Официальный сайт ГБУ ИМЦ Красносельского района Санкт-Петербурга
 

Защита персональных данных

Перечень основных документов, регламентирующих работу с персональными данными в ОУ

Конвенция
1. “Конвенция о защите физических лиц при автоматизированной обработке персональных данных” (Заключена в г.
Страсбурге 28.01.1981)
2. Федеральный закон от 19.12.2005 N 160-ФЗ “О ратификации Конвенции Совета Европы о защите физических лиц при
автоматизированной обработке персональных данных”

Федеральные законы

  1. Федеральный закон от 27.07.2006 N 149-ФЗ “Об информации, информационных технологиях и о защите информации”
  2. Федеральный закон от 27.07.2006 N 152-ФЗ “О персональных данных”
  3. Федеральный закон от 21.07.2014 N 242-ФЗ “О внесении изменений в отдельные законодательные акты Российской
    Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях”
    (начало действия редакции – 01.09.2015)
  4. Федеральный закон от 07.05.2013 N 99-ФЗ “О внесении изменений в отдельные законодательные акты Российской
    Федерации в связи с принятием Федерального закона “О ратификации Конвенции Совета Европы о защите физических лиц
    при автоматизированной обработке персональных данных” и Федерального закона “О персональных данных”
  5. Федеральный закон от 27.07.2004 N 79-ФЗ “О государственной гражданской службе Российской Федерации”. Глава 7.
    Персональные данные гражданского служащего. Кадровая служба государственного органа
  6. Федеральный закон от 02.03.2007 N 25-ФЗ “О муниципальной службе в Российской Федерации” Статья 29. Персональные
    данные муниципального служащего
  7. Федеральный закон от 27.05.2003 N 58-ФЗ “О системе государственной службы Российской Федерации”. Статья 14. Стаж
    (общая продолжительность) государственной службы. Персональные данные государственных служащих
  8. Трудовой кодекс Российской Федерации. Глава 14. Защита персональных данных работника

Указы Президента
1. Указ Президента РФ от 06.03.1997 N 188 “Об утверждении Перечня сведений конфиденциального характера”
2. Указ Президента РФ от 30.04.2005 №609 “Об утверждении Положения о персональных данных государственного служащего Российской
Федерации и ведения его личного дела”(с посл.изменениями от 01.07.2014г.)

Постановления Правительства РФ

  1. Постановление Правительства РФ от 01.11.2012 N 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”
  2. Постановление Правительства РФ от 15.09.2008 N 687 “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”
  3. Постановление Правительства РФ от 21.03.2012 N 211 “Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом “О персональных данных” и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами”
  4. Постановление Правительства РФ от 06.07.2008 N 512 “Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных”
  5. Постановление Правительства РФ от 19.08.2015 N 857 “Об автоматизированной информационной системе “Реестр нарушителей прав субъектов персональных данных” (вместе с “Правилами создания, формирования и ведения автоматизированной информационной системы “Реестр нарушителей прав субъектов персональных данных”)
  6. Постановление Правительства РФ от 18.09.2012 N 940 “Об утверждении Правил согласования проектов решений ассоциаций, союзов и иных объединений операторов об определении дополнительных угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю”
  7. Постановление Правительства РФ от 13.02.2019 №146 «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации»

