РАСПОРЯЖЕНИЕ
ГЛАВЫ АДМИНИСТРАЦИИ МЕСТНОГО
САМОУПРАВЛЕНИЯ МОЗДОКСКОГО РАЙОНА
РЕСПУБЛИКИ СЕВЕРНАЯ ОСЕТИЯ-АЛАНИЯ
№1014 г. Моздок
23.08.2023 г.
О защите информации в Администрации местного
самоуправления Моздокского района
В соответствии с требованиями Федерального закона Российской Федерации от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановления Главы Администрации местного самоуправления Моздокского района от 26.12.2022 №163-Д «Об изменении структуры и штатов Администрации местного самоуправления Моздокского района»:
2.Утвердить:
2.1.Положение о порядке обработки персональных данных без использования средств автоматизации в Администрации местного самоуправления Моздокского района, согласно приложению №1 к настоящему распоряжению.
2.2. Положение об обработке персональных данных с использованием средств автоматизации в Администрации местного самоуправления Моздокского района, согласно приложению №2 к настоящему распоряжению.
2.3. Положение об организации режима обеспечения безопасности помещений Администрации местного самоуправления Моздокского района Республики Северная Осетия-Алания, в которых ведется обработка персональных данных, согласно приложения №3 к настоящему распоряжению.
2.4. Регламент по резервному копированию и восстановлению данных Администрации местного самоуправления Моздокского района Республики Северная Осетия-Алания, согласно приложению №4 к настоящему распоряжению.
2.5. Инструкцию ответственного за организацию обработки персональных данных и обеспечение безопасности персональных данных в программных продуктах (информационных системах персональных данных, при их наличии) в Администрации местного самоуправления Моздокского района Республики Северная Осетия-Алания, согласно приложению №5 к настоящему распоряжению.
2.6. Инструкцию по организации антивирусной защиты в Администрации местного самоуправления Моздокского района Республики Северная Осетия-Алания, согласно приложению №6 к настоящему распоряжению.
2.7. Инструкцию по организации парольной защиты в Администрации местного самоуправления Моздокского района Республики Северная Осетия-Алания, согласно приложению №7 к настоящему распоряжению.
2.8. Инструкцию пользователя программных продуктов (информационных систем персональных данных, при их наличии) в Администрации местного самоуправления Моздокского района Республики Северная Осетия-Алания согласно приложение №8 к настоящему распоряжению.
2.9. Порядок уничтожения персональных данных в Администрации местного самоуправления Моздокского района Республики Северная Осетия-Алания, согласно приложению №9 к настоящему распоряжению.
2.10. Правила рассмотрения запросов субъектов персональных данных или их представителей в Администрации местного самоуправления Моздокского района Республики Северная Осетия-Алания Алания, согласно приложению №10 к настоящему распоряжению.
3.Утвердить формы журналов по защите информации, согласно приложению №11 к настоящему распоряжению.
Глава Администрации Р. Адырхаев
Исп. И. Заварзина, тел.: 3-47-85
Приложение № 1
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№1014 от 23.08.2023 г.
ПОЛОЖЕНИЕ
о порядке обработки персональных данных без использования средств автоматизации в Администрации местного самоуправления Моздокского района
АВТОМАТИЗАЦИИ
допускается;
Приложение № 2
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№1014 от 23.08.2023 г.
ПОЛОЖЕНИЕ
об обработке персональных данных с использованием средств автоматизации в Администрации местного самоуправления Моздокского района
1.1. Настоящее Положение об обработке персональных данных с использованием средств автоматизации (далее – Положение) Администрации местного самоуправления Моздокского района (далее – Администрация), разработано в соответствии с Федеральным законом «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ, Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ, постановлением Правительства Российской Федерации «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 № 1119, а также другими нормативно-правовыми актами, действующими на территории Российской Федерации и Республики Северная Осетия-Алания.
1.2. Цели разработки Положения:
1.2.1. Определение порядка обработки персональных данных субъектов персональных данных, персональные данные которых подлежат обработке на основании полномочий Администрации;
1.2.2. Обеспечение защиты прав и свобод человека и гражданина при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
1.2.3. Установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
К любой информации, содержащей персональные данные субъекта, применяется режим конфиденциальности, за исключением:
- обезличенных персональных данных;
- общедоступных персональных данных.
Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении срока их хранения, или продлевается на основании заключения экспертной комиссии Администрации, если иное не определено законом Российской Федерации.
II.ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
III.ПОРЯДОК ИСПОЛЬЗОВАНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1 Обработка персональных данных может осуществляться исключительно в целях, указанных в Политики Администрации местного самоуправления Моздокского района в отношении обработки персональных данных.
При определении объема и содержания, обрабатываемых персональных данных работники Администрации должны руководствоваться Политикой Администрации местного самоуправления Моздокского района в отношении обработки персональных данных с учетом действующего законодательства Российской Федерации, а также настоящим Положением.
3.2. Обработка персональных данных с использованием средств автоматизации (автоматизированным способом) может осуществляться исключительно на автоматизированных рабочих местах ИСПДн, утверждённых Перечнем автоматизированных рабочих мест, использующих программные продукты для обработки персональных данных, согласно приложению №1 к настоящему положению.
3.3. Перечень нормативно-правовых актов, определяющих основания обработки персональных данных в Администрации определяется Политикой Администрации местного самоуправления Моздокского района в отношении обработки персональных данных.
IV.ПОРЯДОК ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Хранение носителей (дискет, дисков, флеш-накопителей и т.п.), содержащих персональные данные, должно осуществляться в специальных папках, закрытых шкафах или сейфах, в порядке, исключающем доступ к ним третьих лиц.
4.2. Безопасность персональных данных при их обработке с использованием технических и программных средств обеспечивается с помощью системы защиты персональных данных, включающей в себя организационные меры и средства защиты информации, удовлетворяющие устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
4.3. Обработка персональных данных в Администрации осуществляется до наступления одного из условий прекращения обработки персональных данных, указанных в Политике Администрации местного самоуправления Моздокского района в отношении обработки персональных данных.
