Распоряжение № 5-р от 15.02.2019 О назначении ответственных за организацию обработки и обеспечение безопасности персональных данных и утверждении их должностных инструкций
АДМИНИСТРАЦИЯ НИЖНЕБАЙГОРСКОГО СЕЛЬСКОГО ПОСЕЛЕНИЯ ВЕРХНЕХАВСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
ВОРОНЕЖСКОЙ ОБЛАСТИ
РАСПОРЯЖЕНИЕ
« 15 » февраля 2019 года № 5-р
с. Нижняя Байгора
О назначении ответственных
за организацию обработки
и обеспечение безопасности
персональных данных и утверждении
их должностных инструкций
В соответствии с частью 1 статьи 22.1 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», подпунктами "а", "б" пункта 1 «Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 и пункта 9 «Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденных приказом ФСТЭК России от 11 февраля 2013 года № 17
1. Назначить Бугаенко Е.Н. – ведущего специалиста администрации Нижнебайгорского сельского поселения ответственным за организацию обработки персональных данных в администрации Нижнебайгорского сельского поселения.
2. Назначить Литвинову Т.А. – инспектора по земельным вопросам ответственным за обеспечение безопасности персональных данных в администрации Нижнебайгорского сельского поселения.
3. Утвердить должностную инструкцию ответственного за организацию обработки персональных данных в администрации Нижнебайгорского сельского поселения (приложение № 1).
4. Утвердить должностную инструкцию ответственного за обеспечение безопасности персональных данных в администрации Нижнебайгорского сельского поселения (приложение № 2).
5. Контроль за исполнением настоящего распоряжения оставляю за собой.
Глава администрации А.В.Требунских
Нижнебайгорского сельского поселения
Приложение № 1
к распоряжению № 5-р
от « 15 » февраля 2019 года
Должностная инструкция
ответственного за организацию обработки персональных данных в администрации Нижнебайгорского сельского поселения
Общие положения
Настоящая должностная инструкция определяет права, обязанности и ответственность лица, ответственного за организацию обработки персональных данных в администрации Нижнебайгорского сельского поселения.
Ответственный за организацию обработки персональных данных назначается главой администрации Нижнебайгорского сельского поселения.
1. Специалист, ответственный за организацию обработки персональных данных, должен обладать следующими профессиональными знаниями:
знание федерального, областного законодательства и иных нормативных правовых актов в сфере персональных данных;
знание понятия персональных данных.
3.Ответственный за организацию обработки персональных данных в своей деятельности руководствуется:
• Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».
• Постановлением Правительства Российской Федерации от 12 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
• Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
• Приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 года № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
• Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
• Иными действующими нормативными правовыми актами в сфере организации обработки и обеспечения безопасности персональных данных, а также приказами руководителя Департамента.
Обязанности ответственного за организацию
обработки персональных данных
Ответственный за организацию обработки персональных данных в администрации Нижнебайгорского сельского поселения обязан:
обеспечивает уведомление уполномоченного органа по защите прав субъектов персональных данных об обработке (о намерении осуществлять обработку) персональных данных, изменении сведений, указанных в уведомлении, или о прекращении обработки персональных данных;
организовывает и контролирует разработку, а также поддержание в актуальном состоянии документов, определяющих политику органа государственной власти, органа местного самоуправления, организации[1] (далее – ГО/ОМСУ/организация) в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
обеспечивает ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организует обучение указанных работников;
осуществляет внутренний контроль за соблюдением ГО/ОМСУ/ организацией и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, политики ГО/ОМСУ/организации в отношении обработки персональных данных, локальных актов ГО/ОМСУ/организации;
организовывает прием и обработку обращений и запросов субъектов персональных данных, или их представителей, поступивших в соответствии с частью 3 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов.
Права ответственного за организацию обработки
персональных данных
Ответственный за организацию обработки персональных данных в администрации Нижнебайгорского сельского поселения имеет право:
- Требовать от сотрудников администрации Нижнебайгорского сельского поселения выполнения документов, определяющих политику в отношении обработки персональных данных и регламентирующих обработку и обеспечение безопасности персональных данных в департаменте.