Документы ФСТЭК России

1. Приказ ФСТЭК России от 18.02.2013 N 21 “Об утверждении Состава и содержания организационных и технических мер по
обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”
(Зарегистрировано в Минюсте России 14.05.2013 N 28375)
2. Приказ ФСТЭК России от 11.02.2013 N 17 “Об утверждении Требований о защите информации, не составляющей государственную
тайну, содержащейся в государственных информационных системах” (Зарегистрировано в Минюсте России 31.05.2013 N 28608)
3. “Методический документ. Меры защиты информации в государственных информационных системах” (утв. ФСТЭК России
11.02.2014)
4. Приказ ФСТЭК России от 14.03.2014 N 31 “Об утверждении Требований к обеспечению защиты информации в автоматизированных
системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных
объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной
среды” (Зарегистрировано в Минюсте России 30.06.2014 N 32919)
5. “Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах
персональных данных” (утв. ФСТЭК России 14.02.2008)
6. “Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных”
(Выписка) (утв. ФСТЭК России 15.02.2008)
7. Информационное сообщение ФСТЭК России «Об особенностях защиты персональных данных при их обработке в информационных
системах персональных данных и сертификации средств защиты информации, предназначенных для защиты персональных данных»
от 20 ноября 2012 г. № 240/24/4669
8. Информационное сообщение ФСТЭК России по вопросам защиты информации и обеспечения безопасности персональных данных
при их обработке в информационных системах в связи с изданием приказа ФСТЭК России от 11 февраля 2013 г. № 17 «Об
утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных
информационных системах» и приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания
организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных
системах персональных данных» от 15 июля 2013 г. № 240/22/2637
9. Информационное сообщение ФСТЭК России по вопросам обеспечения безопасности информации в ключевых системах
информационной инфраструктуры в связи с изданием приказа ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к
обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами
на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для
жизни и здоровья людей и для окружающей природной среды» от 25 июля 2014 г. № 240/22/2748
10. Информационное сообщение ФСТЭК России о банке данных угроз безопасности информации от 6 марта 2015 г. № 240/22/879

Документы ФСБ России

1. Приказ ФСБ России от 10.07.2014 N 378 “Об утверждении Состава и содержания организационных и технических
мер по обеспечению безопасности персональных данных при их обработке в информационных системах
персональных данных с использованием средств криптографической защиты информации, необходимых для
выполнения установленных Правительством Российской Федерации требований к защите персональных данных для
каждого из уровней защищенности” (Зарегистрировано в Минюсте России 18.08.2014 N 33620)
2. “Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности
персональных данных, актуальные при обработке персональных данных в информационных системах персональных
данных, эксплуатируемых при осуществлении соответствующих видов деятельности” (утв. руководством 8 Центра
ФСБ России 31 марта 2015 года №149/7/2/6-432).
3. “Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при
их обработке в информационных системах персональных данных с использованием средств автоматизации” (утв. ФСБ
РФ 21.02.2008 N 149/54-144)
4. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических)
средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную
тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в
информационных системах персональных данных (утв. ФСБ РФ 21.02.2008 N 149/6/6-622)
5. Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением
требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных
данных при их обработке в информационных системах персональных данных (утв. ФСБ России 08.08.2009 N
149/7/2/6-1173)
6. Приказ ФСБ РФ от 09.02.2005 N 66 “Об утверждении Положения о разработке, производстве, реализации и
эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)” (ред. от
12.04.2010)

Документы Минкомсвязи России и Роскомнадзора

1. Приказ Минкомсвязи России от 14.11.2011 N 312 “Об утверждении Административного регламента исполнения Федеральной
службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по
осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям
законодательства Российской Федерации в области персональных данных” (Зарегистрировано в Минюсте России 13.12.2011 N 22595)
2. Приказ Минкомсвязи России от 21.12.2011 N 346 “Об утверждении Административного регламента Федеральной службы по
надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги
“Ведение реестра операторов, осуществляющих обработку персональных данных” (Зарегистрировано в Минюсте России 29.03.2012 N
23650)
3. Приказ Роскомнадзора от 16.07.2010 N 482 “Об утверждении образца формы уведомления об обработке персональных данных”
(вместе с “Рекомендациями по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку)
персональных данных”)
4. Приказ Роскомнадзора от 15.03.2013 N 274 “Об утверждении перечня иностранных государств, не являющихся сторонами
Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих
адекватную защиту прав субъектов персональных данных” (Зарегистрировано в Минюсте России 19.04.2013 N 28212)
5. Приказ Роскомнадзора от 05.09.2013 N 996 “Об утверждении требований и методов по обезличиванию персональных данных”
(вместе с “Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах
персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ”)
(Зарегистрировано в Минюсте России 10.09.2013 N 29935)
6. “Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. N 996 “Об утверждении требований и
методов по обезличиванию персональных данных” (утв. Роскомнадзором 13.12.2013)
7. Приказ Роскомнадзора от 03.12.2012 N 1255 “Об утверждении Положения об обработке и защите персональных данных в
центральном аппарате Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций”
(Зарегистрировано в Минюсте России 29.12.2012 N 26506)
8. Временные рекомендации по заполнению формы уведомления об обработке (о намерении осуществлять обработку)
персональных данных (утв.30 декабря 2014 года)
9. Приказ Роскомнадзора от 22.07.2015 N 84 “Об утверждении Порядка взаимодействия оператора реестра нарушителей прав
субъектов персональных данных с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре
нарушителей прав субъектов персональных данных, оператором связи»
10. Приказ Роскомнадзора от 22.07.2015 N 85 “Об утверждении формы заявления субъекта персональных данных о принятии мер по
ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области
персональных данных”