По истечении срока хранения (30 дней, если иное не прописано в нормативно-правовых актах) для машинных носителей допускается гарантированное удаление информации методом многократной перезаписи с помощью специализированных программ (например, «Safe Erase», «Eraser», «FDelete») без уничтожения материального носителя.
Обезличивания персональных данных в Администрации не предполагается.
V.ПОРЯДОК ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Передавать персональные данные субъектов допускается только тем работникам, которые имеют допуск к обработке персональных данных.
В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Администрация в ходе своей деятельности предоставляет персональные данные организациям, перечисленным в Политике Администрации местного самоуправления Моздокского района в отношении обработки персональных данных.
5.2. Не допускается распространение персональных данных субъекта.
VI.ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Защита персональных данных субъекта от неправомерного их использования или утраты обеспечивается Администрация за счет своих средств.
6.2. Защита персональных данных должна вестись по трём взаимодополняющим направлениям:
6.2.1. Проведение организационных мероприятий:
а) разработка и внедрение внутренних организационно-распорядительных документов, регламентирующих обработку и защиту персональных данных субъектов, в том числе порядок доступа в помещения и к персональным данным;
б) ознакомление работников с законодательством Российской Федерации и внутренними нормативными документами, получение обязательств, касающихся обработки персональных данных;
в) организация учёта носителей персональных данных;
г) разработка модели угроз безопасности персональным данным;
д) проведение обучения работников по вопросам защиты персональных данных.
6.2.2. Программно-аппаратная защита:
а) внедрение программно-аппаратных средств защиты информации, прошедших в соответствии с Федеральным законом № 184 от 27.12.2002 г. «О техническом регулировании» оценку соответствия.
6.2.3. Инженерно-техническая защита:
а) установка сейфов или запирающихся шкафов для хранения носителей персональных данных;
б) установка усиленных дверей, сигнализации, режима охраны здания и помещений, в которых обрабатываются персональные данные.
6.3. Определение конкретных мер, общую организацию, планирование и контроль выполнения мероприятий по защите персональных данных осуществляет ответственный за организацию обработки персональных данных в соответствии с законодательством в области защиты персональных данных и локальными нормативно-правовыми актами Администрации.
Организацию и контроль защиты персональных данных в структурных подразделениях Администрации осуществляют их непосредственные руководители.
VII.ПОРЯДОК ПРЕДОСТАВЛЕНИЯ ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ
7.1. Допуск к персональным данным субъекта могут иметь только те работники Администрации, которым персональные данные необходимы в связи с исполнением ими своих трудовых обязанностей. Перечень таких работников отражен в «Списке лиц, доступ которых к персональным данным необходим для выполнения служебных (трудовых) обязанностей» согласно приложению №2 к настоящему положению.
7.2. Процедура оформления допуска к персональным данным представляет собой следующую строгую последовательность действий:
7.2.1. Ознакомление работника с настоящим Положением, Политикой Администрации местного самоуправления Моздокского района в отношении обработки персональных данных и другими локальными нормативно-правовыми актами Администрации, касающимися обработки персональных данных;
7.2.2. Истребование с работника Обязательства о неразглашении информации ограниченного доступа.
7.3. Каждый работник должен иметь доступ к минимально необходимому набору персональных данных субъектов, необходимых ему для выполнения служебных (трудовых) обязанностей.
7.4. Работникам, не имеющим надлежащим образом оформленного допуска, доступ к персональным данным субъектов запрещается.
VIII.ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ
8.1. Состав информационных систем Администрации определяется Перечнем информационных систем, согласно приложению 3 к настоящему положению.
8.2. Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных, программные средства, средства защиты информации, применяемые в информационных системах.
8.3. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
8.4. Средства защиты информации, применяемые в информационных системах, в обязательном порядке проходят процедуру оценки соответствия в установленном законодательством Российской Федерации порядке.
8.5. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер, а также применения технических и (или) программных средств.
8.6. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
8.7. Безопасность персональных данных при их обработке в информационной системе обеспечивает специалист, ответственный за обеспечение безопасности персональных данных в информационных системах.
8.8. При обработке персональных данных в информационной системе должно быть обеспечено:
а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
б) Своевременное обнаружение фактов несанкционированного доступа к персональным данным;
в) Недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
г) Возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
д) Постоянный контроль над обеспечением уровня защищенности персональных данных.
8.9. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают:
8.9.1. Определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
8.9.2. Разработку на основе модели угроз системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
8.9.3. Проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
8.9.4. Установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
8.9.5. Обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
8.9.6. Учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
8.9.7. Учет лиц, допущенных к работе с персональными данными в информационной системе;
8.9.8. Контроль по соблюдению условий использования средств защиты информации, предусмотренных эксплуатационной и технической документации;
8.9.9. Разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
8.9.10. Описание системы защиты персональных данных.
8.9.11. Иные требования по обеспечению безопасности информации и средств защиты информации в Администрации в соответствии с требованиями федеральных органов исполнительной власти и органов исполнительной власти Республики Северная Осетия-Алания.
IX.ОТВЕТСТВЕННОСТЬ
9.1. Ответственность за соблюдение требований по защите информации ограниченного доступа и надлежащего порядка проводимых работ возлагается на пользователей ИС, ответственного за обеспечение безопасности персональных данных в информационных системах и ответственного за организацию обработки персональных данных в Администрации.
9.2. Работники Администрации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации.
9.3. Разглашение персональных данных субъекта (передача их посторонним лицам, в том числе другим работникам, не имеющим к ним допуск), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные субъекта, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, локальными нормативно-правовыми актами Администрации, влечет наложение на работника, имеющего доступ к персональным данным, дисциплинарных взысканий в виде: замечания, выговора, увольнения. Работник Администрации, имеющий доступ к персональным данным субъекта и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба (в соответствии с п.7 ст. 243 Трудового кодекса Российской Федерации).
9.4. В отдельных случаях, при разглашении персональных данных, работник, совершивший указанный проступок, несет ответственность в соответствии со ст. 13.14 Кодекса об административных правонарушениях Российской Федерации.
