиженииэтих целей.

             2.2. Обезличенные персональные данные конфиденциальны и не подлежат разглашению.

             2.3. Обезличиванию подвергаются персональные данные, обработка которыхосуществляется в автоматизированных информационных системах.

             2.4. В процессе реализации процедуры обезличивания персональных данных следуетсоблюдать требования, предъявляемые к выбранному методу обезличивания,установленные приказом Роскомнадзора № 996.

             2.5. При обработке обезличенных персональных данных с использованием средствавтоматизации необходимо соблюдение парольной защиты средств автоматизации,идентификации пользователей в локальной сети, правил работы со съемныминосителями (в случае их использования), правил резервного копирования, а такжепорядка доступа в помещения, где расположены информационные системыперсональных данных, в целях исключения несанкционированного доступа кобезличенным персональным данным, а также исключения возможности ихнесанкционированного уничтожения, изменения, блокирования, копирования,распространения, а также от неправомерных действий в отношении обезличенныхперсональных данных. Указанный порядок доступа обеспечивается в том числе:

             - запиранием помещения на ключ, в том числе при выходе из помещения в рабочеевремя;

             - закрытием металлических шкафов и сейфов, где хранятся носители информации,содержащие обезличенные персональные данные, во время отсутствия в помещениисотрудников, ответственных за проведение мероприятий по обезличиваниюобрабатываемых персональных данных.

             2.6. При обработке обезличенных персональных данных без использования средствавтоматизации необходимо соблюдение правил хранения бумажных носителей ипорядка доступа в помещения, где они хранятся, предусмотренного п. 2.5настоящих Правил, в целях исключения несанкционированного доступа к обезличеннымперсональным данным, а также исключения возможности их несанкционированногоуничтожения, изменения, блокирования, копирования, распространения, а также отнеправомерных действий в отношении обезличенных персональных данных.

 

Приложение №5

 

Утвержден

постановлением администрации

города Южно-Сахалинска

от 21.02.2020489-па

 

 

Перечень

информационных систем персональных данных,

обрабатываемых в администрации городаЮжно-Сахалинска

 

             Информационные системы персональных данных (далее - ИСПДн), обрабатываемых вадминистрации города Южно-Сахалинска включают :

             - ИСПДн сотрудников администрации города Южно-Сахалинска;

             - ИСПДн граждан, потребителей (абонентов) государственных и муниципальныхуслуг, исполнения муниципальных функций.

 

Приложение №6

 

Утвержден

постановлением администрации

города Южно-Сахалинска

от 21.02.2020489-па

 

Перечень

персональных данных, обрабатываемых в администрациигорода Южно-Сахалинска в связи с реализацией трудовых отношений, а также всвязи с оказанием государственных и муниципальных услуг и осуществлениемгосударственных и муниципальных функций

 

 №

п/п

Причина обработки

персональных

данных

Состав обрабатываемых персональных данных

1

Реализация

трудовых

отношений

фамилия, имя, отчество;

пол;

дата рождения;

информация о смене фамилии, имени, отчества;

дата рождения и место рождения; гражданство;

документ, удостоверяющий личность (серия, номер, когда и кем выдан);

заграничный паспорт;

место рождения;

место жительства и дата регистрации по месту

жительства;

информация о гражданстве;

номера контактных телефонов;

семейное положение;

состав семьи (с указанием даты рождения, месте учебы (работы) ;

отношение к воинской обязанности, воинское звание, состав рода войск, военный билет, приписное свидетельство, сведения о постановке на воинский учет и прохождении службы в Вооруженных Силах;

сведения о получении профессионального и

дополнительного образования (наименование

образовательного учреждения, специальность и

квалификация по документу об образовании; документ об образовании, его серия и номер, дата выдачи);

сведения об уровне специальных знаний (работа на

компьютере, знание иностранного языка);

сведения о профессиональной переподготовке,

повышении квалификации, стажировке;

ученая степень;

сведения о трудовой деятельности, общем трудовом стаже и стаже государственной и/или муниципальной службы; сведения о замещаемой (занимаемой) должности; сведения о классных чинах, специальных званиях; сведения о состоянии здоровья и его соответствии выполняемой работе, наличии группы инвалидности и степени ограничения способности к трудовой деятельности; сведения об отпусках и командировках;

сведения о прохождении аттестации;

сведения о награждении (поощрении);

сведения о взысканиях;

сведения об отсутствии медицинских противопоказаний для прохождения муниципальной службы;

сведения о пребывании за границей;

сведения о судимости;

сведения о допуске к государственной тайне;

сведения о пенсионном обеспечении;

сведения о трудовом договоре;

реквизиты идентификационного номера налогоплательщика (ИНН);

реквизиты страхового номера индивидуального

лицевого счета в Пенсионном фонде Российской

Федерации (СНИЛС);

реквизиты полиса обязательного медицинского

страхования;

реквизиты свидетельства государственной регистрации актов гражданского состояния;

сведения о доходах, имуществе и обязательствах

имущественного характера и членов его семьи; (в случаях, установленных законодательством)

сведения о социальных льготах; номера банковских

счетов;

фотография.

2

Предоставление государственных и

муниципальных

услуг и исполнение

государственных и муниципальных функций

фамилия, имя, отчество;

документ, удостоверяющий личность (серия, номер, когда и кем выдан);

дата рождения;

место рождения;

дееспособность;

наличие группы инвалидности;

наличие статуса ветеран ВОВ;

наличие статуса многодетная семья;

место жительства и дата регистрации по месту

жительства;

место работы;

сведения о получении профессионального и

дополнительного образования (наименование

образовательного учреждения, специальность и

квалификация по документу об образовании; документ об образовании, его серия и номер, дата выдачи);

номера контактных телефонов;

сведения об уровне специальных знаний (работа на

компьютере, знание иностранного языка);

сведения о профессиональной переподготовке,

повышении квалификации, стажировке;

реквизиты идентификационного номера

налогоплательщика (ИНН);

реквизиты страхового номера индивидуального

лицевого счета в Пенсионном фонде Российской

Федерации (СНИЛС);

номера банковских счетов;

сведения об имуществе;

сведения о доходах;

сведения о родственниках;

сведения о судимости и реквизиты справки об освобождении;

сведения о размере пенсии;

сведения о состоянии здоровья.

 

Приложение №7

Утвержден

постановлением администрации

города Южно-Сахалинска

от 21.02.2020489-па

 

Перечень

должностей в администрации городаЮжно-Сахалинска», ответственных за проведение мероприятий по обезличиваниюобрабатываемых персональных данных, в случае обезличивания персональных данных

             1. Мэр города Южно-Сахалинска;

             2. Первый вице-мэр;

             3. Первый вице-мэр, руководитель аппарата;

             4. Вице-мэр;

             5. Руководители структурных подразделений аппарата и отраслевых(функциональных) органов администрации города Южно-Сахалинска.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Приложение №8

Утвержден

постановлением администрации

города Южно-Сахалинска

от 21.02.2020489-па

 

Перечень

должностей вадминистрации города Южно-Сахалинска, замещение которых предусматриваетосуществление обработки персональных данных либо осуществление доступа кперсональным данным

 

№ п/п

Должность

Основания для обработки

Способ обработки

1.

Мэр

Трудовой кодекс РФ, Устав городского округа «Город Южно-Сахалинск», согласие субъекта персональных данных, пункт № 1 Перечня Пдн.

Неавтоматизированный

2.

Первый вице-мэр

Трудовой кодекс РФ, Устав городского округа «Город Южно-Сахалинск», согласие субъекта персональных данных, пункт № 1 Перечня Пдн.

Неавтоматизированный

3.

Первый вице-мэр, руководитель аппарата

Трудовой кодекс РФ, Устав городского округа «Город Южно-Сахалинск», согласие субъекта персональных данных, пункт № 1 Перечня Пдн.

Неавтоматизированный

4.

Вице-мэр

Трудовой кодекс РФ, Устав городского округа «Город Южно-Сахалинск», согласие субъекта персональных данных, пункт № 1 Перечня Пдн.

Неавтоматизированный

5.

Директор Департамента
социальной политики

Федеральный закон от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», согласие субъекта персональных данных.

Автоматизированный

6.

Сотрудники Департамента
социальной политики

Федеральный закон от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», согласие субъекта персональных данных.

Автоматизированный

7.