- Контролировать деятельность структурных подразделений администрации Нижнебайгорского сельского поселения в части выполнения ими требований в области организации обработки и обеспечения безопасности персональных данных.
- Участвовать в разработке мероприятий по совершенствованию мер по организации обработки и обеспечению безопасности персональных данных в администрации Нижнебайгорского сельского поселения.
- Инициировать проведение служебных расследований по фактам нарушения установленных требований по защите персональных данных, нарушению конфиденциальности персональных данных, утраты технических средств из состава информационных систем персональных данных, машинных носителей персональных данных в администрации Нижнебайгорского сельского поселения.
- Обращаться к руководителю администрации Нижнебайгорского сельского поселения с предложением о приостановке процесса обработки персональных данных в информационных системах персональных данных или отстранению от работы с персональными данными сотрудников администрации Нижнебайгорского сельского поселения в случаях нарушения установленной технологии обработки персональных данных или нарушения требований по защите персональных данных.
Ответственность
Ответственный за организацию обработки персональных данных в администрации Нижнебайгорского сельского поселения несет персональную ответственность, предусмотренную действующим законодательством за:
• выполнение возложенных на него обязанностей, предусмотренных настоящей инструкцией;
• качество проводимых работ по организации обработки персональных данных в соответствии с функциональными обязанностями;
• разглашение персональных данных, ставшими известными ему по роду своей работы.
Приложение № 2
к распоряжению № 5-р
от « 15 » февраля 2019 года
Должностная инструкция
ответственного за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных в администрации Нижнебайгорского сельского поселения
Общие положения
Настоящая должностная инструкция определяет права, обязанности и ответственность лица, ответственного за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных в администрации Нижнебайгорского сельского поселения.
Ответственный за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных назначается главой администрации Нижнебайгорского сельского поселения.
Ответственный за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных в своей деятельности руководствуется:
• Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».
• Постановлением Правительства Российской Федерации от 12 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
• Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
• Приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 года № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
• Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
• Иными действующими нормативными правовыми актами в сфере организации обработки и обеспечения безопасности персональных данных, а также приказами главы администрации Нижнебайгорского сельского поселения.
1. Специалисты, ответственные за обеспечение защиты информации, должны обладать следующими профессиональными знаниями:
знание федерального, областного законодательства и иных нормативных правовых актов по вопросам обеспечения информационной безопасности и государственной политики в сфере информатизации и защиты информации;
знание порядка и методов защиты информации, доступ к которой ограничен законодательством Российской Федерации и иной охраняемой законом информации;
знание современных информационно-коммуникационных технологий, аппаратного и программного обеспечения;
знание принципов работы сетевых протоколов, построения компьютерных сетей;
знание методов информационного обеспечения;
знание методов и средств получения, обработки и передачи информации;
знание понятий информационной системы, объекта информатизации, информационного ресурса;
знание понятий информационной безопасности и защиты информации;
знание программно-технических способов и средств обеспечения информационной безопасности;
знание принципов работы программных и программно-аппаратных средств защиты информации;
знание порядка разработки системы защиты информации объекта защиты;
знание понятия криптографической защиты информации;
знание порядка проведения аттестационных испытаний объекта информатизации.
Специалисты, ответственные за обеспечение защиты информации, должны обладать следующими профессиональными умениями:
умение определять потребность в обеспечении защиты информации и в применении средств защиты информации;
умение устанавливать и применять средства защиты информации;
умение устанавливать и поддерживать в рабочем состоянии системное и прикладное программное обеспечение;
умение проводить оценку защищенности и аттестационные испытания объекта информатизации;
умение рассчитывать, анализировать и обобщать результаты, составлять технические отчеты и аналитические материалы по вопросам обеспечения информационной безопасности.