9.5. В случае незаконного сбора или публичного распространения информации о частной жизни лица (нарушения неприкосновенности частной жизни), предусмотрена ответственность в соответствии со ст. 137 Уголовного кодекса Российской Федерации.
9.6. ГлаваАдминистрации, заместители Главы Администрации, руководители структурных подразделений Администрации, за нарушение норм, регулирующих получение, обработку и защиту персональных данных субъектов, несут административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает субъекту ущерб, причиненный неправомерным использованием информации, содержащей персональные данные этого субъекта.
Приложение № 1 к
Положению об обработке персональных данных с использованием средств автоматизации в Администрации местного самоуправления Моздокского района
ПЕРЕЧЕНЬ
автоматизированных рабочих мест, использующих программные продукты для обработки персональных данных
№ п/п |
Наименование |
Допущенные лица |
Месторасположение |
Наименование ИС |
1. |
АРМ начальника отдела бухгалтерского учета и осуществления закупок для муниципальных нужд |
начальник отдела бухгалтерского учета и осуществления закупок для муниципальных нужд |
Кабинет №10 |
1С-бухгалтерия |
2. |
АРМ заместитель начальника отдела бухгалтерского учета и осуществления закупок для муниципальных нужд |
заместитель начальника отдела бухгалтерского учета и осуществления закупок для муниципальных нужд |
Кабинет №10 |
1С-бухгалтерия |
3. |
АРМ Консультант по кадровым вопросам отдела по юридическим вопросам, кадровой политики и профилактики коррупционных правонарушений |
консультант по кадровым вопросам отдела по юридическим вопросам, кадровой политики и профилактики коррупционных правонарушений |
Кабинет №16 |
1С-Кадры |
Приложение № 2 к
Положению об обработке персональных данных с использованием средств автоматизации в Администрации местного самоуправления Моздокского района
Список лиц, доступ которых к персональным данным необходим для выполнения служебных (трудовых) обязанностей
№ п/п |
Наименование должности |
Доступ персональных данных сотрудников Администрации |
|
1 |
Глава Администрации |
2 |
Первый заместитель Главы Администрации (к персональным данным сотрудников курируемых подразделений) |
3 |
Заместители Главы Администрации (к персональным данным сотрудников курируемых подразделений) |
4 |
Специалисты отдела по юридическим вопросам, кадровой политики и профилактики коррупционных правонарушений |
5 |
Специалисты отдела бухгалтерского учета и осуществления закупок для муниципальных нужд |
6 |
Специалисты мобилизационного отдела |
7 |
Специалисты отдела по организационным и общим вопросам |
8 |
Специалисты отдела информационных технологий, защиты информации и муниципальных услуг |
Доступ к персональным данным граждан, обращающимся в Администрацию |
|
1 |
Глава Администрации |
2 |
Первый заместитель Главы Администрации |
3 |
Заместители Главы Администрации |
4 |
Руководители и специалисты структурных подразделений, в целях исполнения должностных обязанностей |
Приложение № 3
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№1014 от 23.08.2023 г.
ПОЛОЖЕНИЕ
об организации режима обеспечения безопасности помещений Администрации местного самоуправления Моздокского района Республики Северная Осетия-Алания, в которых ведется обработка персональных данных
Приложение № 4
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№1014 от 23.08.2023 г.
РЕГЛАМЕНТ
по резервному копированию и восстановлению данных Администрации местного самоуправления Моздокского района Республики Северная Осетия-Алания
I ОБЩИЕ ПОЛОЖЕНИЯ
Приложение № 5
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№1014 от 23.08.2023 г.
ИНСТРУКЦИЯ
ответственного за организацию обработки персональных данных и обеспечение безопасности персональных данных в программных продуктах
(информационных системах персональных данных, при их наличии)
в Администрации местного самоуправления Моздокского района
Республики Северная Осетия-Алания
I ОБЩИЕ ПОЛОЖЕНИЯ
1.2. Решение вопросов организации защиты обработки персональных данных и обеспечение безопасности персональных данных в программных продуктах (информационных системах персональных данных, при их наличии) в Администрации входит в прямые служебные обязанности главного специалиста по информатизации отдела информационных технологий, защиты информации и муниципальных услуг Администрации.
1.3. Ответственный за организацию обработки персональных данных и обеспечение безопасности персональных данных в программных продуктах (информационных системах персональных данных, при их наличии) обладает правами доступа к любым носителям персональных данных и в любое помещение, где осуществляется обработка персональных данных Администрации.
II ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
III ДОЛЖНОСТНЫЕ ОБЯЗАННОСТИ
3.2. Знать и предоставлять изменения на утверждение Главе Администрации в Список лиц, доступ которых к персональным данным необходим для выполнения служебных (трудовых) обязанностей.
3.3. Участвовать в определении полномочий пользователей программных продуктах (информационных системах персональных данных, при их наличии), оформлении разрешительной системы доступа, минимально необходимых им для выполнения служебных (трудовых) обязанностей.
3.4. Осуществлять учёт документов, содержащих персональные данные, их уничтожение, либо контроль процедуры их уничтожения.
3.5. Блокировать доступ к персональным данным при обнаружении нарушений порядка их обработки.
3.6. Реагировать на попытки несанкционированного доступа к информации в порядке, установленном главой IV настоящей Инструкции.
3.7. Контролировать осуществление мероприятий по установке и настройке средств защиты информации.
3.8. Производить периодический контроль за соблюдением режима безопасности помещений, в которых осуществляется обработка персональных данных, путем:
3.8.1. контроля процесса доступа и нахождения в помещении лиц, не имеющим права доступа к персональным данным;
3.8.2. контроля исключения доступа к персональным данным лиц, не имеющим права доступа к персональным данным;
3.8.3. контроля обеспечения сохранности персональных данных, в т.ч. хранилищ и носителей персональных данных.
3.9. Производить периодический контроль за соблюдением режима безопасности помещений, в которых размещена информационная система, путем:
3.9.1. контроля обеспечения сохранности и работоспособности технических средств информационной системы;
3.9.2. контроля расположения мониторов для исключения несанкционированного просмотра возможным внешним нарушителем;
3.9.3. контроля исключения несанкционированного просмотра при обработке персональных данных.