Директор Департамента
по обращениям граждан и организационной работе

Федеральный закон от 02.05.2006 №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», Устав городского округа «Город Южно-Сахалинск», согласие субъекта персональных данных.

Неавтоматизированный

8.

Сотрудники Департамента
по обращениям граждан и организационной работе

Федеральный закон от 02.05.2006 №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», Устав городского округа «Город Южно-Сахалинск», согласие субъекта персональных данных.

Неавтоматизированный

9.

Директор Департамента
кадровой политики

Трудовой Кодекс РФ, Федеральный закон от 02.03.2007 №25-ФЗ «О муниципальной службе в Российской Федерации», Устав городского округа «Город Южно-Сахалинск», согласие субъекта персональных данных.

Неавтоматизированный

10.

Сотрудники Департамента
кадровой политики

Трудовой Кодекс РФ, Федеральный закон от 02.03.2007 №25-ФЗ «О муниципальной службе в Российской Федерации», Устав городского округа «Город Южно-Сахалинск», согласие субъекта персональных данных.

Неавтоматизированный

11.

Начальник Отдела
по делам несовершеннолетних и защите их прав

Устав городского округа «Город Южно-Сахалинск», согласие субъекта персональных данных.

Неавтоматизированный

12.

Сотрудники Отдела по делам несовершеннолетних и защите их прав

Устав городского округа «Город Южно-Сахалинск», согласие субъекта персональных данных.

Неавтоматизированный

13.

Директор Департамента
образования

Федеральный закон от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», согласие субъекта персональных данных.

Автоматизированный

14.

Сотрудники Департамента
образования

Федеральный закон от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», согласие субъекта персональных данных.

Автоматизированный

15.

Директор
Правового департамента

Устав городского округа «Город Южно-Сахалинск», согласие субъекта персональных данных.

Неавтоматизированный

16.

Сотрудники Правового департамента

Устав городского округа «Город Южно-Сахалинск», согласие субъекта персональных данных.

Неавтоматизированный

17.

Директор Департамента
внутренней политики

Устав городского округа «Город Южно-Сахалинск», согласие субъекта персональных данных.

Неавтоматизированный

18.

Сотрудники Департамента
внутренней политики

Устав городского округа «Город Южно-Сахалинск», согласие субъекта персональных данных.

Неавтоматизированный

19.

Директор Департамента
по делам молодежи, спорту
и туризму

Устав городского округа «Город Южно-Сахалинск», согласие субъекта персональных данных.

Неавтоматизированный

20.

Сотрудники Департамента
по делам молодежи, спорту
и туризму

Устав городского округа «Город Южно-Сахалинск», согласие субъекта персональных данных.

Неавтоматизированный

21.

Директор Департамента общественной безопасности и контроля

Устав городского округа «Город Южно-Сахалинск», согласие субъекта персональных данных.

Неавтоматизированный

22.

Сотрудники Департамента общественной безопасности и контроля

Устав городского округа «Город Южно-Сахалинск», согласие субъекта персональных данных.

Неавтоматизированный

23.

Директор Департамента землепользования

Устав городского округа «Город Южно-Сахалинск», согласие субъекта персональных данных.

Неавтоматизированный

24.

Сотрудники Департамента землепользования

Устав городского округа «Город Южно-Сахалинск», согласие субъекта персональных данных.

Неавтоматизированный

25.

Директор Департамента архитектуры и градостроительства

Устав городского округа «Город Южно-Сахалинск», согласие субъекта персональных данных.

Неавтоматизированный

26.

Сотрудники Департамента архитектуры и градостроительства

Устав городского округа «Город Южно-Сахалинск», согласие субъекта персональных данных.

Неавтоматизированный

27.

Директор Департамента по управлению муниципальным имуществом

Устав городского округа «Город Южно-Сахалинск», согласие субъекта персональных данных.

Неавтоматизированный

28.

Сотрудники Департамента по управлению муниципальным имуществом

Устав городского округа «Город Южно-Сахалинск», согласие субъекта персональных данных.

Неавтоматизированный

20.

Директор Департамента городского хозяйства

Устав городского округа «Город Южно-Сахалинск», согласие субъекта персональных данных.

Неавтоматизированный

30.

Сотрудники Департамента городского хозяйства

Устав городского округа «Город Южно-Сахалинск», согласие субъекта персональных данных.

Неавтоматизированный

 

Приложение №9

Утвержден

постановлением администрации

города Южно-Сахалинска

от 21.02.2020489-па

 

 

Перечень

должностей в администрации городаЮжно-Сахалинска, доступ к персональным данным, которым необходим для выполнения

 служебных обязанностей

 

             1. К персональным данным сотрудников администрации города Южно-Сахалинска, длявыполнения своих должностных обязанностей имеют доступ:

             - Мэр города Южно-Сахалинска;

             - Первый вице-мэр;

             - Первый вице-мэр, руководитель аппарата;

             - Вице-мэр;

             - Руководители и заместители руководителей департаментов, отделов администрациигорода Южно-Сахалинска;

             - Все сотрудники Департамента кадровой политики;

             - Сотрудники кадровых подразделений отраслевых (функциональных) органахадминистрации города Южно-Сахалинска.

2. К персональным данным граждан,обратившихся с жалобой, просьбой или на личном приеме, для выполнения своихдолжностных обязанностей имеют доступ:

             - Мэр города Южно-Сахалинска;

             - Первый вице-мэр;

             - Первый вице-мэр, руководитель аппарата;

             - Вице-мэр;

             -Руководители и заместители руководителей структурных подразделений аппарата иотраслевых (функциональных) органов администрации города Южно-Сахалинска;

             - Сотрудники соответствующих структурных подразделений аппарата и отраслевых(функциональных) органов администрации города Южно-Сахалинска.

3. К персональным данным граждан в связи соказанием государственных и муниципальных услуг и осуществлением муниципальныхфункций для выполнения своих должностных обязанностей имеют доступ:

             - Мэр города Южно-Сахалинска;

             - Первый вице-мэр;

             - Первый вице-мэр, руководитель аппарата;

             - Вице-мэр;

              - Руководители и заместителируководителей структурных подразделений аппарата и отраслевых (функциональных)органов администрации города Южно-Сахалинска;

             - Сотрудники соответствующих структурных подразделений аппарата и отраслевых(функциональных) органов администрации города Южно-Сахалинска.

4. Каждый сотрудник Администрации имеетдоступ к своим персональным данным.

5. Ответственность за работу с бумажныминосителями персональных данных сотрудников администрации города южно-Сахалинсканесут сотрудники Департамента кадровой политики.

6. Пользователи информационных системперсональных данных:

             Перечень лиц, имеющих самостоятельный доступ к информационным ресурсаминформационных систем персональных данных, уровень их полномочий и видвыполняемых функций определен в Положении о муниципальной информационнойсистемы «Единая мультисервисная телекоммуникационная сеть администрации городаЮжно-Сахалинска» (далее — ЕМТС), Инструкции пользователя ЕМТС и Регламентеиспользования ресурсов ЕМТС.

 

Приложение №10

Утверждена

постановлением администрации

города Южно-Сахалинска

от 21.02.2020489-па

 

Должностная инструкция

ответственного за организацию обработкиперсональных данных в администрации города Южно-Сахалинска

 

 

1. Общие положения

 

             1.1. Должностная инструкция ответственного за организацию обработкиперсональных данных (далее - ПДн) в администрации города Южно-Сахалинскаопределяет основные обязанности и права ответственного за организацию обработкиперсональных данных.

             1.2. Должностная инструкция регулирует отношения и порядок взаимодействия междуответственным за организацию обработки ПДн и сотрудниками, которые обрабатываютПДн в связи с реализацией трудовых отношений, в связи с оказаниемгосударственных и муниципальных услуг и осуществлением муниципальных функций, атакже в соответствии с действующим законодательством Российской Федерации, заисключением случаев, перечисленных в части 2 статьи 1 Федерального закона от27.07.2006 № 152-ФЗ «О персональных данных», в администрации городаЮжно-Сахалинска.

             1.3. Деятельность ответственного лица за организацию обработки ПДнрегламентируется федеральными законами и иными нормативными правовыми актами вобласти защиты персональных данных, актами Федеральной службы по техническому иэкспортному контролю, Федеральной службы безопасности, а такженормативно-правовыми актами администрации города Южно-Сахалинска.