Разъяснения Роскомнадзора

1. “Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а
также лиц, находящихся в кадровом резерве” (от 14 декабря 2012 года)
2. “О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим
персональным данным и особенности их обработки” (от 30 августа 2013 года)
3. Федеральный закон “О персональных данных”: научно-практический комментарий. Под редакцией заместителя руководителя
Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А.Приезжаевой (2015)

[свернуть]
Применимость приказов ФСТЭК к информационным системам

  • ПДн без автоматизации: Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации«
  • ПДн в ИСПДн: Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
    • Частные информационные системы персональных данных: Приказ ФСТЭК от 18 февраля 2013 г. № 21 «Об утверждении сотсава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (4 класса защищенности)
    • Государственные информационные системы персональных данных (ГИС, МИС): Приказ ФСТЭК от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. (3 класса защищенности, сертифицированное ПО)

[свернуть]
Информационная система персональных данных

ИСПДн (Информационная система персональных данных) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Для соотнесения типа информационной системы персональных данных (ИСПДн) к тому или иному уровню защищенности необходимо:

  • Определить категорию обрабатываемых персональных данных:
    • категория 4 — обезличенные и (или) общедоступные персональные данные;
    • категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;
    • категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
    • категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
  • Определить объем персональных данных, обрабатываемых в информационной системе:
    • объем 3 — одновременно обрабатываются данные менее чем 1 000 субъектов персональных данных в пределах конкретной организации;
    • объем 2 — одновременно обрабатываются персональные данные от 1 000 до 100 000 субъектов персональных данных, работающих в отрасли экономики РФ, в органе государственной власти, проживающих в пределах муниципального образования;
    • объем 1 — одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных в пределах РФ или субъекта РФ.
  • По результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов защищенности (см. табл.):
    • класс защищенности (К-4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных;
    • класс защищенности (К-З) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
    • класс защищенности (К-2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
    • класс защищенности К-1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.

Объем / Категория Объем 3 (<1 000, организация) Объем 2 (1 000-100 000, отрасль, город) Объем1 (>100 000, субъект Федерации)
Категория 4 (обезличенные, общедоступные) Класс-4 Класс-4 Класс-4
Категория 3 (идентификационные) Класс-3 Класс-3 Класс-2
Категория 2 (идентификационные и еще) Класс-3 Класс-2 Класс-1
Категория 1 (медицинские, социальные) Класс-1 Класс-1 Класс-1