3.10. Поддерживать в актуальном состоянии локальные документы, направленные на обеспечение защиты персональных данных.
3.11. Своевременно и точно вносить изменения в локальные нормативно-правовые акты по правилам обработки и защиты персональных данных. 3.12. Проводить с работниками и руководителями структурных подразделений занятия по изучению руководящих документов в области обеспечения безопасности персональных данных и инструктажи о порядке работы с персональными данными.
3.13. Проводить разбирательства и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, нарушения правил работы с документами, содержащими персональные данные, или по другим нарушениям, которые могут привести к снижению уровня защищённости персональных данных.
3.14. Контролировать соблюдение работниками локальных документов, регламентирующих порядок работы с программными, техническими средствами и персональными данными.
3.15. Вносить свои предложения по совершенствованию мер защиты персональных данных, разработке и принятию мер по предотвращению возможных опасных последствий нарушений, приводящих к снижению уровня защищённости персональных данных.
3.16. Организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов в установленные законодательством сроки.
3.17. Представлять интересы Администрации при проверках надзорных органов в сфере обработки персональных данных.
3.18. Знать законодательство РФ о персональных данных, следить за его изменениями.
3.19. Выполнять иные мероприятия, требуемые нормативными документами по защите персональных данных.
IV ДЕЙСТВИЯ ПРИ ОБНАРУЖЕНИИ ПОПЫТОК НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
V ПРАВА
VI ОТВЕТСТВЕННОСТЬ
6.1. Ответственный за организацию обработки персональных данных и обеспечение безопасности персональных данных в программных продуктах (информационных системах персональных данных, при их наличии) несёт персональную ответственность за соблюдение требований настоящей Инструкции, за качество проводимых им работ по обеспечению безопасности персональных данных и за все действия, совершенные от имени его учётной записи в программных продуктах (информационных системах персональных данных, при их наличии), если с его стороны не было предпринято необходимых действий для предотвращения несанкционированного использования его учётной записи.
6.2. Ответственный за организацию обработки персональных данных и обеспечение безопасности персональных данных в программных продуктах (информационных системах персональных данных, при их наличии) при нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несёт дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации.
6.3. Разглашение персональных данных субъекта (передача их посторонним лицам, в том числе другим работникам, не имеющим к ним допуск), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные субъекта, а также иные нарушения обязанностей по их защите и обработке, установленных локальными нормативно-правовыми актами Администрации, влечет наложение на работника, имеющего доступ к персональным данным, дисциплинарных взысканий в виде: замечания, выговора, увольнения. Работник Администрации, имеющий доступ к персональным данным субъекта и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба Администрации (в соответствии с п.7 ст. 243 Трудового кодекса РФ).
6.4. В отдельных случаях, при разглашении персональных данных, работник, совершивший указанный проступок, несет ответственность в соответствии со статьей 13.14 Кодекса об административных правонарушениях РФ.
6.5. В случае незаконного сбора или публичного распространения информации о частной жизни лица (нарушения неприкосновенности частной жизни) предусмотрена ответственность в соответствии со ст. 137 Уголовного кодекса РФ.
С инструкцией ознакомлен (а): подпись ФИО
Приложение № 6
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№1014 от 23.08.2023 г.
ИНСТРУКЦИЯ
по организации антивирусной защиты в Администрации местного самоуправления Моздокского района Республики Северная Осетия-Алания
I ОБОБЩИЕ ПОЛОЖЕНИЯ
II ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
2.1. Антивирусная база – это база, которая содержит уникальные данные о каждом конкретном вирусе
2.2. Антивирусная защита – комплекс мер, направленных на предотвращение, обнаружение и обезвреживание действий вредоносного ПО при помощи антивирусных программных продуктов.
2.3. Средство антивирусной защиты – программный пакет, предназначенный для эффективной защиты, перехвата и удаления из операционной системы компьютера максимального количества вредоносных (или потенциально вредоносных) программ.
2.4. Автоматизированное рабочее место (АРМ) – это рабочее место специалиста, оснащенное персональным компьютером, программным обеспечением и совокупностью информационных ресурсов индивидуального или коллективного пользования, которые позволяют ему вести обработку данных с целью получения информации, обеспечивающей поддержку принимаемых им решений при выполнении профессиональных функций.
2.5. Информация – сведения (сообщения, данные) независимо от формы их представления (Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»)
2.6. Информационная система (ИС) – система, предназначенная для хранения, поиска и обработки информации, и соответствующие организационные ресурсы (человеческие, технические, финансовые и т. д.), которые обеспечивают и распространяют информацию.
2.7. Носитель информации – любой материальный объект или среда, используемый для хранения или передачи информации
2.8. Программное обеспечение – все или часть программ, процедур, правил и соответствующей документации системы обработки информации (ISO/IEC 2382-1:1993)
2.9. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 ФЗ РФ от 27.07.2006 № 152-ФЗ «О персональных данных»).
III ОБЯЗАННОСТИ
3.1. К использованию в Администрации допускаются только сертифицированные и лицензионные средства антивирусной защиты, закупленные у разработчиков или поставщиков данных средств отраженные в «Журнале учета средств защиты информации, эксплуатационной и технической документации к ним в Администрации».
3.2. Установка средств антивирусного контроля на автоматизированных рабочих местах в Администрации осуществляется ответственным за эксплуатацию программных продуктах (информационных систем персональных данных, при их наличии) или под его контролем, настройка параметров средств антивирусного контроля осуществляется в соответствии с руководствами по применению конкретных антивирусных средств и требованиями нормативных документов ФСТЭК РФ в области защиты информации.
3.3. Антивирусный контроль должен быть настроен в режиме постоянной антивирусной защиты.
3.4. Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), хранящаяся на АРМ, передающаяся по сети, а также информация на съемных носителях. Контроль входящей информации должен осуществляться автоматически, непосредственно после её приёма. При передаче файлов, запакованных в архивы, без их распаковки, должна вручную инициироваться антивирусная проверка этих архивов.
3.5. Процедура обновления баз средства антивирусной защиты должна проводиться в автоматическом режиме не реже 1 (одного) раза в неделю для всех АРМ.