 

2. Должностные обязанности

 

             2.1 Организовывать работу по разработке и принятиюорганизационно-распорядительной документации, устанавливать правила обработкиПДн, которые определяют:

- порядок доступа к ПДн;

- организацию приема и обработки обращенийи запросов субъектов ПДн или их представителей;

- процедуры, направленные напредотвращение и выявление нарушений действующего законодательства РоссийскойФедерации о персональных данных и устранения последствий таких нарушений;

             2.2. Организовывать ознакомление сотрудников непосредственно осуществляющихобработку ПДн, с действующим законодательством Российской Федерации оперсональных данных и организационно-распорядительной документации,определяющими правила обработки ПДн и требования по защите персональных данных.

             2.3. Осуществлять согласование ввода в эксплуатацию новых информационных системПдн.

             2.4. Координировать работу по формированию и ведению перечней:

             - должностей сотрудников, замещение которых предусматривает осуществлениеобработки ПДн;

             - персональных данных;

             - информационных систем ПДн.

             2.5. Организовывать проведение внутренних проверок по вопросам информационнойбезопасности для осуществления внутреннего контроля:

             - условий обработки ПДн и их соответствие действующему законодательствуРоссийской Федерации о ПДн и принятой в соответствии с ниморганизационно-распорядительной документацией;

             - организации приема и обработки запросов субъектов ПДн или их представителей;

             - выполнения установленных в соответствии с действующим законодательствомРоссийской Федерации и организационно-распорядительной документацией требованийк защите ПДн;

             - соотношения оценки вреда, который может быть причинен субъектам персональныхданных в случае нарушения действующего законодательства Российской Федерации оперсональных данных и принимаемых мер, направленных на обеспечение выполненияобязанностей, предусмотренных действующим законодательством РоссийскойФедерации и организационно-распорядительной документацией.

             2.6. Представлять доклады директору Департамента мобилизационной работы изащиты информации о результатах проведенных внутренних проверок состояния работпо вопросам информационной безопасности и мерах, необходимых для устранениявыявленных нарушений.

             2.7. Координировать работу по принятию мер, направленных на совершенствованиезащиты ПДн.

             2.8. Осуществлять методическое руководство работой при разработке условийобработки ПДн и эффективности мер по защите Пдн во вновь создаваемых ИСПДН.

 

 

3. Права

 

             3.1. Ответственный за организацию обработки ПДн имеет право:

             - запрашивать у сотрудников любые сведения, необходимые для организации условийобработки персональных данных и принятия необходимых правовых, организационныхи технических мер для защиты ПДн;

             - принимать участие в рассмотрении жалоб и обращений граждан или юридическихлиц по вопросам, связанным с обработкой ПДн, а также вырабатывать предложениядля принятия в пределах своих полномочий решений по результатам рассмотренияуказанных жалоб и обращений;

             - участвовать в расследовании нарушений в области защиты ПДн и разрабатыватьпредложения по устранению недостатков и предупреждению подобного роданарушений;

             - требовать от сотрудников уточнения, блокирования или уничтожениянедостоверных или полученных незаконным путем ПДн, при обращении (запросе)субъекта персональных данных или его представителя либо уполномоченного органапо защите прав субъектов персональных данных либо по результатам проведеннойвнутренней проверки организации состояния работ по вопросам информационнойбезопасности;

             - принимать меры по приостановлению или прекращению обработки ПДн,осуществляемой с нарушением требований действующего законодательства РоссийскойФедерации о персональных данных;

             - вносить предложения о совершенствовании нормативного правового регулированияобработки и защиты ПДн.

             3.2. Докладывать директору Департамента мобилизационной подготовки и защиты информациио сотрудниках, имеющих санкционированный доступ к ПДн, допустивших серьезныенарушения в безопасности Пдн.

             3.3. Требовать от сотрудников выполнения установленной технологии обработкиПдн, инструкций и других нормативных правовых документов по обеспечениюбезопасности Пдн.

             3.4. Участвовать в разработке мероприятий по совершенствованию безопасностиПдн;

             3.5. Инициировать проведение служебных расследований по фактам нарушенияустановленных требований обеспечения информационной безопасности,несанкционированного доступа, утраты, порчи защищаемых Пдн, технических средствиз состава информационных систем, материальных носителей;

4. Ответственность

4.1. Ответственное лицо несет персональнуюответственность за ненадлежащее выполнение возложенных на него обязанностей,изложенных в настоящей должностной инструкции, в соответствии с действующимзаконодательством Российской Федерации и организационно-распорядительнымидокументами.

4.2. Ответственное лицо несет персональнуюответственность по действующему законодательству за разглашениеконфиденциальной информации, ставшей известной ему по роду работы.Ознакомлен:

 

 

Приложение №11

Утверждено

постановлением администрации

города Южно-Сахалинска

от 21.02.2020489-па

 

 

Типовое обязательство сотрудника

администрации города Южно-Сахалинска онеразглашении информации содержащей персональные данные на период исполнения имдолжностных обязанностей

             Я, ___________________________________________________________,

проживающий по адресу:_____________________________________________

паспорт серия _____ № ________, выданный_____________________________

 (кем икогда)

предупрежден(а), что на период исполнения мною должностныхобязанностей получаю доступ к персональным данным и во время исполнения своихобязанностей осуществляю их обработку (в том числе сбор, запись,систематизацию, накопление, хранение, уточнение, использование и передачу).

             Я понимаю, что разглашение такого рода информации может нанести прямой и (или)косвенный ущерб субъектам персональных данных.

             В связи с этим даю обязательство при обработке персональных данных строгособлюдать требования действующего законодательства, определяющего порядокобработки персональных данных, а также Правила обработки персональных данных вадминистрации города Южно-Сахалинска.

             Я подтверждаю, что за исключением случаев и (или) при отсутствии условий,предусмотренных действующим законодательством, не имею права разглашатьсведения, относящиеся к категории персональных данных.

             Я предупрежден(а) о том, что в случае нарушения мною требований действующегозаконодательства и (или) Правил обработки персональных данных в администрациигорода Южно-Сахалинска, определяющих режим их обработки, в том числе в случаеих незаконного разглашения или утраты, я несу ответственность в соответствии сдействующим законодательством, в частности ст. 90 Трудового кодекса РоссийскойФедерации.

             С Правилами обработки персональных данных в администрации городаЮжно-Сахалинска ознакомлен(а).

 

______________________________/______________________/

 подписьФамилия

 

"___"___________ 20__ г.

Приложение №12

Утверждено

постановлением администрации

города Южно-Сахалинска

от 21.02.2020489-па

 

 

Типовое обязательство сотрудника

администрации города Южно-Сахалинсканепосредственно

осуществляющего обработку персональныхданных, в случае

расторжения с ним служебного контрактапрекратить обработку

персональных данных, ставших известнымиему в связи

с исполнением должностных обязанностей

 

             Я, ___________________________________________________________,

проживающий по адресу:_____________________________________________

паспорт серия _____ № ________, выданный _____________________________

 (кем икогда)

обязуюсь прекратить обработку персональных данных, ставших мнеизвестными в связи с исполнением должностных обязанностей, в случае расторжениясо мной служебного контракта.

             В соответствии со статьей 7 Федерального закона от 27 июля 2006 г. №152-ФЗ"О персональных данных", я уведомлен(а) о том, что операторы и иныелица, получившие доступ к персональным данным, обязаны не раскрывать третьимлицам и не распространять персональные данные, ставшие известными мне в связи сисполнением должностных обязанностей, без согласия субъекта персональныхданных, если иное не предусмотрено законодательством Российской Федерации вобласти персональных данных и о противодействии коррупции.

             Положения законодательства Российской Федерации, предусматривающиеответственность за нарушение требований Федерального закона от 27 июля 2006 г.N 152-ФЗ "О персональных данных", мне разъяснены.

 

______________________________/______________________/

 подписьФамилия

 

"___"___________ 20__ г.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Приложение №13

Утверждена

постановлением администрации

города Южно-Сахалинска

от 21.02.2020489-па

 

 

 

Типовая форма

согласия на обработку персональных данныхсотрудника

администрации города Южно-Сахалинска,

иных субъектов персональных данных

 

             Я, ________________________________________, проживающий(ая) по

 (фамилия, имя, отчество)

адресу ____________________________________________________,основной документ, удостоверяющий личность (паспорт) ___________________________

____________________________________________________________________

 (серия, номер, дата выдачи документа, наименование выдавшегооргана)

даю свое согласие____________________________________________________

 (наименование (Ф.И.О.) и адрес оператора, получающего

____________________________________________________________________

 согласие субъекта персональных данных)

на обработку своих персональных данных, включая сбор,систематизацию, накопление, хранение, уточнение (обновление, изменение),использование, распространение (в том числе передачу), обезличивание,блокирование, уничтожение персональных данных, с целью____________________________.