[свернуть]
Защита Персональных данных

Полный комплект документов

Наименование документа Правовые основания
1. Уведомление в Роскомнадзор* об обработке (о намерении осуществлять обработку) персональных данных (информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных). *http://rkn.gov.ru/ Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» Статья 22. Уведомление об обработке персональных данных 1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. Приказ Минкомсвязи России от 21.12.2011 № 346 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных» Утверждена форма Уведомления об обработке (о намерении осуществить обработку) персональных данных Роскомнадзор от 03.08.2017 «Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных»
2. Модель угроз и модель нарушителя безопасности информации (БИ) (Описание актуальных для организации источников угроз БИ; методов реализации угроз БИ; объектов, пригодных для реализации угроз БИ; уязвимостей, используемых источниками угроз БИ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба) Приказ ФСТЭК России от 11.02.2013 №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации. «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Приказом Гостехкомиссии России от 30.08.2002 № 282. 3.8. На предпроектной стадии по обследованию объекта информатизации: определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования объекта
3. Утверждение границ контролируемой зоны информационных систем персональных данных (ИСПДН) (схема). Контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа или рабочая площадь организации (помещения), прилегающая к ней территория и расположенные вблизи здания или часть их, доступ в которые контролируется или размер зоны для работы с ИСПДН без применения дополнительных мер защиты) «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Приказом Гостехкомиссии России от 30.08.2002 № 282. 3.8. На предпроектной стадии по обследованию объекта информатизации: определяются условия расположения объекта информатизации относительно границ КЗ.
4. Перечень сведений конфиденциального характера (сведения, отнесенные к категории ограниченного доступа, обрабатываемых в организации) «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Приказом Гостехкомиссии России от 30.08.2002 № 282. 5.1.3. В качестве основных мер защиты информации рекомендуются: Документальное оформление перечня сведений конфиденциального характера, в том числе с учетом ведомственной и отраслевой специфики этих сведений; Распоряжение Администрации Санкт-Петербурга от 08.08.2001 № 616-ра «О мерах, обеспечивающих отнесение сведений, содержащихся в государственных информационных ресурсах исполнительных органов государственной власти Санкт-Петербурга, к категории конфиденциальной информации»
5. Положение о порядке организации и проведения работ по защите информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну (конфиденциальная информация) ст. 18.1, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений ст. 68, «Трудовой кодекс Российской Федерации» от 30.12.2001 №197-ФЗ При приеме на работу (до подписания трудового договора) работодатель обязан ознакомить работника под роспись с правилами внутреннего трудового распорядка, иными локальными нормативными актами, непосредственно связанными с трудовой деятельностью работника, коллективным договором. ст.86 8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
6. Назначение ответственного за организацию обработки персональных данных. ст. 18.1, Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» 1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных; Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» п. 1 а) назначают ответственного за организацию обработки персональных данных в государственном или муниципальном органе из числа государственных или муниципальных служащих (далее – служащие) данного органа
7. Оформление дополнительного соглашения к трудовому договору (служебному контракту), в связи с назначением ответственным за организацию обработки персональных данных. ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», работодатель обязан назначить лицо, ответственное за организацию обработки персональных данных. р. III, «Трудовой кодекс Российской Федерации» от 30.12.2001 № 197-ФЗ Статья 72. Изменение определенных сторонами условий трудового договора. Изменение определенных сторонами условий трудового договора, в том числе перевод на другую работу, допускается только по соглашению сторон трудового договора, за исключением случаев, предусмотренных настоящим Кодексом. Соглашение об изменении определенных сторонами условий трудового договора заключается в письменной форме.
8. Инструкция ответственного за организацию обработки персональных данных. Постановление Правительства РФ от 21.03.2012 № 211«Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» п.1б должностной регламент (должностные обязанности) или должностная инструкция ответственного за организацию обработки персональных данных в государственном или муниципальном органе
9. Назначение администратора безопасности информации. «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Приказом Гостехкомиссии России от 30.08.2002 № 282. 1.5. Администратор защиты (безопасности) информации — лицо, ответственное за защиту АС от несанкционированного доступа к информации. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (Выписка)(утв. ФСТЭК РФ 15.02.2008) Администратор безопасности отвечает за соблюдение правил разграничения доступа, за генерацию ключевых элементов, смену паролей. Администратор безопасности осуществляет аудит тех же средств защиты объекта, что и системный администратор
10. Инструкция администратора безопасности информации. «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Приказом Гостехкомиссии России от 30.08.2002 № 282. 1.5. Администратор защиты (безопасности) информации — лицо, ответственное за защиту АС от несанкционированного доступа к информации. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (Выписка)(утв. ФСТЭК РФ 15.02.2008) Администратор безопасности отвечает за соблюдение правил разграничения доступа, за генерацию ключевых элементов, смену паролей. Администратор безопасности осуществляет аудит тех же средств защиты объекта, что и системный администратор