3.6. Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено ответственным за эксплуатацию программных продуктах (информационных систем персональных данных, при их наличии) (далее – ПО).
3.7. Подключаемые к компьютеру внешние устройства и носители информации должны проверяться антивирусным ПО непосредственно после подключения.
3.8. Периодический контроль за состоянием антивирусной защиты (обновление антивирусной программы и антивирусных баз, а также проверка работоспособности средств антивирусной защиты) в Администрации, осуществляется ответственным за эксплуатацию программных продуктах (информационных систем персональных данных, при их наличии).
IV ОБЯЗАННОСТИ ПОЛЬЗОВАТЕЛЯ ИС
4.1. При возникновении подозрения на наличие вредоносного программного обеспечения (частые ошибки в работе программ, появление посторонних графических и звуковых эффектов, искажения данных, неконтролируемое пропадание файлов, появление сообщений о системных ошибках, замедление работы компьютера и т.п.) самостоятельно или вместе с ответственным за эксплуатацию программных продуктов (информационных систем персональных данных, при их наличии) провести внеочередной антивирусный контроль своего АРМ. При самостоятельном проведении антивирусного контроля - уведомить о результатах ответственного за эксплуатацию программных продуктах (информационных систем персональных данных, при их наличии) для определения им факта наличия или отсутствия вредоносного программного обеспечения.
4.2. В случае появления информационного окна средства антивирусной защиты, сигнализирующем об обнаружении вредоносного программного обеспечения:
4.2.1. приостановить обработку данных;
4.2.2. немедленно поставить в известность о факте обнаружения вредоносного программного обеспечения ответственного за эксплуатацию программных продуктах (информационных систем персональных данных, при их наличии), владельца заражённых файлов, а также смежные структурные подразделения, использующие эти файлы в работе;
4.2.3. совместно с владельцем файлов, заражённых вредоносным программным обеспечением, провести анализ необходимости дальнейшего их использования;
4.2.4. произвести лечение или уничтожение заражённых файлов (при необходимости для выполнения требований данного пункта привлечь ответственного за эксплуатацию программных продуктах (информационных систем персональных данных, при их наличии).
V ОТВЕТСТВЕННОСТЬ
5.1. Работники несут персональную ответственность за соблюдение требований настоящей Инструкции, за качество проводимых им работ по обеспечению безопасности персональных данных и за все действия, совершенные от имени их учётных записей в программных продуктах (информационных систем персональных данных, при их наличии), если с их стороны не было предпринято необходимых действий для предотвращения несанкционированного использования его учётной записи.
5.2. Работники при нарушении норм, регулирующих получение, обработку и защиту информации, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации.
5.3. Разглашение персональных данных субъекта (передача их посторонним лицам, в том числе другим работникам, не имеющим к ним допуск), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные субъекта, а также иные нарушения обязанностей по их защите и обработке, установленных локальными нормативно-правовыми актами Администрации, влечет наложение на работника, имеющего доступ к персональным данным, дисциплинарных взысканий в виде: замечания, выговора, увольнения. Работник Администрации, имеющий доступ к персональным данным субъекта и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба Администрации (в соответствии с п.7 ст. 243 Трудового кодекса РФ).
5.4. В отдельных случаях, при разглашении персональных данных, работник, совершивший указанный проступок, несет ответственность в соответствии со ст. 13.14 Кодекса об административных правонарушениях РФ.
5.5. В случае незаконного сбора или публичного распространения информации о частной жизни лица (нарушения неприкосновенности частной жизни), предусмотрена ответственность в соответствии со ст. 137 Уголовного кодекса РФ.
Приложение № 7
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№1014 от 23.08.2023 г.
ИНСТРУКЦИЯ
по организации парольной защиты в Администрации местного самоуправления Моздокского района Республики Северная Осетия-Алания
I ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Данная инструкция регламентирует процессы генерации, смены и прекращения действия паролей (удаления учётных записей пользователей) в Администрации, а также контроль над действиями пользователей при работе с паролями.
1.2. Осуществление процессов генерации, использования, смены и прекращения действия паролей во всех программных продуктах (информационных системах, при наличии) и контроль за действиями пользователей при работе с паролями возлагается на ответственного за организацию обработки персональных данных и обеспечение безопасности персональных данных в программных продуктах (информационных системах персональных данных, при их наличии).
II ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
2.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 ФЗ РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»).
2.2. Информационная система (ИС) – система, предназначенная для хранения, поиска и обработки информации, и соответствующие организационные ресурсы (человеческие, технические, финансовые и т. д.), которые обеспечивают и распространяют информацию.
2.3. Пароль – секретная комбинация цифр, знаков, слов, или осмысленное предложение, служащие для защиты информации от несанкционированного доступа к информационным ресурсам.
2.4. Пользователь – работник, участвующий в рамках своих функциональных обязанностей в процессах обработки персональных данных.
2.5. Компрометация пароля – раскрытие, обнаружение или утеря пароля.
III ОБЯЗАННОСТИ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ И ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫ В ПРОГРАММНЫХ ПРОДУКТАХ (ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ,
ПРИ ИХ НАЛИЧИИ)
3.1.Правила формирования паролей:
3.1.1. Личные пароли должны генерироваться и распределяться централизованно, либо выбираться пользователями программных продуктов (информационных системах персональных данных, при их наличии) самостоятельно с учетом следующих требований:
- длина пароля должна быть не менее 6 символов;
- в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
- пароль не должен включать в себя имя пользователя, легко вычисляемые сочетания символов (имена, фамилии, известные названия, словарные и жаргонные слова и т.д.), последовательности символов и знаков (111, qwerty, абвгд и т.д.), общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.), аббревиатуры, клички домашних животных, номера автомобилей, телефонов и другие значимые сочетаний букв и знаков, которые можно угадать, основываясь на информации о пользователе;
- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6-ти позициях;
3.1.2. Пользователям допускается использовать пароли, составленные из первых букв слов запоминающихся высказываний в разном регистре, смешанные в произвольном порядке со специальными символами (например, Кожзгсф7!).