             Если мои персональные данные можно получить только у третьей стороны, то я должен(а)быть уведомлен об этом заранее с указанием целей, предполагаемых источников испособов получения персональных данных. Для обработки указанных данных такжедолжно быть получено мое согласие.

             Мне разъяснены мои права и обязанности, связанные с обработкой персональныхданных, в том числе, моя обязанность проинформировать оператора в случаеизменения моих персональных данных, а также мое право в любое время отозватьсвое согласие путем направления соответствующего письменного заявления оператору.           

             Перечень персональных данных, на обработку которых дается согласие :

 

 №

п.п

Персональные данные

Согласие

ДА

НЕТ

1. Общая информация

 

Фамилия

 

 

 

Имя

 

 

 

Отчество

 

 

 

Год, месяц, дата и место рождения

 

 

 

Адрес места жительства

 

 

 

Семейное положение

 

 

 

Социальное положение

 

 

 

Имущественное положение

 

 

 

Образование

 

 

 

Профессия

 

 

 

Доходы

 

 

 

(Другая информация)

 

 

2. Специальные категории персональных данных

 

Состояние здоровья

 

 

 

(Другая информация)

 

 

3. Биометрические данные

 

Дактилоскопическая информация

 

 

 

(Другая информация)

 

 

 

Настоящее согласие действует____________________

 (срок).

             Субъект персональных данных вправе отозвать данное согласие на обработку своихперсональных данных, письменно уведомив об этом оператора.

             В случае отзыва субъектом персональных данных согласия на обработку своихперсональных данных в письменной форме (если иной порядок отзыва непредусмотрен действующим законодательством) оператор обязан прекратитьобработку персональных данных и уничтожить персональные данные в срок, непревышающий трех рабочих дней с даты поступления указанного отзыва. Обуничтожении персональных данных оператор обязан уведомить субъекта персональныхданных.

____________________________________

(подпись субъекта персональных данных)

________________

(число, месяц, год)

Приложение №14

Утверждена

постановлением администрации

города Южно-Сахалинска

от 21.02.2020489-па

 

Типовая форма

разъяснения субъекту персональных данныхюридических

последствий отказа предоставить своиперсональные данные

             Я, ___________________________________________________________,

(фамилия, имя, отчество субъектаперсональных данных)

проживающий(ая) по адресу___________________________________________

___________________________________________________________________,(адресместа жительства субъекта персональных данных)

основной документ, удостоверяющий личность___________________________

____________________________________________________________________

(наименование и номер основного документа,удостоверяющего личность, сведения о дате выдачи указанного документа ивыдавшем его органе)

в соответствии с ч.2 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональныхданных» настоящим подтверждаю, что мне разъяснены юридические последствияотказа предоставить свои персональные данные.

_____________________________________________

 подписьФ.И.О.

 

"___" ________ 20__ г.

 

Приложение №15

Утвержден

постановлением администрации

города Южно-Сахалинска

от 21.02.2020489-па

 

 

Порядок

доступа сотрудников администрации городаЮжно-Сахалинска в помещения, в которых ведется обработка персональных данных

1. Общие положениями

 

             1.1. Настоящий Порядок доступа сотрудников администрации города Южно-Сахалинска(далее - Администрация) в помещения, в которых ведется обработка персональныхданных (далее - Порядок) разработан в соответствии с Федеральным законом от 27.07.2006№ 152 «О персональных данных», постановлением Правительства РоссийскойФедерации от 15.09.2008 № 687 «Об утверждении Положения об особенностяхобработки персональных данных, осуществляемой без использования средствавтоматизации», постановлением Правительства Российской Федерации от 21.03.2012№ 211 «Об утверждении перечня мер, направленных на обеспечение выполненияобязанностей, предусмотренных Федеральным законом «О персональных данных» ипринятыми в соответствии с ним нормативными правовыми актами, операторами,являющимися государственными или муниципальными органами», и другиминормативными правовыми актами.

             1.2. Ответственность за организацию и контроль доступа в помещения, в которыхведется обработка персональных данных, возлагается на руководителей структурныхподразделений аппарата и отраслевых (функциональных) органов Администрации.

             1.3. Должностные лица Администрации, получившие доступ к персональным данным,обязаны не раскрывать третьим лицам и не распространять персональные данные безсогласия субъекта персональных данных, если иное не предусмотрено федеральнымзаконом.

             1.4. Помещения, в которых ведется обработка персональных данных, являютсяпомещениями с ограниченным доступом.

             1.5. Руководители структурных подразделений аппарата и отраслевых(функциональных) органов Администрации (далее - руководители подразделений)составляют и подписывают Перечень должностных лиц, имеющих право входа впомещение согласно Приложению к настоящему Порядку (далее – Перечень). Переченьвывешивается на внутренней стороне двери помещения, в котором ведется обработкаперсональных данных. Перечень поддерживается в актуальном состоянии.

             1.6. Сотрудники подразделений, на которых возложена обязанность по обработкеперсональных данных, несут персональную ответственность за выполнениемероприятий по предотвращению несанкционированного доступа к обрабатываемымперсональным данным лицами (другими сотрудниками, работниками стороннихорганизаций, посетителями), которые не допущены к их обработке и ознакомлению.

 

2. Порядок доступа сотрудников,посетителей, работников контролирующих органов в помещения, в которых

ведется обработка персональных данных

 

             2.1. Доступ сотрудников подразделений в помещения, в которых ведется обработкаперсональных данных, осуществляется для выполнения ими своих служебныхобязанностей и возложенных на них функций.

             2.2. Доступ в конкретное помещение, в котором ведется обработка персональныхданных, имеют только сотрудники, включенные в Перечень.

             2.3. Сотрудники, посетители, работники сторонних организаций, прибывшие длярешения служебных вопросов, ознакомления с документами, оформления ипредставления документов, допускаются в помещение, в котором ведется обработкаперсональных данных, с устного разрешения лиц, включенных в Перечень, инаходятся в нем в их присутствии.

             2.4. Сотрудники, прибывшие для проведения контрольных мероприятий, допускаютсяв помещение, в котором ведется обработка персональных данных, с устногоразрешения руководителя подразделения.

             2.5. Сотрудники контролирующих органов допускаются в помещение, в которомведется обработка персональных данных при наличии соответствующего предписанияна проведение контрольных мероприятий с разрешения мэра города Южно-Сахалинска(лица, его замещающего), в присутствии руководителя подразделения (лица, егозамещающего).

             2.6. Ознакомление с персональными данными лиц, прибывших для проведенияконтрольных мероприятий, осуществляется в объеме, предусмотренном планомпроверки.

             2.7. Сотрудники отвечающие за эксплуатацию средств вычислительной техники,прибывшие в помещение, в котором ведется обработка персональных данных, длявыполнения своих должностных обязанностей, допускаются в помещение, в которомведется обработка персональных данных, с разрешения руководителя подразделения(лица, его замещающего), в присутствии лиц, указанных в Перечне. Сотрудникиотдела, указанные в Перечне, при проведении работ сотрудниками указанными вышеобязаны принять меры по исключению ознакомления прибывших сотрудников сперсональными данными.

             2.8. Сотрудники сторонних организаций, прибывшие в помещение, в котором ведетсяобработка персональных данных, для выполнения работ в соответствии сзаключенным договором (контрактом), допускаются в помещение с разрешенияруководителя подразделения (лица, его замещающего). При проведении таких работ,сотрудники, указанные в Перечне, обязаны принять меры по исключению ознакомленияработников сторонних организаций с персональными данными.

 

3.Порядок сдачи и вскрытия помещений, вкоторых ведётся

обработка персональных данных, под охрану

 

             3.1. Сдачу (вскрытие) помещений, в которых ведется обработка персональных данных,под охрану осуществляют сотрудники подразделения, указанные в Перечне, илируководитель (лицо, его замещающее).

