Приказ по обеспечению безопасности
14.09.2014 19:46
МБДОУ детский сад «Светлячок» с. Поселки
П Р И К А З
от 10.04. 2014 г. № 29
О мерах по обеспечению безопасности персональных данных
В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (с изменениями), постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» (с изменениями), Федеральным законом от 27.07.2006 №149-Ф3 «Об информации, информационных технологиях и о защите информации» (с изменениями),
Приказываю:
- Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в МБДОУ детском саду «Светлячок» с. Посёлки, согласно Приложению 1.
- Утвердить Правила работы с обезличенными персональными данными в МБДОУ детском саду «Светлячок» с. Посёлки, согласно Приложению 2.
- Утвердить Порядок доступа сотрудников МБДОУ детском саду «Светлячок» с. Посёлки, сотрудников филиала МБДОУ детского сада «Светлячок» с. Посёлки – детского сада «Колосок» с. Никольское в помещения, в которых ведется обработка персональных данных, согласно Приложению 3.
- Настоящий приказ довести до уполномоченных лиц МБДОУ детского сада «Светлячок» с. Посёлки, филиала МБДОУ детского сада «Светлячок» с. Посёлки – детского сада «Колосок» с. Никольское осуществляющих обработку персональных данных.
- Опубликовать настоящий приказ в информационно-телекоммуникационной сети «Интернет» на официальном сайте МБДОУ детского сада «Светлячок» с. Посёлки в течение 10 дней со дня его утверждения.
- Настоящий приказ вступает в силу со дня его подписания.
- Контроль за исполнением настоящего приказа оставляю за собой
Заведующая МБДОУ детским садом
«Светлячок» с.Поселки И.А.Маришева
Приложение 1
к приказу «О мерах по обеспечению
безопасности персональных данных»
от 10.04.2014г. № 29
Правила
осуществления внутреннего контроля соответствия обработки
персональных данных требованиям к защите персональных данных
в МБДОУ детском саду «Светлячок» с. Посёлки
1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в МБДОУ детском саду «Светлячок» с. Посёлки (далее – Правила) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
2. Настоящие Правила разработаны в соответствии Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (с изменениями), Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» (с изменениями), Федеральным законом от 02.03.2007 № 25-ФЗ «О муниципальной службе в Российской Федерации» (с изменениями), Трудовым кодексом Российской Федерации, постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» (с изменениями) и другими нормативными правовыми актами.
3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (с изменениями).
4. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в МБДОУ детском саду «Светлячок» с. Посёлки (далее – Детский сад) организовывается проведение периодических проверок условий обработки персональных данных.
5. Проверки осуществляются должностным лицом, ответственным за организацию обработки персональных данных в Детском саду (далее - ответственный), либо комиссией, утвержденной приказом заведующего Детским садом (далее – комиссия).
В проведение проверки не может участвовать работник Детского сада, прямо или косвенно заинтересованный в её результатах.
6. Проверки соответствия обработки персональных данных установленным требованиям к защите персональных данных в Детском саду могут быть плановыми и внеплановыми.
Плановые проверки проводятся в соответствии с ежегодным планом проведения проверок, утвержденным приказом заведующего Детским садом. План проведения проверок разрабатывается ответственным лицом в Детском саду.
Внеплановые проверки проводятся на основании поступившего в Детский сад на имя заведующего письменного заявления физического лица (субъекта персональных данных) о нарушениях правил обработки персональных данных. В течение трех рабочих дней с момента поступления в Детский сад заявления о нарушениях правил обработки персональных данных принимается решение о проведении внеплановой проверки, которое оформляется приказом заведующего Детским садом. Проведение внеплановой проверки организуется в течение трех рабочих дней с момента подписания приказа заведующего Детским садом о проведении внеплановой проверки.
7. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
- порядок и условия применения средств защиты информации;
- эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- состояние учета машинных носителей персональных данных;
- соблюдение правил доступа к персональным данным;
- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
- мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- осуществление мероприятий по обеспечению целостности персональных данных.
8. Ответственный в Детском саду имеет право:
- запрашивать у сотрудников Детского сада информацию, необходимую для реализации полномочий;
- требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожении недостоверных или полученных незаконным путем персональных данных;
- вносить предложения по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
- вносить предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
- вносить предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
9. При выявлении в ходе проверки нарушений составляется Акт проведения проверки условий обработки персональных данных в МБДОУ детском саду «Светлячок» с. Посёлки по форме, согласно приложению №1 к настоящим Правилам.
10. Акты хранятся у ответственного в течении текущего года. Уничтожение актов проводится ответственным самостоятельно в январе, следующего за проверочным годом.
11. Проверка должна быть завершена не позднее чем через месяц со дня принятия решения о её проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений ответственный докладывает председателю комиссии, в форме письменного заключения.
12. Устранение выявленных нарушений проводится не позднее 30 дней с момента завершения проверки.