3.1.3. В случае если формирование личных паролей пользователей осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на ответственного за организацию обработки персональных данных и обеспечение безопасности персональных данных в программных продуктах (информационных системах персональных данных, при их наличии).
3.2. Порядок смены личных паролей:
3.2.1. Смена паролей должна проводиться регулярно, не реже одного раза в 3 месяца.
3.2.2. В случае прекращения полномочий пользователя (увольнение, переход на другую работу и т.п.) должно производиться немедленное удаление его учётной записи сразу после окончания последнего сеанса работы данного пользователя.
3.2.3. Срочная (внеплановая) полная смена паролей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу и т.п.) ответственных за организацию обработки персональных данных и обеспечение безопасности персональных данных в программных продуктах (информационных системах персональных данных, при их наличии), администраторов и других работников, которым по роду работы были предоставлены полномочия по управлению системой парольной защиты.
3.2.4. Ответственный за организацию обработки персональных данных и обеспечение безопасности персональных данных в программных продуктах (информационных системах персональных данных, при их наличии) ведёт Журнал учёта работ в программных продуктах (информационных системах персональных данных, при их наличии), в котором он отмечает факт смены паролей пользователей.
3.2.5. Временный пароль, заданный ответственным за организацию обработки персональных данных и обеспечение безопасности персональных данных в программных продуктах (информационных системах персональных данных, при их наличии) при регистрации нового пользователя, должен действовать в течение ограниченного срока времени. Пользователь должен изменить временный пароль при первом входе в систему.
3.3. Действия в случае утери и компрометации пароля:
3.3.1. В случае утери или компрометации (разглашения, утраты) или подозрения в компрометации пароля пользователя должна быть немедленно проведена внеплановая процедура смены пароля.
IV ОБЯЗАННОСТИ ПОЛЬЗОВАТЕЛЯ ПРОГРАММНЫХ ПРОДУКТОВ (ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ,
ПРИ ИХ НАЛИЧИИ)
4.1. Правила формирования паролей:
4.1.1. Личные пароли должны генерироваться и распределяться централизованно, либо выбираться пользователями информационной системы самостоятельно с учетом следующих требований:
- длина пароля должна быть не менее 6 символов;
- в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
- пароль не должен включать в себя имя пользователя, легко вычисляемые сочетания символов (имена, фамилии, известные названия, словарные и жаргонные слова и т.д.), последовательности символов и знаков (111, qwerty, абвгд и т.д.), общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.), аббревиатуры, клички домашних животных, номера автомобилей, телефонов и другие значимые сочетаний букв и знаков, которые можно угадать, основываясь на информации о пользователе;
- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6-ти позициях.
4.1.2. Работникам допускается использовать пароли, составленные из первых букв слов запоминающихся высказываний в разном регистре, смешанные в произвольном порядке со специальными символами (например, Кожзгсф7!).
4.1.3. Для обеспечения возможности использования имён и паролей некоторых работников в их отсутствие (например, в случае возникновении нештатных ситуаций, форс-мажорных обстоятельств и т.п.), работники обязаны сразу же после установки своих паролей передавать их на хранение вместе с именами своих учетных записей ответственному за организацию обработки персональных данных и обеспечение безопасности персональных данных в программных продуктах (информационных системах персональных данных, при их наличии) в запечатанном конверте или опечатанном пенале.
4.2. Порядок Ввод пароля:
4.2.1. При вводе пароля пользователю необходимо исключить произнесение его вслух, возможность его подсматривания посторонними лицами (человек за спиной, наблюдение человеком за движением пальцев в прямой видимости или в отраженном свете) и техническими средствами (стационарными и встроенными в мобильные телефоны видеокамерами и т.п.).
4.3. Порядок смены личных паролей:
4.3.1. Смена паролей должна проводиться регулярно, не реже одного раза в 3 месяца, самостоятельно каждым пользователем;
4.3.2. Временный пароль, заданный ответственным за организацию обработки персональных данных и обеспечение безопасности персональных данных в программных продуктах (информационных системах персональных данных, при их наличии) при регистрации нового пользователя, должен действовать в течение ограниченного срока времени. Пользователь должен изменить временный пароль при первом входе в систему.
4.4. Хранение пароля:
4.4.1. запрещается записывать пароли на бумаге, в файле, электронной записной книжке, мобильном телефоне и любых других предметах и носителях информации;
4.4.2. запрещается сообщать свой пароль полностью или частично другим пользователям, запрещается спрашивать или подсматривать пароль других пользователей;
4.4.3. запрещается регистрировать других пользователей в программных продуктах (информационных системах персональных данных, при их наличии) со своим личным паролем, запрещается входить в программные продукте (информационные системы персональных данных, при их наличии) под учётной записью и паролем другого пользователя.
4.5. Действия в случае утери и компрометации пароля:
4.5.1. В случае утери или компрометации (разглашения, утраты) или подозрения в компрометации пароля пользователь должен немедленно обратиться к ответственному за организацию обработки персональных данных и обеспечение безопасности персональных данных в программных продуктах (информационных системах персональных данных, при их наличии) с целью смены личного пароля.
V ОТВЕТСТВЕННОСТЬ
5.1. Работники несут персональную ответственность за соблюдение требований настоящей Инструкции, за качество проводимых ими работ по обеспечению безопасности информации и за все действия, совершенные от имени их учётных записей в программных продуктах (информационных системах персональных данных, при их наличии), если с их стороны не было предпринято необходимых действий для предотвращения несанкционированного использования его учётной записи.
5.2. Работники при нарушении норм, регулирующих получение, обработку и защиту информации, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации.
5.3. Разглашение информации (передача их посторонним лицам, в том числе другим работникам, не имеющим к ним допуск), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные субъекта, а также иные нарушения обязанностей по их защите и обработке, установленных локальными нормативно-правовыми актами Администрации, влечет наложение на работника, имеющего доступ к защищаемой информации, дисциплинарных взысканий в виде: замечания, выговора, увольнения. Работник Администрации, имеющий доступ к информации и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба Администрации (в соответствии с п.7 ст. 243 Трудового кодекса РФ).