             3.2.При сдаче помещения, в котором ведется обработка персональных данных, подохрану сотрудники обязаны выполнить следующие мероприятия:

             - убрать документы с персональными данными в сейфы (запирающиеся шкафы) иопечатать их личной печатью;

             - выключить установленным порядком компьютерную технику и оргтехнику;

             - закрыть окна;

             - выключить электроприборы;

             - выключить свет;

             - закрыть входную дверь на замок и опечатать дверь помещения личной печатью;

             - сделать запись в Журнале приема и сдачи служебных помещений под охрану.

             3.3. При вскрытии помещения, в котором ведется обработка персональных данных,сотрудники, вскрывающие помещение, обязаны выполнить следующие мероприятия:

             - сделать запись в Журнале приема сдачи помещений под охрану;

             - проверить целостность печати на входной двери помещения;

             - вскрыть помещение;

             - проверить целостность печатей на сейфах (шкафах), наличие и целостностькомпьютерной и оргтехники;

- при обнаружении нарушения целостности печатей, отсутствии илицелостности компьютерной техники, других нарушениях прекратить вскрытиепомещения, доложить о выявленных нарушениях своему руководителю и референтуДепартамента мобилизационной подготовки и защиты информации.

 

 

Приложение

к Порядку доступа сотрудников

 администрации города

 Южно-Сахалинска в помещения,

в которых ведется обработка

персональных данных

 

ПЕРЕЧЕНЬ

должностных лиц, имеющих право входа впомещение № ____

___________________________ администрациигорода Южно-Сахалинска

 

Должность

ФИО

 

 

 

 

 

 

 

Руководитель____________         ________________

 

Примечание:

             сотрудники, указанные в Перечне, допускаются в помещение для выполнения своихслужебных обязанностей;

             иные сотрудники, представители сторонних организаций при решении служебныхвопросов допускаются в помещение с разрешения лиц, указанных в Перечне, инаходятся в нем в их присутствии;

             сотрудники, назначенные в состав комиссии по проведению контрольныхмероприятий, допускаются в помещение на период проверки и находятся в помещениив присутствии лиц, указанных в Перечне;

             сотрудники сторонних организаций, прибывшие для проведения контрольныхмероприятий, допускаются в помещение после получения разрешения мэра городаЮжно-Сахалинск (лица, его замещающего), на период проверки и находятся впомещении в присутствии руководителя подразделения (лица, его замещающего);

             сотрудники отвечающие за эксплуатацию средств вычислительной техники прибывшиев помещение для выполнения своих должностных обязанностей, допускаются впомещение с разрешения руководителя подразделения (лица, его замещающего), вприсутствии лиц, указанных в Перечне;

             работники сторонних организаций, прибывшие в помещение для выполнения работ всоответствии с заключенным договором (контрактом), допускаются в помещение сразрешения руководителя подразделения (лица, его замещающего) и находятся впомещении в присутствии лиц, указанных в Перечне.

Приложение №16

Утверждена

постановлением администрации

города Южно-Сахалинска

от 21.02.2020489-па

 

Инструкция

по порядку обращения с сертифицированнымисредствами

криптографической защиты информации,предназначенными

для защиты информации ограниченногодоступа, не содержащей

сведения, составляющие государственнуютайну, и криптоключами к ним

 

1. Общие положения

 

1.1. Инструкция по порядку обращения с сертифицированнымисредствами криптографической защиты информации (далее - СКЗИ), предназначеннымидля защиты информации ограниченного доступа, не содержащей сведения,составляющие государственную тайну (далее — Информация), и криптоключами к нимрегламентирует порядок обращения с криптосредствами.

         1.2. Настоящая Инструкция разработана в соответствии со следующими нормативнымиправовыми актами Российской Федерации:

          - Состав исодержание организационных и технических мер по обеспечению безопасностиперсональных данных при их обработке в информационных системах персональныхданных с использованием средств криптографической защиты информации, необходимыхдля выполнения установленных Правительством Российской Федерации требований кзащите персональных данных для каждого из уровней защищенности (утв. приказомФСБ России от 10.07.2014 № 378);

          - Положениео разработке, производстве, реализации и эксплуатации шифровальных(криптографических) средств защиты информации (утв. приказом ФСБ России от09.02.2005 № 66);

         - Инструкция оборганизации и обеспечении безопасности хранения, обработки и передачи поканалам связи с использованием средств криптографической защиты информации сограниченным доступом, не содержащей сведений, составляющих государственнуютайну (утв. приказом ФАПСИ от 13.06.2001 № 152).

          1.3. Подкриптосредством в настоящей Инструкции понимается шифровальное (криптографическое)средство, предназначенное для защиты информации.

          1.4. Ккриптосредствам (шифровальным, криптографическим средствам) относятся:

          - средствашифрования - аппаратные, программные и аппаратно-программные средства, системыи комплексы, реализующие алгоритмы криптографического преобразования информациии предназначенные для защиты информации при передаче по каналам связи и (или)для защиты информации от несанкционированного доступа при ее обработке ихранении;

         - средства имитозащиты- аппаратные, программные и аппаратно-программные средства, системы икомплексы, реализующие алгоритмы криптографического преобразования информации ипредназначенные для защиты от навязывания ложной информации;

          - средстваэлектронной подписи - аппаратные, программные и аппаратно-программные средства,обеспечивающие на основе криптографических преобразований реализацию хотя быодной из следующих функций: создание электронной цифровой подписи сиспользованием закрытого ключа электронной цифровой подписи, подтверждение сиспользованием открытого ключа электронной цифровой подписи подлинностиэлектронной цифровой подписи, создание закрытых и открытых ключей электроннойцифровой подписи;

          - средствакодирования - средства, реализующие алгоритмы криптографического преобразованияинформации с выполнением части преобразования путем ручных операций или сиспользованием автоматизированных средств на основе таких операций;

          - средстваизготовления ключевых документов (независимо от вида носителя ключевойинформации);

         - ключевыедокументы (независимо от вида носителя ключевой информации).

          1.5. Внастоящей Инструкции используются следующие понятия и определения:

          - доступ кинформации - возможность получения информации и ее использования;

          - закрытыйключ - криптоключ, который хранится пользователем системы в тайне;

          - ключевойдокумент - физический носитель определенной структуры, содержащий криптоключи;

         - компрометациякриптоключа - утрата доверия к тому, что используемые криптоключи обеспечиваютбезопасность информации;

         - контролируемаязона - пространство, в пределах которого осуществляется контроль за пребываниеми действиями лиц и (или) транспортных средств. Границей контролируемой зоныможет быть: периметр охраняемой территории предприятия (учреждения),ограждающие конструкции охраняемого здания, охраняемой части здания,выделенного помещения;

         -криптографический ключ (криптоключ) - совокупность данных, обеспечивающая выбородного конкретного криптографического преобразования из числа всех возможных вданной криптографической системе;

          - модельнарушителя - предположения о возможностях нарушителя, которые он можетиспользовать для разработки и проведения атак, а также об ограничениях на этивозможности;

          - модельугроз - перечень возможных угроз;

         - пользователькриптосредства - лицо, участвующее в эксплуатации криптосредства илииспользующее результаты его функционирования;

         - средство защитыинформации - техническое, программное средство, вещество и (или) материал,предназначенные или используемые для защиты информации.

          1.6. Дляобеспечения безопасности Информации при ее обработке в информационных системах(далее - ИС) администрации города Южно-Сахалинска (далее - Администрация)должны использоваться сертифицированные в системе сертификации ФСБ Россиикриптосредства (имеющие положительное заключение экспертной организации осоответствии требованиям нормативных документов по безопасности информации).

          1.7. Класскриптосредства определяется в соответствии с Приказом Федеральной службыбезопасности Российской Федерации от 10.07.2014 № 378 «Об утверждении Состава исодержания организационных и технических мер по обеспечению безопасностиперсональных данных при их обработке в информационных системах персональныхданных с использованием средств криптографической защиты информации,необходимых для выполнения установленных Правительством Российской Федерациитребований к защите персональных данных для каждого из уровней защищенности».

 

2. Организационная структура

 

         Безопасностьобработки Информации в ИС Администрации с использованием криптосредстворганизует и обеспечивает ответственный за эксплуатацию СКЗИ в Администрации.

 

3. Обязанности пользователей криптосредств

 

         3.1. Пользователикриптосредств допускаются к работе с ними только после получения заключениякомиссии по организации обработки и защиты персональных данных о подготовке идопуске к самостоятельной работе со средствами криптографической защитыинформации и ознакомления под роспись с настоящей Инструкцией, другимидокументами, регламентирующими организацию и обеспечение безопасностиИнформации при ее обработке в ИС Администрации.

