Приказ по обеспечению безопасности

14.09.2014 19:46

 

 

МБДОУ детский сад «Светлячок» с. Поселки

 

П Р И К А З

 

                 от  10.04. 2014 г.                                                                               № 29

О мерах по обеспечению безопасности персональных данных

В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (с изменениями), постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» (с изменениями), Федеральным законом от 27.07.2006 №149-Ф3 «Об информации, информационных технологиях и о защите информации» (с изменениями),

Приказываю:

  1. Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в МБДОУ детском саду «Светлячок» с. Посёлки, согласно Приложению 1.
  2. Утвердить Правила работы с обезличенными персональными данными в МБДОУ детском саду «Светлячок» с. Посёлки, согласно Приложению 2.
  3. Утвердить Порядок доступа сотрудников МБДОУ детском саду «Светлячок» с. Посёлки, сотрудников филиала МБДОУ детского сада «Светлячок» с. Посёлки – детского сада «Колосок» с. Никольское в помещения, в которых ведется обработка персональных данных, согласно Приложению 3.
  4. Настоящий приказ довести до уполномоченных лиц МБДОУ детского сада «Светлячок» с. Посёлки, филиала МБДОУ детского сада «Светлячок» с. Посёлки – детского сада «Колосок» с. Никольское   осуществляющих обработку персональных данных.
  5.  Опубликовать настоящий приказ в информационно-телекоммуникационной сети «Интернет» на официальном сайте МБДОУ детского сада «Светлячок» с. Посёлки в течение 10 дней со дня его утверждения.
  6.  Настоящий приказ вступает в силу со дня его подписания.
  7. Контроль за исполнением настоящего приказа оставляю за собой

 

Заведующая МБДОУ детским садом

«Светлячок» с.Поселки                                           И.А.Маришева

Приложение 1

к приказу «О мерах по обеспечению

безопасности персональных данных»

от  10.04.2014г. №  29

 

 

Правила

осуществления внутреннего контроля соответствия обработки

персональных данных требованиям к защите персональных данных

в МБДОУ детском саду «Светлячок» с. Посёлки

 

1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в МБДОУ детском саду «Светлячок» с. Посёлки (далее – Правила) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

2. Настоящие Правила разработаны в соответствии Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (с изменениями), Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» (с изменениями), Федеральным законом от 02.03.2007 № 25-ФЗ «О муниципальной службе в Российской Федерации» (с изменениями), Трудовым кодексом Российской Федерации, постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» (с изменениями) и другими нормативными правовыми актами.

3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (с изменениями).

4. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в МБДОУ детском саду «Светлячок» с. Посёлки (далее – Детский сад) организовывается проведение периодических проверок условий обработки персональных данных.

           5. Проверки осуществляются должностным лицом, ответственным за организацию обработки персональных данных в Детском саду (далее - ответственный), либо комиссией, утвержденной приказом  заведующего Детским садом (далее – комиссия).

В проведение проверки не может участвовать работник Детского сада, прямо или косвенно заинтересованный в её результатах.

         6. Проверки соответствия обработки персональных данных установленным требованиям к защите персональных данных в Детском саду могут быть плановыми и внеплановыми.

         Плановые проверки проводятся в соответствии с ежегодным планом проведения проверок, утвержденным  приказом заведующего Детским садом. План проведения проверок разрабатывается ответственным лицом в Детском саду.

       Внеплановые проверки проводятся на основании поступившего в Детский сад на имя заведующего письменного заявления физического лица (субъекта персональных данных) о нарушениях правил обработки персональных данных. В течение трех рабочих дней с момента поступления в Детский сад заявления о нарушениях правил обработки персональных данных принимается решение о проведении внеплановой проверки, которое оформляется приказом заведующего Детским садом. Проведение внеплановой проверки организуется в течение трех рабочих дней с момента подписания приказа заведующего Детским садом о проведении внеплановой проверки.

7. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:

- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

- порядок и условия применения средств защиты информации;

- эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- состояние учета машинных носителей персональных данных;

- соблюдение правил доступа к персональным данным;

- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

- мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- осуществление мероприятий по обеспечению целостности персональных данных.

8. Ответственный в Детском саду имеет право:

- запрашивать у сотрудников Детского сада информацию, необходимую для реализации полномочий;

- требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожении недостоверных или полученных незаконным путем персональных данных;

- вносить предложения по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

- вносить предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;

- вносить предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.

   9. При выявлении в ходе проверки нарушений составляется Акт проведения проверки условий обработки персональных данных в МБДОУ детском саду «Светлячок» с. Посёлки по форме, согласно приложению №1 к настоящим Правилам.

10. Акты хранятся у ответственного в течении текущего года. Уничтожение актов проводится ответственным самостоятельно в январе, следующего за проверочным годом.

      11. Проверка должна быть завершена не позднее чем через месяц со дня принятия решения о её проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений ответственный докладывает  председателю комиссии, в форме письменного заключения.

12. Устранение выявленных нарушений проводится не позднее 30 дней с момента  завершения  проверки.