13. В отношении персональных данных, ставших известными ответственному в администрации в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
Приложение к Правилам осуществления внутреннего
контроля соответствия обработки персональных данных требованиям к защите персональных данных
в МБДОУ детском саду «Светлячок»
с. Посёлки
Акт проведения проверки условий обработки персональных данных в МБДОУ детском саду «Светлячок» с. Посёлки
Настоящий Акт составлен в том, что ____._____.20___ года, ответственным за организацию обработки персональных данных в МБДОУ детском саду «Светлячок» с. Посёлки (далее - ответственный) проведена проверка ______________________________________________________________________
____________________________________________________________________________________________________________________________________________
(тема проверки)
Проверка осуществлялась в соответствии с требованиями ________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
(название документа)
В ходе проверки проверено:______________________________________________
____________________________________________________________________________________________________________________________________
Выявленные нарушения: ____________________________________________
________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Меры по устранению нарушений: _____________________________________
______________________________________________________________________________________________________________________________________________________________________________________________________
Срок устранения нарушений:_________________________________________
Должность ответственного___________________________________________
__________________ ___________________________ ____ __________ 20___
(подпись) (расшифровка подписи)
Приложение 2
к приказу «О мерах по обеспечению
безопасности персональных данных»
от 10.04.2014г. № 29
Правила
работы с обезличенными персональными данными
в МБДОУ детском саду «Светлячок» с. Посёлки
- Общие положения
- Настоящие Правила работы с обезличенными персональными данными в МБДОУ детском саду «Светлячок» с. Посёлки (далее – Детский сад) разработаны в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» (с изменениями), приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
- Настоящие Правила определяют порядок работы с обезличенными данными администрации.
2. Термины и определения
В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» в настоящих Правилах используются следующие понятия:
персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
3. Условия обезличивания
3.1. Обезличивание персональных данных проводится с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных в Детском саду.
3.2. Способы обезличивания при условии дальнейшей обработки персональных данных:
- уменьшение перечня обрабатываемых сведений;
- замена части сведений идентификаторами;
- понижение точности некоторых сведений (например, «Место жительства» может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только населенный пункт);
- деление сведений на части и обработка в разных информационных системах.
3.3. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
3.4. Перечень должностей муниципальных служащих администрации, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, приведен в Приложении к настоящим Правилам.
4. Порядок обезличивания персональных данных.
4.1 Детский сад издает приказ о необходимости обезличивания персональных данных.
4.2 старшие воспитатели Детского сада и филиала Детского сада, непосредственно осуществляющие обработку персональных данных, готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания.
5. Порядок работы с обезличенными персональными данными
5.1. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
5.2. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
5.3. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
- парольной политики;
- антивирусной политики;
- правил работы со съемными носителями;
- правил резервного копирования;
- правил доступа в помещения, в которых ведется обработка персональных данных.
5.4. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
- правил хранения бумажных носителей;
- правил доступа в помещения, где они хранятся.
Приложение
к Правилам работы с
обезличенными персональными
данными в МБДОУ детском саду «Светлячок» с. Посёлки
Перечень должностей МБДОУ детского сада «Светлячок» с. Посёлки, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных
- Заведующий МБДОУ детским садом «Светлячок» с. Посёлки.
- Старший воспитатель МБДОУ детского сада «Светлячок» с. Посёлки.
- Старший воспитатель филиала МБДОУ детского сада «Светлячок» с. Посёлки – детского сада «Колосок» с. Никольское.
- Главный бухгалтер МБДОУ детского сада «Светлячок» с. Посёлки.
- Педагоги МБДОУ детского сада «Светлячок» с. Посёлки.
- Завхозы МБДОУ детского сада «Светлячок» с. Посёлки.
Приложение 3
к приказу «О мерах по обеспечению
безопасности персональных данных»
от 10.04.2014г. № 29
Порядок
доступа сотрудников МБДОУ детского сада «Светлячок» с. Посёлки, сотрудников филиала МБДОУ детского сада «Светлячок» с. Посёлки – детского сада «Колосок» с. Никольское в помещения, в которых ведется обработка персональных данных
- Настоящий Порядок доступа сотрудников МБДОУ детского сада «Светлячок» с. Посёлки, сотрудников филиала МБДОУ детского сада «Светлячок» с. Посёлки – детского сада «Колосок» с. Никольское, в которых ведется обработка персональных данных (далее – Порядок) разработан в соответствии с Федеральным законом от 27 июля 2006 г. № 152 ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», Постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.
- Персональные данные относятся к конфиденциальной информации. Должностные лица Детского сада (далее – должностные лица), получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
- Обеспечение безопасности персональных данных от уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных достигается, в том числе, установлением правил доступа в помещения, где обрабатываются персональные данные в информационных системах персональных данных.
4. Для помещений, в которых обрабатываются персональные данные,
организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а
также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц. При хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
- В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, допускаются только должностные лица, уполномоченные на обработку персональных данных правовым актом Детского сада.
- Нахождения лиц в помещениях Детского сада, не являющихся уполномоченными лицами на обработку персональных данных, возможно только в сопровождении ответственного сотрудника Детского сада на время, ограниченное необходимостью решения вопросов, связанных с осуществлением полномочий в рамках договоров, заключенных с Детским садом.
- Ответственными за организацию доступа в помещения Детского сада, в которых ведется обработка персональных данных, являются старшие воспитатели, главный бухгалтер.
- Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, проводится ответственным за организацию обработки персональных данных в МБДОУ детском саду «Светлячок» с. Посёлки.
———
Назад