         3.2. При наличиидвух и более пользователей криптосредств обязанности между ними должны бытьраспределены с учетом персональной ответственности за сохранностькриптосредств, ключевой, эксплуатационной и технической документации, а такжеза порученные участки работы.

         3.3. Пользователикриптосредств обязаны:

          - ненарушать конфиденциальность закрытых ключей;

         - не допускатьснятие копий с ключевых документов, содержащих закрытые ключи;

         - не допускатьвывод закрытых ключей на дисплей (монитор) автоматизированного рабочего места(далее - АРМ) или принтер;

          - недопускать записи на ключевой документ посторонней информации;

         - не допускатьустановки ключевых документов на другие АРМ;

          -обеспечить конфиденциальность информации о криптосредствах, других мерахзащиты;

          - точнособлюдать требования к обеспечению безопасности Информации, требования кобеспечению безопасности криптосредств и ключевых документов к ним;

          - хранитьключевые документы к криптосредствам в защищаемых хранилищах;

          - сдаватьключевые документы к криптосредствам при увольнении или отстранении отисполнения обязанностей;

         - своевременновыявлять и сообщать ответственному за эксплуатацию СКЗИ о ставших им известнымипопытках посторонних лиц получить сведения об используемых криптосредствах илиключевых документах к ним;

         - немедленноуведомлять ответственного за эксплуатацию СКЗИ и принимать меры попредупреждению нарушения конфиденциальности Информации при утрате или недостачекриптосредств, ключевых документов к ним, ключей от помещений, хранилищ, личныхпечатей, удостоверений, пропусков, при других фактах, которые могут привести ккомпрометации закрытых ключей, снижению уровня защищенности обрабатываемойИнформации.

 

4. Учет ключевых документов

 

         4.1. Ключевыедокументы подлежат поэкземплярному учету. Единицей поэкземплярного учетаключевых документов считается ключевой носитель информации.

          4.2. Всеэкземпляры ключевых документов выдаются пользователям криптосредств под росписьв соответствующем журнале поэкземплярного учета.

         4.3. Передачаключевых документов допускается только между пользователями криптосредств иответственным за эксплуатацию СКЗИ под роспись в соответствующем Журналепоэкземплярного учета средств криптографической защиты информации,эксплуатационной и технической документации к ним, ключевых документов.Аналогичная передача между пользователями криптосредств осуществляется списьменного разрешения ответственного за эксплуатацию СКЗИ.

          4.4. Дляисключения компрометации ключевых документов на период отсутствия пользователяи в нерабочее время, ключевые документы убираются в защищенные хранилища(ящики, шкафы) индивидуального пользования, которые в свою очередь закрываютсяна ключ и опечатываются.

         4.5. Учетэксплуатационной и технической документации к криптосредствам:

          -эксплуатационная и техническая документация к криптосредствам подлежитпоэкземплярному учету.

          4.6.Плановая смена ключевых документов:

          - заказ наизготовление очередных ключевых документов, их изготовление и получениепользователем производится заблаговременно для своевременной замены действующихключевых документов.

         4.7. Внеплановаясмена ключевых документов:

         - криптоключи, вотношении которых возникло подозрение в компрометации, а также действующиесовместно с ними другие криптоключи немедленно выводятся из действия, если инойпорядок не оговорен в эксплуатационной и технической документации ккриптосредствам.

         4.8. Уничтожениеключевых документов:

          - ключевыедокументы с неиспользованными или выведенными из действия криптоключами(исходной ключевой информацией) возвращаются ответственному за эксплуатацию СКЗИили по его указанию уничтожаются на месте пользователями криптосредств;

         - уничтожениеключевых документов производится путем стирания (разрушения) криптоключей безповреждения ключевого документа;

         - бумажные ипрочие сгораемые ключевые документы уничтожаются путем сжигания или с помощьюлюбых бумагорезательных машин с составлением соответствующего акта;

          - ключевыедокументы уничтожаются в сроки, указанные в эксплуатационной и техническойдокументации к соответствующим криптосредствам. Если срок уничтоженияэксплуатационной и технической документацией не установлен, то ключевыедокументы уничтожаются не позднее 10 (десяти) суток после вывода их из действия(окончания срока действия);

         - пользователямкриптосредств разрешается уничтожать только использованные непосредственно ими(предназначенные для них) ключевые документы. После уничтожения пользователикриптосредств уведомляют об этом ответственного за эксплуатацию СКЗИ;

          -уничтожение эксплуатационной и технической документации к криптосредствам;

          -эксплуатационная и техническая документация к криптосредствам уничтожаетсяпутем сжигания или с помощью любых бумагорезательных машин с составлениемсоответствующего акта.

 

5. Техническое обслуживание криптосредств

 

         5.1. Техническоеобслуживание криптосредств, а также другого оборудования, функционирующего скриптосредствами, смена криптоключей осуществляются в отсутствие лиц, недопущенных к работе с данными криптосредствами.

         5.2. На времяотсутствия пользователей криптосредства, а также другое оборудование,функционирующее с криптосредствами, при наличии технической возможности,выключается, отключается от линии связи и убирается в опечатываемые хранилища.В противном случае необходимо предусмотреть организационно-технические меры,исключающие возможность использования криптосредств посторонними лицами.

 

6. Опечатывание аппаратных средств

 

          Системныеблоки АРМ, на которых установлены криптосредства, должны оборудоваться средствамиконтроля за их вскрытием (опечатываются, опломбируются). Место опечатывания(опломбирования) системного блока должно быть таким, чтобы его можно быловизуально контролировать.

 

7. Порядок доступа к хранилищам

 

         Эксплуатация хранилищ:

         - пользователикриптосредств хранят эксплуатационную и техническую документацию ккриптосредствам, ключевые документы в хранилищах (ящиках, шкафах)индивидуального пользования в условиях, исключающих бесконтрольный доступ кним, а также их непреднамеренное уничтожение;

          - должнобыть предусмотрено раздельное безопасное хранение пользователями криптосредствдействующих и резервных ключевых документов, предназначенных для применения вслучае компрометации действующих ключевых документов;

         - принеобходимости доступа к содержимому хранилища сотрудник, ответственный заданное хранилище, проверяет целостность хранилища, открывает механический замокхранилища с использованием ключа;

          - поокончании работы сотрудник закрывает и опечатывает хранилище, за которое онответственен;

         - печати,предназначенные для опечатывания хранилищ, должны находиться у сотрудников,ответственных за данные хранилища.

 

8. Контроль безопасности криптосредств

 

          Текущийконтроль за организацией и обеспечением функционирования криптосредстввозлагается на ответственного за эксплуатацию СКЗИ в пределах его полномочий.

 

9. Ответственность за нарушение требований

 

          9.1.Пользователи криптосредств несут персональную ответственность за сохранностьполученных криптосредств, эксплуатационной и технической документации ккриптосредствам, ключевых документов, за соблюдение положений настоящейИнструкции.

         9.2.Ответственный за эксплуатацию СКЗИ несет ответственность за соответствие проводимыхим мероприятий по организации и обеспечению безопасности обработки Информации сиспользованием криптосредств лицензионным требованиям и условиямэксплуатационной и технической документации к криптосредствам, а такженастоящей Инструкции.

Приложение №17

Утверждена

постановлением администрации

города Южно-Сахалинска

от 21.02.2020489-па

 

Инструкция

ответственного за эксплуатацию средств

криптографической защиты информации

 

1. Общие положения

             1.1. Настоящая Инструкция ответственного за эксплуатацию средствкриптографической защиты информации (далее – СКЗИ) в Администрации городаЮжно-Сахалинска определяет основные обязанности и права ответственного заэксплуатацию СКЗИ.

             1.2. Ответственный за эксплуатацию СКЗИ назначается постановлениемАдминистрации города Южно-Сахалинска и отвечает за организацию, обеспечениефункционирования и безопасность СКЗИ, предназначенных для защиты персональныхданных при их обработке в информационных системах персональных данных (далее –ИСПДн).

             1.3. Ответственный за эксплуатацию СКЗИ должен знать нормы действующегозаконодательства Российской Федерации в сфере (области) обработки и обеспечениябезопасности персональных данных, а также в области защиты информации при еепередаче по открытым каналам связи с использованием СКЗИ.

             1.4. В своей деятельности, связанной с обработкой персональных данных,ответственный за эксплуатацию СКЗИ руководствуется настоящей Инструкцией.

