Поиск по сайту

ПОЛОЖЕНИЕ ПО ОРГАНИЗАЦИИ И ПРОВЕДЕНИЮ РАБОТ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ АГЕНТСТВА ПО ОБЕСПЕЧЕНИЮ ДЕЯТЕЛЬНОСТИ МИРОВЫХ СУДЕЙ УЛЬЯНОВСКОЙ ОБЛАСТИ

1. Общие положения

  1. Настоящее положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее по тексту - Положение) разработано в соответствии с Федеральными Законами от 27.07.2006 №152-ФЗ «О персональных данных» и от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», «Рекомендациями по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденными заместителем директора ФСТЭК России от 15.02.2008.

  2. Положение предназначено для обеспечения защиты персональных данных Агентства по обеспечению деятельности мировых судей Ульяновской области (далее - Агентство) согласно требованиям действующего законодательства, в сфере обеспечения технической защиты информации.

  3. Настоящее Положение действует бессрочно, до замены его новым Положением.

  4. Все изменения в Положение вносятся распоряжением Агентства.

  5. Все работники Агентства должны быть ознакомлены с настоящим Положением под роспись.

  6. Ответственность за выполнение требований Положения несут должностные лица Агентства в соответствии с действующим законодательством.

  7. Финансирование работ связанных с обеспечением безопасности персональных данных должно строго соответствовать мероприятиям, утвержденным руководителем Агентства.

  8. Работники Агентства, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.


2. Замысел обеспечения безопасности персональных данных

  1. Безопасность персональных данных достигается путём исключения несанкционированного, в том числе случайного доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

  2. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

2.3. Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и  информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.

3. Организация работ по обеспечению безопасности

3.1. Безопасность персональных данных при их обработке в информационной системе обеспечивает работник, которому в соответствии с должностными обязанностями Агентства поручает обработку персональных данных (далее - уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе.

3.2. При обработке персональных данных в информационной системе должно быть обеспечено:

а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;

в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их
функционирование;

г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного
доступа к ним;

д) постоянный контроль за обеспечением уровня защищенности персональных данных.

3.3. Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных Агентства может назначить должностное лицо (работника), ответственное за обеспечение безопасности персональных данных.

3.4. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного Агентством.

3.5. Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) Агентства или уполномоченного лица.

3.6. При передаче персональных данных работника Агентства должно соблюдать следующие требования:

  1. Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных законодательством.

  2. Не сообщать персональные данные работника в коммерческих целях без его письменного согласия. Обработка персональных данных работников в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.

  3. Предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.

  4. Осуществлять передачу персональных данных работников в пределах Организации в соответствии с настоящим Положением.

3.6.5. Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретной функции.

3.7. Право доступа к персональным данным работников имеют:
- руководитель
Агентства;

  • сотрудники отдела кадровой и архивной работы;

  • сотрудники финансово-экономического отдела;

  • руководители отделов Агентства по направлению деятельности (доступ к персональным данным только работников своего подразделения).

3.8. При обнаружении нарушений порядка предоставления персональных данных уполномоченное лицо незамедлительно приостанавливает предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин.

3.9. Защита персональных данных работника от неправомерного их использования или утраты обеспечивается Агентством за счет его средств в порядке, установленном федеральным законом.

    Новости