11. Перечень информационных систем персональных данных в которых должна быть обеспечена безопасность информации. Постановление Правительства РФ от 21.03.2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» п.1б перечень информационных систем персональных данных
12. Перечень персональных данных подлежащих защите, в информационных системах персональных данных. ст. 19, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» 2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных
13. Назначение ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных (возможно для каждой ИСПДн). Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» 14. Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 13 настоящего документа, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.
14. Инструкция ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных (возможно для каждой ИСПДн). Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» 14. Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 13 настоящего документа, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе. Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» 9. Для обеспечения защиты информации, содержащейся в информационной системе, оператором назначается структурное подразделение или должностное лицо (работник), ответственные за защиту информации.
15. Назначение комиссии по классификации информационных систем персональных данных по требованиям защиты информации. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» 7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных» Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» 14.2. Классификация информационной системы проводится в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы (федеральный, региональный, объектовый). «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Приказом Гостехкомиссии России от 30.08.2002 № 282. 5.1.4. В целях дифференцированного подхода к защите информации, обрабатываемой в АС различного уровня и назначения, осуществляемого в целях разработки и применения необходимых и достаточных мер, оптимизации выбора средств защиты информации и затрат на защиту информации, проводится классификация автоматизированных систем (форма акта классификации АС приведена в приложении Ж).
16. Акты классификации уровня и класса защищенности информационных систем персональных данных. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» 7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных» Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» 14.2. Классификация информационной системы проводится в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы (федеральный, региональный, объектовый). «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Приказом Гостехкомиссии России от 30.08.2002 № 282. 5.1.4. В целях дифференцированного подхода к защите информации, обрабатываемой в АС различного уровня и назначения, осуществляемого в целях разработки и применения необходимых и достаточных мер, оптимизации выбора средств защиты информации и затрат на защиту информации, проводится классификация автоматизированных систем (форма акта классификации АС приведена в приложении Ж).
17. Правила обработки персональных данных. Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» б) утверждают актом руководителя государственного или муниципального органа следующие документы: правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных,
18. Политика оператора персональных данных в отношении обработки персональных данных. (опубликована на сайте оператора) УКАЗАТЬ ССЫЛКУ НА АДРЕС САЙТА ст. 18.1, Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» 2. Документы, определяющие политику в отношении обработки персональных данных, подлежат опубликованию на официальном сайте государственного или муниципального органа в течение 10 дней после их утверждения.
19. Политика информационной безопасности. «ГОСТ Р 53114-2008. Национальный стандарт Российской Федерации. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения» 3.2.18. #Политика информационной безопасности (организации)#; политика ИБ (организации): формальное изложение правил поведения, процедур, практических приемов или руководящих принципов в области информационной безопасности, которыми руководствуется организация в своей деятельности. Примечание. Политики должны содержать: – предмет, основные цели и задачи политики безопасности; – условия применения политики безопасности и возможные ограничения; – описание позиции руководства организации в отношении выполнения политики безопасности и организации режима информационной безопасности организации в целом; – права и обязанности, а также степень ответственности сотрудников за выполнение политики безопасности организации; – порядок действия в чрезвычайных ситуациях в случае нарушения политики безопасности..
20. Перечень (сотрудников, работников) государственных гражданских служащих и работников, замещающих должности, не являющиеся должностями государственной гражданской службы, допущенных к работе с персональными данными. ст. 2, Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» 5) обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Приказом Гостехкомиссии России от 30.08.2002 № 282. 3.6. В организации должен быть документально оформлен перечень сведений конфиденциального характера (приложение Б), подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персонала к такого рода сведениям. «Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения» (утв. Гостехкомиссией РФ 30.03.1992) 8. Матрица доступа – Таблица, отображающая правила разграничения доступа