 

2. Обязанности ответственного за эксплуатацию СКЗИ

 

             2.1. Вести поэкземплярный учет используемых криптосредств, эксплуатационной итехнической документации к ним в соответствующем журнале.

             2.2. Вести учет лиц, допущенных к работе с криптосредствами, предназначеннымидля обеспечения безопасности информации в соответствующем журнале.

             2.3. Осуществлять контроль за соблюдением условий использования криптосредств,установленных в эксплуатационной и технической документации на СКЗИ.

            2.4. Не разглашать информацию, к которой он допущен, в том числе сведения окриптосредствах, ключевых документах к ним и других мерах защиты.

             2.5. Соблюдать требования к обеспечению безопасности информации и требования кобеспечению безопасности криптосредств и ключевых документов к ним.

             2.6. Сообщать о ставших ему известными попытках посторонних лиц получитьсведения об используемых криптосредствах или ключевых документах к нимДиректору департамента мобилизационной подготовки и защиты информации.

             2.7. Немедленно уведомлять Директора департамента мобилизационной подготовки изащиты информации о фактах утраты или недостачи криптосредств, ключевыхдокументов к ним, ключей от помещений, хранилищ, личных печатей и о другихфактах, которые могут привести к разглашению информации ограниченного доступа.

             2.8. Сдать криптосредства, эксплуатационную и техническую документацию к ним,ключевые документы при увольнении или отстранении от исполнения обязанностей,связанных с использованием криптосредств.

             2.9. Осуществлять ведение журнала поэкземплярного учёта средствкриптографической защиты информации, эксплуатационной и техническойдокументации к ним, ключевых документов и журнала учёта хранилищ с ключевымидокументами, а также ведение личных карточек (лицевых счетов) на каждогопользователя криптосредств.

 

3. Права ответственного за эксплуатацию СКЗИ

 

             3.1. Инициировать разбирательство и составление заключений по фактам нарушенияусловий использования криптосредств, которые могут привести к нарушениюбезопасности информации или другим нарушениям, приводящим к снижению уровнязащищенности.

         3.2. Инициироватьразработку и принятие мер по предотвращению возможных опасных последствийподобных нарушений.

Приложение №18

Утверждена

постановлением администрации

города Южно-Сахалинска

от 21.02.2020489-па

 

 

Политика

в отношении обработки персональных данных

 

 

1. Общие положения

 

             1.1. Настоящая Политика в отношении обработки персональных данных (далее —Политика) определяет принципы, порядок и условия обработки персональных данныхсотрудников, соискателей и контрагентов администрации города Южно-Сахалинска ииных лиц, чьи персональные данные обрабатываются администрацией городаЮжно-Сахалинска, с целью обеспечения защиты прав и свобод человека и гражданинапри обработке его персональных данных, в том числе защиты прав нанеприкосновенность частной жизни, личную и семейную тайну, а такжеустанавливает ответственность должностных лиц, имеющих доступ к персональнымданным, за невыполнение требований норм, регулирующих обработку и защитуперсональных данных.

             1.2. Обеспечение конфиденциальности и безопасности обработки персональныхданных в администрации города Южно-Сахалинска является одной из приоритетныхзадач.

             1.3. В администрации города Южно-Сахалинска для этих целей введен в действиекомплект организационно-распорядительной документации, обязательный кисполнению всеми сотрудниками администрации города Южно-Сахалинска, допущеннымик обработке персональных данных.

             1.4. Обработка, хранение и обеспечение конфиденциальности и безопасностиперсональных данных осуществляется в соответствии с действующимзаконодательством Российской Федерации в сфере защиты персональных данных, и всоответствии с муниципальными правовыми актами администрации городаЮжно-Сахалинска.

             1.5. В настоящей Политике используются понятия, установленные в Федеральномзаконе от 27.07.2006 №152-ФЗ «О персональных данных (далее-Федеральный закон№152-ФЗ).

              1.6. Администрация города Южно-Сахалинска является оператором,организующим и осуществляющим обработку персональных данных, а так жеопределяющим цели обработки персональных данных, состав персональных данных,подлежащих обработке, действия (операции), совершаемые с персональными данными.

 

2. Понятие и состав персональных данных

 

             2.1. Сведениями, составляющими персональные данные, в администрации городаЮжно-Сахалинска является любая информация, относящаяся к прямо или косвенноопределенному или определяемому физическому лицу (субъекту персональныхданных).

             2.2. Перечень персональных данных, подлежащих защите в администрации городаЮжно-Сахалинска определятся целями их обработки, Федеральным законом № 152-ФЗ,Трудовым кодексом РФ и другими нормативно-правовыми актами.

             2.3. В администрации города Южно-Сахалинска утвержден перечень персональныхданных подлежащих защите.

             2.4. В администрации города Южно-Сахалинска обрабатываются следующиеперсональные данные сотрудников: фамилия, имя, отчество, пол, дата рождения,информация о смене фамилии, имени, отчества, дата рождения и место рождения;гражданство, документ, удостоверяющий личность (серия, номер, когда и кем выдан),заграничный паспорт, место рождения, место жительства и дата регистрации поместу жительства, информация о гражданстве, номера контактных телефонов,семейное положение, состав семьи (с указанием даты рождения, месте учебы(работы), отношение к воинской обязанности, воинское звание, состав рода войск,военный билет, приписное свидетельство, сведения о постановке на воинский учети прохождении службы в Вооруженных Силах, сведения о получениипрофессионального и дополнительного образования (наименование образовательногоучреждения, специальность и квалификация по документу об образовании; документоб образовании, его серия и номер, дата выдачи), сведения об уровне специальныхзнаний (работа на компьютере, знание иностранного языка),сведения опрофессиональной переподготовке, повышении квалификации, стажировке, ученаястепень, сведения о трудовой деятельности, общем трудовом стаже и стажегосударственной и/или муниципальной службы; сведения о замещаемой (занимаемой)должности; сведения о классных чинах, специальных званиях; сведения о состоянииздоровья и его соответствии выполняемой работе, наличии группы инвалидности истепени ограничения способности к трудовой деятельности; сведения об отпусках икомандировках, сведения о прохождении аттестации, сведения о награждении(поощрении), сведения о взысканиях, сведения об отсутствии медицинскихпротивопоказаний для прохождения муниципальной службы, сведения о пребывании заграницей, сведения о судимости, сведения о допуске к государственной тайне,сведения о пенсионном обеспечении, сведения о трудовом договоре, реквизитыидентификационного номера налогоплательщика (ИНН), реквизиты страхового номераиндивидуального лицевого счета в Пенсионном фонде Российской Федерации (СНИЛС),реквизиты полиса обязательного медицинского страхования, реквизитысвидетельства государственной регистрации актов гражданского состояния,сведения о доходах, имуществе и обязательствах имущественного характера ичленов его семьи (в случаях, установленных законодательством) сведения осоциальных льготах; номера банковских счетов, фотография.

 

             2.5. В администрации города Южно-Сахалинска обрабатываются следующиеперсональные данные в связи с предоставлением государственных и муниципальныхуслуг и исполнение муниципальных функций: фамилия, имя, отчество, документ,удостоверяющий личность (серия, номер, когда и кем выдан), дата рождения, месторождения, дееспособность, наличие группы инвалидности, наличие статуса ветеранВОВ, наличие статуса многодетная семья, место жительства и дата регистрации поместу жительства, место работы, сведения о получении профессионального идополнительного образования (наименование образовательного учреждения,специальность и квалификация по документу об образовании; документ обобразовании, его серия и номер, дата выдачи), номера контактных телефонов,сведения об уровне специальных знаний (работа на компьютере, знаниеиностранного языка), сведения о профессиональной переподготовке, повышенииквалификации, стажировке, реквизиты идентификационного номера налогоплательщика(ИНН), реквизиты страхового номера индивидуального лицевого счета в Пенсионномфонде Российской Федерации (СНИЛС), номера банковских счетов, сведения обимуществе, сведения о доходах, сведения о родственниках, сведения о судимости иреквизиты справки об освобождении, сведения о размере пенсии, сведения осостоянии здоровья.