Обязанности ответственного
за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных
Ответственный за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных в администрации Нижнебайгорского сельского поселения обязан:
2. Должностные обязанности специалистов, ответственных за обеспечение защиты информации:
исполняет обязанности сотрудника, ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных ГО/ОМСУ/организации[2];
исполняет обязанности сотрудника, ответственного за обеспечение защиты информации в государственных/муниципальных информационных системах ГО/ОМСУ/организации[3];
исполняет обязанности сотрудника, ответственного за обеспечение технической защиты информации, содержащей сведения, составляющие государственную тайну, на объектах информатизации ГО/ОМСУ/организации[4];
исполняет обязанности сотрудника, ответственного за обеспечение безопасности значимых объектов критической информационной инфраструктуры ГО/ОМСУ/организации[5];
разрабатывает перечни информационных (автоматизированных) систем и иных объектов информатизации ГО/ОМСУ/организации и предоставляет их на утверждение руководителю ГО/ОМСУ/организации;
подготавливает необходимые сведения для проведения категорирования и классификации информационных (автоматизированных) систем и иных объектов информатизации ГО/ОМСУ/организации по требованиям защиты информации, оформляет полученные результаты актами и представляет их на утверждение руководителю ГО/ОМСУ/организации;
подготавливает необходимые сведения для определения уровней защищенности персональных данных при их обработке в информационных системах персональных данных ГО/ОМСУ/организации, оформляет полученные результаты актами и представляет их на утверждение руководителю ГО/ОМСУ/организации3;
подготавливает сведения для определения контролируемой зоны в ГО/ОМСУ/организации, оформляет полученные результаты документально и представляет их на утверждение руководителю ГО/ОМСУ/организации;
обеспечивает определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационных системах ГО/ОМСУ/организации, возможностей нарушителей по реализации угроз безопасности информации, а также разработку и утверждение моделей угроз безопасности информации;
осуществляет выбор мер защиты информации в ГО/ОМСУ/организации, в том числе определяет необходимость применения сертифицированных на соответствие требованиям по безопасности информации средств защиты информации, в том числе средств криптографической защиты информации, а также требуемые классы данных средств защиты информации;
осуществляет анализ имеющихся на рынке средств защиты информации и формирует предложения по их закупке;
устанавливает и настраивает средства защиты информации в ГО/ОМСУ/организации в соответствии с инструкциями (правилами) по эксплуатации, разработанными разработчиками (производителями) этих средств, и иной эксплуатационной документацией на средства защиты информации с учетом установленных классов защищенности;
контролирует сроки действия сертификатов соответствия требованиям по безопасности информации на применяемые в ГО/ОМСУ/организации средства защиты информации;
организовывает проведение специальной проверки и специальных исследований технических средств и систем в ГО/ОМСУ/организации5;
обеспечивает проведение аттестации информационных (автоматизированных) систем и иных объектов информатизации ГО/ОМСУ/организации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну, и иной информации ограниченного доступа, по требованиям защиты информации, а также проведение периодической оценки эффективности защиты (защищенности) информации на данных объектах защиты;
обеспечивает проведение оценки эффективности принимаемых ГО/ ОМСУ/организацией мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ГО/ОМСУ/организации и документальное оформление ее результатов3;
осуществляет сопровождение функционирования систем защиты информации объектов защиты ГО/ОМСУ/организации в ходе их эксплуатации, включая ведение эксплуатационной документации и организационно-распорядительных документов по защите информации;
осуществляет функции администратора безопасности в информационных (автоматизированных) системах ГО/ОМСУ/организации, в том числе осуществляет управление средствами защиты информации, параметрами настройки программного обеспечения средств защиты информации, восстановление работоспособности средств защиты информации, а также управление полномочиями пользователей информационных (автоматизированных) систем ГО/ОМСУ/организации и их учетными записями, поддерживает правила разграничения доступа в информационных (автоматизированных) системах, генерацию, смену и восстановление паролей;