5.4. В отдельных случаях, при разглашении персональных данных, работник, совершивший указанный проступок, несет ответственность в соответствии со ст. 13.14 Кодекса об административных правонарушениях РФ.
5.5. В случае незаконного сбора или публичного распространения информации о частной жизни лица (нарушения неприкосновенности частной жизни), предусмотрена ответственность в соответствии со ст. 137 Уголовного кодекса РФ.
Приложение № 8
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№1014 от 23.08.2023 г.
ИНСТРУКЦИЯ
пользователя программных продуктов (информационных систем персональных данных, при их наличии) в Администрации местного самоуправления Моздокского района Республики Северная Осетия-Алания
I ОБЩИЕ ПОЛОЖЕНИЯ
III. Общие обязанности работников
Приложение № 9
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№1014 от 23.08.2023 г.
ПОРЯДОК
уничтожения персональных данных в Администрации местного самоуправления Моздокского района Республики Северная Осетия-Алания
Приложение № 10
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№1014 от 23.08.2023 г.
ПРАВИЛА
рассмотрения запросов субъектов персональных данных или
их представителей в Администрации местного самоуправления
Моздокского района Республики Северная Осетия-Алания
Субъект персональных данных вправе обратиться повторно в Администрацию или направить повторный запрос в целях получения сведений, указанных в части 7 статьи 14 Федерального закона № 152-ФЗ, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в настоящем пункте, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с необходимыми сведениями должен содержать обоснование направления повторного запроса.
Сводная таблица действий в ответ на запросы по персональным данным
№ |
Запрос |
Действия |
Срок |
Ответ |
I. Запрос Субъекта ПДн или его Представителя |
||||
1.1. |
Наличие ПДн |
Подтверждение обработки ПДн |
30 дней (согласно пункту 1 статьи 20 152-ФЗ) |
Подтверждение обработки ПДн |
Отказ подтверждения обработки ПДн |
30 дней (согласно пункту 2 статьи 20 152-ФЗ) |
Уведомление об отказе подтверждения обработки ПДн |
||
1.2. |
Ознакомление с ПДн |
Предоставление информации по ПДн |
30 дней (согласно пункту 1 статьи 20 152-ФЗ) |
1. Подтверждение обработки ПДн, а также правовые основания и цели такой обработки. 2. Способы обработки ПДн. 3. Сведения о лицах, которые имеют доступ к ПДн. 4. Перечень обрабатываемых ПДн и источник их получения. 5. Сроки обработки ПДн, в том числе сроки их хранения. 6. Информация об осуществленных или о предполагаемой трансграничной передаче. 7. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу. |
Отказ предоставления информации по ПДн |
30 дней (согласно пункту 2 статьи 20 152-ФЗ) |
Уведомление об отказе предоставления информации |
||
1.3. |
Уточнение ПДн |
Изменение ПДн |
7 рабочих дней со дня предоставления уточняющих сведений (согласно пункту 3 статьи 20 152-ФЗ) |
Уведомление о внесенных изменениях |
Отказ изменения ПДн |
Уведомление об отказе изменения ПДн |
|||
1.4. |
Уничтожение ПДн |
Уничтожение ПДн |
7 рабочих дней со дня предоставления сведений о незаконном получении ПДн или отсутствии необходимости ПДн для заявленной цели обработки (согласно пункту 3 статьи 20 152-ФЗ) |
Уведомление об уничтожении |
Отказ уничтожения ПДн |
Уведомление об отказе уничтожения ПДн |
|||
1.5. |
Отзыв согласия на обработку ПДн |
Прекращение обработки и уничтожение ПДн |
30 дней (согласно пункту 5 статьи 21 152-ФЗ) |
Уведомление о прекращении обработки и уничтожении ПДн |
Отказ прекращения обработки и уничтожения ПДн |
Уведомление об отказе прекращения обработки и уничтожения ПДн |
|||
1.6. |
Недостоверность ПДн Субъекта |
Блокировка ПДн |
С момента обращения Субъекта ПДН о недостоверности или с момента получения запроса на период проверки (согласно пункту 1 статьи 21 152-ФЗ) |
Уведомление о внесенных изменениях |
Изменение ПДн |
7 рабочих дней со дня предоставления уточненных сведений (согласно пункту 2 статьи 21 152-ФЗ) |
|||
Снятие блокировки ПДн |
||||
Отказ изменения ПДн |
Уведомление об отказе изменения ПДн |
|||
1.7. |
Неправомерность действий с ПДн Субъекта |
Прекращение неправомерной обработки ПДн |
3 рабочих дня (согласно пункту 3 статьи 21 152-ФЗ) |
Уведомление об устранении нарушений |
Уничтожение ПДн в случае невозможности обеспечения правомерности обработки |
10 рабочих дней (согласно пункту 3 статьи 21 152-ФЗ) |
Уведомление об уничтожении ПДн |
||
1.8. |
Достижение целей обработки ПДн Субъекта |
Прекращение обработки ПДн |
30 дней (согласно пункту 4 статьи 21 152-ФЗ), если иное не предусмотрено договором с субъектом ПДн |
Уведомление об уничтожении ПДн |
Уничтожение ПДн |
||||
II. Запрос Уполномоченного органа по защите прав Субъекта ПДн |
||||
2.1. |
Информация для осуществления деятельности уполномоченного органа |
Предоставление затребованной информации по ПДн |
30 дней (согласно пункту 4 статьи 20 152-ФЗ) |
Предоставление затребованной информации по ПДн |
2.2. |
Недостоверность ПДн Субъекта |
Блокировка ПДн |
С момента обращения Уполномоченного органа о недостоверности или с момента получения запроса на период проверки (согласно пункту 1 статьи 21 152-ФЗ) |
Уведомление о внесенных изменениях |
Изменение ПДн |
7 рабочих дней со дня предоставления уточненных сведений (согласно пункту 2 статьи 21 152-ФЗ) |
|||
Снятие блокировки ПДн
|
||||
Отказ изменения ПДн |
Уведомление об отказе изменения ПДн |
|||
2.3. |
Неправомерность действий с ПДн Субъекта |
Прекращение неправомерной обработки ПДн |
3 рабочих дня (согласно пункту 3 статьи 21 152-ФЗ) |
Уведомление об устранении нарушений |
Уничтожение ПДн в случае невозможности обеспечения правомерности обработки |
10 рабочих дней (согласно пункту 3 статьи 21 152-ФЗ) |
Уведомление об уничтожении ПДн |
||
2.4. |
Достижение целей обработки ПДн Субъекта |
Блокировка ПДн |
30 дней (согласно пункту 4 статьи 21 152-ФЗ), если иное не предусмотрено договором с субъектом ПДн |
Уведомление об уничтожении ПДн |
Уничтожение ПДн
|
Приложение № 11
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№1014 от 23.08.2023 г.
