Постановление Администрации муниципального образования - Новомичуринское городское поселение Пронского муниципального района Рязанской области от 26.03.2014 N 118 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных администрации Новомичуринского городского поселения"



АДМИНИСТРАЦИЯ МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ -
НОВОМИЧУРИНСКОЕ ГОРОДСКОЕ ПОСЕЛЕНИЕ ПРОНСКОГО
МУНИЦИПАЛЬНОГО РАЙОНА РЯЗАНСКОЙ ОБЛАСТИ

ПОСТАНОВЛЕНИЕ
от 26 марта 2014 г. № 118

ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ
СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ АДМИНИСТРАЦИИ НОВОМИЧУРИНСКОГО
ГОРОДСКОГО ПОСЕЛЕНИЯ

В целях реализации Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", в соответствии с Постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" администрация муниципального образования - Новомичуринское городское поселение постановляет:
1. Утвердить Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных администрации Новомичуринского городского поселения согласно приложению.
2. Настоящее постановление подлежит официальному опубликованию в газете "Муниципальный вестник".
3. Общему отделу администрации Новомичуринского городского поселения (Е.В.Колекина):
3.1. разместить настоящее постановление на официальном сайте администрации муниципального образования - Новомичуринское городское поселение в сети Интернет в течение 10 дней после его утверждения;
3.2. ознакомить под роспись муниципальных служащих администрации Новомичуринского городского поселения с настоящим постановлением.
4. Настоящее постановление вступает в силу со дня его официального опубликования.
5. Контроль за исполнением настоящего постановления возложить на заместителя главы Новомичуринского городского поселения Кирьянова И.В.

Глава Новомичуринского
городского поселения
И.Н.КРЕЧКО





Приложение
к Постановлению
администрации Новомичуринского
городского поселения
от 26 марта 2014 г. № 118

ПОЛОЖЕНИЕ
ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ
ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
АДМИНИСТРАЦИИ НОВОМИЧУРИНСКОГО ГОРОДСКОГО ПОСЕЛЕНИЯ

1. Общие положения

Настоящее Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных администрации Новомичуринского городского поселения (далее - Положение) разработано в соответствии с Законом Российской Федерации от 27.07.2006 № 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", в целях обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных администрации Новомичуринского городского поселения (далее - администрация).
Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы).
Под техническими средствами, позволяющими осуществлять обработку персональных данных в администрации, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных, программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

2. Обеспечение безопасности персональных данных

Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Безопасность персональных данных при их обработке в информационных системах администрации обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
Для обеспечения безопасности персональных данных при их обработке в информационных системах администрации осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, обрабатываемой без использования средств автоматизации.
Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах администрации оценивается при проведении государственного контроля и надзора.
Работы по обеспечению безопасности персональных данных при их обработке в информационных системах администрации являются неотъемлемой частью работ по созданию информационных систем.
Средства защиты информации, применяемые в информационных системах администрации, в установленном порядке проходят процедуру оценки соответствия.

3. Средства защиты информационных
систем персональных данных

Обмен персональными данными при их обработке в информационных системах администрации осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.
Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
Возможные каналы утечки информации при обработке персональных данных в информационных системах определяются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
Безопасность персональных данных при их обработке в информационной системе администрации обеспечивает оператор, т.е. администрация или лицо, осуществляющее обработку персональных данных.
При обработке персональных данных в информационной системе должно быть обеспечено:
а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
д) постоянный контроль за обеспечением уровня защищенности персональных данных.
Реализация требований по обеспечению безопасности информации в средствах защиты информации возлагается на их разработчиков.
К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров.

4. Мероприятия по обеспечению
безопасности персональных данных

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
- определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
- разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
- проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
- установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
- обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
- учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
- учет лиц, допущенных к работе с персональными данными в информационной системе;
- контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
- разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
- описание системы защиты персональных данных.
Разработка и осуществление мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе администрации возлагаются на инженера - системного программиста.
К персональным данным, обрабатываемым в информационной системе, допускаются работники администрации на основании списка, утвержденного главой Новомичуринского городского поселения.
При обнаружении нарушений порядка предоставления персональных данных инженер - системный программист незамедлительно приостанавливает предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин.


------------------------------------------------------------------