осуществляет установку обновлений программного обеспечения средств защиты информации, применяемых на объектах защиты ГО/ОМСУ/организации;
поддерживает установленный порядок и правила антивирусной защиты информации в информационных (автоматизированных) системах ГО/ОМСУ/организации, включая периодическое обновление применяемых средств антивирусной защиты и баз данных признаков вредоносных компьютерных программ (вирусов);
обеспечивает резервное копирование информации, содержащейся в информационных (автоматизированных) системах ГО/ОМСУ/организации, включая программное обеспечение применяемых средств защиты информации, а также восстановление модифицированной или уничтоженной информации с использованием ее резервных копий;
учитывает машинные носители информации, используемые в ГО/ОМСУ/организации для обработки и хранения информации ограниченного доступа;
учитывает средства криптографической защиты информации, применяемые в ГО/ОМСУ/организации для обеспечения защиты информации;
осуществляет анализ и оценку функционирования информационных (автоматизированных) систем и иных объектов информатизации ГО/ОМСУ/организации и их систем защиты информации, включая анализ и устранение уязвимостей и иных недостатков в функционировании систем защиты информации;
осуществляет мониторинг и анализ зарегистрированных событий в информационных (автоматизированных) системах, связанных с обеспечением безопасности;
осуществляет выявление фактов несанкционированного доступа к объектам защиты ГО/ОМСУ/организации и принимает меры по их устранению и предупреждению;
своевременно информирует непосредственного руководителя о несанкционированных действиях сотрудников ГО/ОМСУ/организации и иных лиц, эксплуатирующих информационные (автоматизированные) системы и иные объекты информатизации ГО/ОМСУ/организации;
принимает участие в расследовании инцидентов информационной безопасности в ГО/ОМСУ/организации, а также разрабатывает предложения по устранению недостатков и предупреждению данных инцидентов;
проводит инструктаж сотрудников ГО/ОМСУ/организации и иных лиц, эксплуатирующих информационные (автоматизированные) системы и иные объекты информатизации в ГО/ОМСУ/организации, в ходе которого информирует об угрозах безопасности информации, о правилах эксплуатации применяемых средств защиты информации, доводит требования и положения нормативных и организационно-распорядительных документов по защите информации, а также проводит их обучение правилам эксплуатации средств защиты информации;
осуществляет контроль исполнения нормативных требований по защите информации сотрудниками ГО/ОМСУ/организации, а также иными лицами, эксплуатирующими информационные (автоматизированные) системы и иные объекты информатизации в ГО/ОМСУ/организации;
проводит методические занятия по вопросам обеспечения информационной безопасности с сотрудниками ГО/ОМСУ/организации и подведомственных организаций[6];
обеспечивает проведение проверок организации работ по защите информации в ГО/ОМСУ/организации, а также внутреннего контроля состояния защиты информации в информационных (автоматизированных) системах и иных объектах информатизации ГО/ОМСУ/организации;
участвует во внутреннем контроле за соблюдением ГО/ОМСУ/организацией и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, политики ГО/ОМСУ/организации в отношении обработки персональных данных, локальных актов ГО/ОМСУ/организации3;
осуществляет координацию обеспечения защиты информации в информационных (автоматизированных) системах подведомственных ГО/ОМСУ организациях[7];
осуществляет мониторинг состояния информационной безопасности в подведомственных ГО/ОМСУ организациях8;
разрабатывает и согласовывает проекты нормативных и правовых актов ГО/ОМСУ/организации по вопросам обеспечения информационной безопасности;
разрабатывает проекты методических документов по вопросам обеспечения информационной безопасности в ГО/ОМСУ/организации и в подведомственных организациях7;
подготавливает технические задания на выполнение работ по защите информации в ГО/ОМСУ/организации;
разрабатывает и поддерживает в актуальном состоянии документы, определяющие правила и процедуры, реализуемые ГО/ОМСУ/организацией для обеспечения защиты информации;
подготавливает решения о вводе информационных (автоматизированных) систем и иных объектов информатизации ГО/ОМСУ/организации в эксплуатацию и выводе их из эксплуатации;