ЖУРНАЛ
учета хранилищ материальных носителей персональных данных Администрации местного
самоуправления Моздокского района Республики Северная Осетия-Алания
ДДата |
Наименование хранилища (сейф, металлический шкаф) |
Инвентарный номер |
Местонахождение (подразделение, номер комнаты) |
Что находится (документы, изделия) |
Ф.И.О. Ответственного за сейф (шкаф) |
Кол-во комплектов ключей и их номера |
Подпись ответственного за хранилище о выдаче ключа и дата |
Подпись, подтверждающая получение ключа, и дата |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
|
|
|
|
|
|
|
|
|
ЖУРНАЛ
учета средств защиты информации, эксплуатационной и технической документации к ним в Администрации местного самоуправления Моздокского района Республики Северная Осетия-Алания
№ п/п |
Индекс и наименование средств защиты информации |
Серийный (заводской) номер |
Номер специального защитного знака |
Наименование организации, установившей СЗИ |
Место установки |
Примечание |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
|
|
|
|
|
|
|
ЖУРНАЛ
учета мероприятий по контролю обеспечения защиты информации
Администрации местного самоуправления Моздокского района
Республики Северная Осетия-Алания
№ п/п |
Мероприятие |
Дата |
Исполнитель (ФИО, подпись) |
Результат |
11 |
2 |
3 |
4 |
5 |
|
|
|
|
|
ЖУРНАЛ
регистрации обращений субъектов персональных данных, чьи персональные данные
обрабатываются в Администрации местного самоуправления Моздокского района
Республики Северная Осетия-Алания
№ п/п |
Дата поступления обращения |
ФИО, адрес субъекта |
Исполнитель |
Исх. №, дата ответа |
Дата, способ отправки |
Примечание |
11 |
2 |
3 |
4 |
5 |
6 |
7 |
|
|
|
|
|
|
|
ЖУРНАЛ
поэкземплярного учета средств криптографической защиты информации,
эксплуатационной и технической документации к ним, ключевых документов
Администрации местного самоуправления Моздокского района Республики Северная Осетия-Алания
№ п.п. |
Наименование криптосредства, эксплуатационной и технической документации к ним, ключевых документов |
Регистрационные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов |
Номера экземпляров (криптографические номера) ключевых документов |
Отметка о получении |
Отметка о выдаче |
||
От кого получены |
Дата и номер сопроводительного |
Ф.И.О. пользователя криптосредств |
Дата и расписка в получении |
||||
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
|
|
|
|
|
|
|
|
ЖУРНАЛ
проведения инструктажей по информационной безопасности в Администрации
местного самоуправления Моздокского района Республики Северная Осетия-Алания
№ п/п |
Инструктаж |
Инструктируемый |
Инструктирующий |
|||
Дата |
Тема |
ФИО |
Подпись |
ФИО |
Подпись |
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
|
|
|
|
|
|
|
ЖУРНАЛ
учета проведения ознакомления работников с законодательством и локальными актами по персональным данным в Администрации местного самоуправления Моздокского района Республики Северная Осетия-Алания
№ п/п |
Фамилия, имя, отчество работника |
Дата проведения ознакомления |
Подпись работника |
Подпись должностного лица, проводившего ознакомление |
|
ФИО |
Подпись |
||||
1 |
2 |
3 |
4 |
5 |
6 |
|
|
|
|
|
|
ЖУРНАЛ
учета нештатных ситуаций, фактов вскрытия и опечатывания технических средств, выполнения профилактических работ, установки и модификации аппаратных и программных средств обработки персональных данных в Администрации местного самоуправления Моздокского района Республики Северная Осетия-Алания
№ п/п |
Дата |
Краткое описание выполненной работы (нештатной ситуации) |
Ф.И.О. ответственного за обеспечение безопасности персональных данных, подпись |
Ф.И.О. администратора информационной системы, подпись |
Примечание |
11 |
2 |
3 |
4 |
5 |
6 |
|
|
|
|
|
|
ЖУРНАЛ
учета съемных машинных носителей персональных данных в Администрации местного самоуправления Моздокского района Республики Северная Осетия-Алания
№ п/п |
Тип носителя |
Номер (серийный/инвентарный) |
Расписка в получении |
Подпись ответственного лица |
Место хранения |
Примечание |
Дата и номер акта уничтожения |
||
Ф.И.О. |
дата |
подпись |
|||||||
11 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
|
|
|
|
|
|
|
|
|
|
ЖУРНАЛ
учета проверок Администрации местного самоуправления Моздокского района Республики Северная Осетия-Алания, проводимых органами государственного контроля (надзора), органами муниципального контроля
№ п/п |
Дата начала и окончания проверки |
Общее время проведения проверки (в часах) |
Наименование органа государственного, муниципального контроля |
Дата и номер распоряжения (приказа) о проведении проверки |
Цель, задачи и предмет проверки |
Вид проверки (плановая, внеплановая) |
Дата и номер акта, составленного по результатам проверки, дата вручения |
Выявленные нарушения (содержание нарушения со ссылкой на положение нормативного акта) |
Дата, номер и содержание предписания об устранении нарушений |
Ф.И.О., должность лица проводившего проверку |
Ф.И.О.должности экспертов, представителей экспертных организаций |
Подпись должностного лица, проводившего проверку |
11 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
12 |
13 |
|
|
|
|
|
|
|
|
|
|
|
|
|