 

3. Цели сбора персональных данных

 

             Администрация города Южно-Сахалинска осуществляет обработку персональных данныхв следующих целях:

             - организация кадрового учета, обеспечение соблюдения законов и иныхнормативно-правовых актов, ведение кадрового делопроизводства, исполнениетребований налогового законодательства в связи с исчислением и уплатой налогана доходы физических лиц, а также единого социального налога, пенсионногозаконодательства при формировании и представлении персонифицированных данных окаждом получателе доходов, учитываемых при начислении страховых взносов наобязательное пенсионное страхование и обеспечение, заполнение первичной статистическойдокументации;

             - подбор кандидатов на вакантные должности;

             - предоставление государственных и муниципальных услуг и исполнениемуниципальных функций.

 

4. Правовые основания обработки персональных данных

 

             Персональные данные в администрации города Южно-Сахалинска обрабатываются наосновании:

             - Трудового кодекса Российской Федерации;

             - Федерального закона №152-ФЗ ;

             - Федерального закона от 02.05.2006 №59-ФЗ «О порядке рассмотрения обращенийграждан Российской Федерации»;

             - Федерального закона от 27.07.2010 № 210-ФЗ «Об организации предоставлениягосударственных и муниципальных услуг»;

             - Федерального закона от 02.03.2007 №25-ФЗ «О муниципальной службе в РоссийскойФедерации»;

             - договоров, заключаемых между администрацией города Южно-Сахалинска исубъектом персональных данных;

             - согласия на обработку персональных данных.

 

5. Сроки обработки персональных данных

 

             5.1. Сроки обработки персональных данных определяются в соответствии со срокомдействия договора (соглашением) с субъектом персональных данных, ПриказомМинкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовыхуправленческих архивных документов, образующихся в процессе деятельностигосударственных органов, органов местного самоуправления и организаций, суказанием сроков хранения», сроком исковой давности, а также иными требованиямизаконодательства РФ.

             5.2. В администрации города Южно-Сахалинска создаются и хранятся документы,содержащие сведения о субъектах персональных данных.

             5.3. Требования к использованию в администрации города Южно-Сахалинска данныхтиповых форм документов установлены постановлением Правительства РоссийскойФедерации от 15.09.2008 № 687 «Об утверждении Положения об особенностяхобработки персональных данных, осуществляемой без использования средствавтоматизации».

 

6. Права и обязанности

 

             6.1. Администрация города Южно-Сахалинска как оператор персональных данных вправе:

             - отстаивать свои интересы в суде;

             - предоставлять персональные данные субъектов третьим лицам, если этопредусмотрено действующим законодательством (налоговые, правоохранительныеорганы и др.);

             - отказывать в предоставлении персональных данных в случаях предусмотренныхфедеральным законодательством;

             - использовать персональные данные субъекта без его согласия, в случаяхпредусмотренных федеральным законодательством.

             6.2. Администрация города Южно-Сахалинска, как оператор персональных данныхобязана:

             - обеспечить каждому субъекту персональных данных возможность ознакомления сдокументами и материалами, содержащими его персональные данные, если иное непредусмотрено федеральным законом;

             - внести необходимые изменения, уничтожить или блокировать персональные данныев случае предоставления субъектом неполных, устаревших, недостоверных илинезаконно полученных персональных данных, а также уведомить о своих действияхсубъекта персональных данных;

             - выполнять иные обязанности оператора, предусмотренные Федеральным законом№152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами.

             6.3. Субъект персональных данных имеет право:

             - требовать уточнения своих персональных данных, их блокирования илиуничтожения в случае, если персональные данные являются неполными, устаревшими,недостоверными, незаконно полученными или не являются необходимыми длязаявленной цели обработки, а также принимать предусмотренные законом меры позащите своих прав;

             - требовать перечень своих персональных данных, обрабатываемых администрациейгорода Южно-Сахалинска и источник их получения;

             - получать информацию о сроках обработки своих персональных данных, в том числео сроках их хранения;

             - требовать извещения всех лиц, которым ранее были сообщены неверные илинеполные его персональные данные, обо всех произведенных в них исключениях,исправлениях или дополнениях;

             - обжаловать в уполномоченный орган по защите прав субъектов персональныхданных или в судебном порядке неправомерные действия или бездействия приобработке его персональных данных;

             - на получение информации, касающейся обработки его персональных данных, в томчисле содержащей иные сведения, предусмотренные Федеральным законом №152-ФЗ идругими федеральными законами.

             

7. Порядок и условия обработки персональных данных

 

             7.1. Администрация города Южно-Сахалинска осуществляет как автоматизированную,так и неавтоматизированную обработку персональных данных.

             7.2. Под обработкой персональных данных в администрации города Южно-Сахалинскапонимается сбор, запись, систематизация, накопление, хранение, уточнение(обновление, изменение), извлечение, использование, передача (распространение,предоставление, доступ), обезличивание, блокирование, удаление, уничтожениеперсональных данных.

             7.3. Персональные данные не передаются третьим лицам, за исключением случаев,предусмотренных законодательством Российской Федерации.

             7.4 Оператор вправе передавать персональные данные органам дознания иследствия, иным уполномоченным органам по основаниям, предусмотреннымдействующим законодательством Российской Федерации.

             7.5. Обработка персональных данных в администрации города Южно-Сахалинскапроизводится на основе соблюдения принципов:

             - законности целей и способов обработки персональных данных;

             - соответствия целей обработки персональных данных целям, заранее определенными заявленным при сборе персональных данных;

             - соответствия объема и характера обрабатываемых персональных данных, способовобработки персональных данных целям обработки персональных данных;

             - достоверности персональных данных, их достаточности для целей обработки,недопустимости обработки персональных данных, избыточных по отношению к целям,заявленным при сборе персональных данных;

             - недопустимости объединения созданных для несовместимых между собой целей базданных, содержащих персональные данные;

             - хранения персональных данных в форме, позволяющей определить субъектаперсональных данных, не дольше, чем этого требуют цели их обработки;

             - уничтожения по достижении целей обработки персональных данных или в случаеутраты необходимости в их достижении.

             7.6. Отказ контрагента или сотрудника администрации города Южно-Сахалинска отпредоставления согласия на обработку его персональных данных влечет за собойневозможность достижения целей обработки.

 

8. Обеспечение безопасности персональных данных

 

             8.1. Администрация города Южно-Сахалинска предпринимает необходимыеорганизационные и технические меры для обеспечения безопасности персональныхданных от случайного или несанкционированного доступа, уничтожения, изменения,блокирования доступа и других несанкционированных действий.

             8.2. Администрация города Южно-Сахалинска для обеспечения безопасностиперсональных данных осуществляет следующие меры:

             - назначение лица, ответственного за организацию обработки персональных данных;

             - назначение администратора безопасности информационной системы персональныхданных;

             - принятие документов, определяющих политику администрации городаЮжно-Сахалинска в отношении обработки персональных данных и устанавливающихпроцедуры, направленные на предотвращение и выявление нарушенийзаконодательства Российской Федерации, устранение последствий таких нарушений;

             - осуществление внутреннего контроля соответствия обработки персональных данныхзаконодательству Российской Федерации в данной сфере;

             - разработка модели угроз безопасности, в которой при определении опасностиугроз проводится оценка вреда, который может быть причинен субъектамперсональных данных в случае нарушения Федерального закона №152-ФЗ;

             - для информационной системы персональных данных разработка техническогозадания на создание системы защиты информации;

             - проведение оценки эффективности принимаемых мер по обеспечению безопасностиперсональных данных;

             - ознакомление сотрудников, допущенных к обработке персональных данных сположениями законодательства Российской Федерации о персональных данных идокументами определяющими политику администрации города Южно-Сахалинска вотношении обработки персональных данных;

             - контроль за принимаемыми мерами по обеспечению безопасности персональныхданных и уровня защищенности информационных систем персональных данных.

 

9. Заключительные положения

 

             9.1. К настоящей Политике обеспечивается неограниченный доступ.

             9.2. Настоящая Политика подлежит изменению, дополнению в случае появления новыхзаконодательных актов и специальных нормативных документов по обработке изащите персональных данных, но не реже одного раза в три года.

             9.3. Контроль исполнения требований настоящей Политики осуществляетсяответственным за организацию обработки персональных данных в администрациигорода Южно-Сахалинска.

         9.4.Ответственность должностных лиц администрации города Южно-Сахалинска, имеющихдоступ к персональным данным, за невыполнение требований норм, регулирующихобработку и защиту персональных данных, определяется в соответствии сзаконодательством Российской Федерации и внутренними документами администрациигорода Южно-Сахалинска.