13. В отношении персональных данных, ставших известными ответственному в администрации в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

                                                                            

 

Приложение                                                                                             к  Правилам осуществления внутреннего

контроля  соответствия обработки персональных данных требованиям к защите персональных данных

в МБДОУ детском саду «Светлячок»

с. Посёлки

                                                                               

 

Акт проведения проверки условий обработки персональных данных в МБДОУ детском саду «Светлячок» с. Посёлки

 

Настоящий Акт составлен в том, что ____._____.20___ года, ответственным за организацию обработки персональных данных в МБДОУ детском саду «Светлячок» с. Посёлки (далее - ответственный)  проведена проверка ______________________________________________________________________

____________________________________________________________________________________________________________________________________________

(тема проверки)                                                             

Проверка осуществлялась в соответствии с требованиями ________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

(название документа)

В ходе проверки проверено:______________________________________________

____________________________________________________________________________________________________________________________________

Выявленные нарушения: ____________________________________________

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Меры по устранению нарушений: _____________________________________

______________________________________________________________________________________________________________________________________________________________________________________________________

Срок устранения нарушений:_________________________________________

 

Должность ответственного___________________________________________

__________________ ___________________________  ____ __________ 20___

       (подпись)                  (расшифровка подписи)

 

 

 

 

 

 

Приложение 2

к приказу «О мерах по обеспечению

безопасности персональных данных»

от  10.04.2014г. №  29

Правила

работы с обезличенными персональными данными

в МБДОУ детском саду «Светлячок» с. Посёлки

 

  1. Общие положения

 

  1. Настоящие Правила работы с обезличенными персональными данными в  МБДОУ детском саду «Светлячок» с. Посёлки (далее – Детский сад) разработаны в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»,  постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» (с изменениями), приказа  Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
  2. Настоящие Правила определяют порядок работы с обезличенными данными администрации.

 

2.      Термины и определения

 

В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» в настоящих Правилах используются следующие понятия:

персональные данные – любая информация, относящаяся  прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

 

3.      Условия обезличивания

 

3.1.  Обезличивание персональных данных проводится с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных в Детском саду.

3.2. Способы обезличивания при условии дальнейшей обработки персональных данных:

- уменьшение перечня обрабатываемых сведений;

- замена части сведений идентификаторами;

- понижение точности некоторых сведений (например, «Место жительства» может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только населенный пункт);

- деление сведений на части и обработка в разных информационных системах.

3.3. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.

3.4. Перечень должностей муниципальных  служащих  администрации, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, приведен в Приложении  к настоящим Правилам.

 

4. Порядок обезличивания персональных данных.

 

4.1 Детский сад издает приказ о необходимости обезличивания персональных данных.

4.2 старшие воспитатели Детского сада и филиала Детского сада, непосредственно осуществляющие обработку персональных данных, готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания.

 

5. Порядок работы с обезличенными персональными данными

 

5.1. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.

5.2. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.

5.3. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:

- парольной политики;

- антивирусной политики;

- правил работы со съемными носителями;

- правил резервного копирования;

- правил доступа в помещения, в которых ведется обработка персональных данных.

5.4. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:

- правил хранения бумажных носителей;

- правил доступа в помещения, где они хранятся.

 

 

 

 

 

Приложение

к  Правилам работы с
обезличенными персональными

данными  в МБДОУ детском саду «Светлячок» с. Посёлки

 

 

 

Перечень должностей МБДОУ детского сада «Светлячок» с. Посёлки, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных

 

 

  1. Заведующий МБДОУ детским садом «Светлячок» с. Посёлки.
  2. Старший воспитатель МБДОУ детского сада «Светлячок» с. Посёлки.
  3. Старший воспитатель филиала МБДОУ детского сада «Светлячок» с. Посёлки – детского сада «Колосок» с. Никольское.
  4. Главный бухгалтер МБДОУ детского сада «Светлячок» с. Посёлки.
  5. Педагоги МБДОУ детского сада «Светлячок» с. Посёлки.
  6. Завхозы МБДОУ детского сада «Светлячок» с. Посёлки.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Приложение 3

к приказу «О мерах по обеспечению

безопасности персональных данных»

от  10.04.2014г. №  29

 

 

Порядок

доступа сотрудников МБДОУ детского сада «Светлячок» с. Посёлки, сотрудников филиала МБДОУ детского сада «Светлячок» с. Посёлки – детского сада «Колосок» с. Никольское в помещения, в которых ведется обработка персональных данных

 

  1. Настоящий           Порядок     доступа      сотрудников МБДОУ детского сада «Светлячок» с. Посёлки, сотрудников филиала МБДОУ детского сада «Светлячок» с. Посёлки – детского сада «Колосок» с. Никольское, в которых ведется обработка персональных данных (далее – Порядок) разработан в соответствии с Федеральным законом от 27 июля 2006 г. № 152 ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», Постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.
  2. Персональные данные относятся к конфиденциальной информации. Должностные лица Детского сада (далее – должностные лица), получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
  3. Обеспечение безопасности персональных данных от уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных достигается, в том числе, установлением правил доступа в помещения, где обрабатываются персональные данные в информационных системах персональных данных.

4.      Для помещений, в которых обрабатываются персональные данные,
организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а
также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц. При хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.

  1. В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, допускаются только должностные лица, уполномоченные на обработку персональных данных правовым актом Детского сада.
  2. Нахождения лиц в помещениях Детского сада, не являющихся уполномоченными лицами на обработку персональных данных, возможно только в сопровождении ответственного сотрудника Детского сада на время, ограниченное необходимостью решения вопросов, связанных с осуществлением полномочий в рамках договоров, заключенных с Детским садом.
  3. Ответственными за организацию доступа в помещения Детского сада, в которых ведется обработка персональных данных, являются старшие воспитатели,  главный бухгалтер.
  4. Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, проводится ответственным за организацию обработки персональных данных в МБДОУ детском саду «Светлячок» с. Посёлки.

 

 

 

 

 

 

 

 

 

 

 

 

 

Назад