подготавливает заявки в департамент связи и массовых коммуникаций Воронежской области на регистрацию, актуализацию сведений, отмену регистрации государственных информационных систем ОГВ, организации в едином реестре государственных информационных систем Воронежской области, в соответствии с положением, утвержденным постановлением правительства Воронежской области от 28.04.2011 № 3404;
контролирует выполнение нормативных требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных/муниципальных информационных систем в ГО/ОМСУ/организации4;
подготавливает аналитические материалы о состоянии защиты информации в ГО/ОМСУ/организации и подведомственных организациях7;
разрабатывает ежегодный план мероприятий по обеспечению защиты информации в ГО/ОМСУ/организации;
подготавливает информационные материалы об исполнении решений комиссии по информационной безопасности при губернаторе Воронежской области в ГО/ОМСУ/организации и в подведомственных организациях7;
подготавливает информацию для правительства Воронежской области по вопросам обеспечения информационной безопасности в ГО/ОМСУ/организации и в подведомственных организациях7.
Права ответственного за обеспечение безопасности
персональных данных, обрабатываемых в информационных
системах персональных данных
Ответственный за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных администрации Нижнебайгорского сельского поселения имеет право:
- Запрашивать и получать необходимые материалы для организации и проведения работ по вопросам обеспечения безопасности персональных данных.
- Разрабатывать проекты организационных и распорядительных документов по обеспечению безопасности персональных данных.
- Контролировать деятельность структурных подразделений администрации Нижнебайгорского сельского поселения в части выполнения ими требований в области организации обработки и обеспечения безопасности персональных данных.
- Готовить предложения о привлечении к проведению работ по обеспечению безопасности персональных данных на договорной основе организаций, имеющих лицензии на право проведения работ в области защиты информации.
- Участвовать в разработке мероприятий по совершенствованию мер по организации обработки и обеспечению безопасности персональных данных в администрации Нижнебайгорского сельского поселения.
- Участвовать в проведении служебных расследований по фактам нарушения установленных требований по защите персональных данных, нарушению конфиденциальности персональных данных, утраты технических средств из состава информационных систем персональных данных, машинных носителей персональных данных в администрации Нижнебайгорского сельского поселения.
- Обращаться к руководителю администрации Нижнебайгорского сельского поселения с предложением о приостановке процесса обработки персональных данных в информационных системах персональных данных или отстранению от работы с персональными данными сотрудников администрации Нижнебайгорского сельского поселения в случаях нарушения установленной технологии обработки персональных данных или нарушения требований по защите персональных данных.
Ответственность
Ответственный за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных администрации Нижнебайгорского сельского поселения несет персональную ответственность, предусмотренную действующим законодательством за:
• выполнение возложенных на него обязанностей, предусмотренных настоящей инструкцией;
• качество проводимых работ по обеспечению безопасности персональных данных в соответствии с функциональными обязанностями;
• разглашение персональных данных, ставшими известными ему по роду своей работы.
[2] Обязанность включается только в том случае, если ГО/ОМСУ/организация является оператором информационных систем персональных данных.
[3] Обязанность включается только в том случае, если ГО/ОМСУ/организация является оператором государственных/муниципальных информационных систем.
[4] Обязанность включается только в том случае, если в ГО/ ОМСУ/организации имеются собственные объекты информатизации, предназначенные для обработки информации, содержащей сведения, составляющие государственную тайну.
[5] Обязанность включается только в том случае, если ГО/ОМСУ/организации принадлежат значимые объекты критической информационной инфраструктуры.
[6] В содержание обязанности включаются и подведомственные организации только в ГО/ ОМСУ, у которых имеются подведомственные организации.
[7] Обязанность включается только в ГО/ОМСУ, у которых имеются подведомственные организации.