21. Перечень помещений, предназначенных для обработки персональных данных. Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» п.1б порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Приказом Гостехкомиссии России от 30.08.2002 № 282. 4.2.1. В организации должен быть документально определен перечень ЗП и лиц, ответственных за их эксплуатацию в соответствии с установленными требованиями по защите информации,
22. Порядок доступа (сотрудников, работников) государственных гражданских служащих и работников, замещающих должности, не являющиеся должностями государственной гражданской службы, в помещения, в которых ведется обработка персональных данных. Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» п.1б порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных
23. Положение о разрешительной системе доступа (сотрудников, работников) государственных гражданских служащих и работников, замещающих должности, не являющиеся должностями государственной гражданской службы, к защищаемым информационным ресурсам. ст. 2, Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» 5) обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Приказом Гостехкомиссии России от 30.08.2002 № 282. 3.6. В организации должен быть документально оформлен перечень сведений конфиденциального характера (приложение Б), подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персонала к такого рода сведениям. «Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения» (утв. Гостехкомиссией РФ 30.03.1992) 8. Матрица доступа – Таблица, отображающая правила разграничения доступа
24. Перечень (сотрудников, работников) государственных гражданских служащих и работников, замещающих должности, не являющиеся должностями государственной гражданской службы, осуществляющих обработку персональных данных без использования средств автоматизации. Постановление Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» 13. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
25. Инструкция по обработке персональных данных, осуществляемой без использования средств автоматизации. Постановление Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
26. Ведомость ознакомления (инструкция) лиц, осуществляющих обработку персональных данных без использования средств автоматизации, о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии) Постановление Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
27. Журнал (реестр, книга), содержащая персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор. Постановление Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» 8. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия: а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных
28. Инструкция пользователя автоматизированной системы обработки информации, доступ к которой ограничен в соответствии с федеральными законами (конфиденциальной информации) и персональных данных. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (Выписка) (утв. ФСТЭК РФ 15.02.2008) Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования
29. Определение мест хранения персональных данных, обработка которых осуществляется без использования средств автоматизации, и их материальных носителей. Постановление Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» 13. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
30. Правила работы с обезличенными данными. (при необходимости) Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» п.1б правила работы с обезличенными данными
31. Перечень должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных. (при необходимости) Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» п.1б перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных
32. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами Российской Федерации и организационно-распорядительными актами организации. Постановление Правительства РФ от 21.03.2012 № 211«Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» б) утверждают актом руководителя государственного или муниципального органа следующие документы: правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора
33. План внутренних проверок обеспечения безопасности персональных данных. ст. 18.1, Федеральный закон от 27.07.2006 № 152-ФЗ«О персональных данных» 4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора
34. Акты внутренних проверок обеспечения безопасности персональных данных. ст. 18.1, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» 4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора
35. Инструкция о порядке проведения разбирательств по фактам нарушений обеспечения безопасности персональных данных. ст. 18.1, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
36. Правила рассмотрения запросов субъектов персональных данных или их представителей. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» ст.14 . Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав, ст. 22.1 3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов .
37. Инструкция о действиях лиц, допущенных к информации, содержащей персональные данные, в случае возникновения нештатных ситуаций. Приказ ФСТЭК России от 11.02.2013 №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций
38. Инструкция по порядку учета и хранению съемных машинных носителей информации, доступ к которой ограничен в соответствии с федеральными законами. Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» IV. Защита машинных носителей информации (ЗНИ) ЗНИ. 1 Учет машинных носителей информации «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Приказом Гостехкомиссии России от 30.08.2002 № 282. учет и надежное хранение бумажных и машинных носителей конфиденциальной информации и их обращение, исключающее хищение, подмену и уничтожение;
39. Инструкция по уничтожению материальных носителей информации и информации с материальных носителей информации, доступ к которой ограничен в соответствии с федеральными законами, в том числе персональных данных. ст. 3, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» 8) уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных
40. Журнал учета машинных носителей информации, доступ к которой ограничен в соответствии с федеральными законами. «Методический документ. Меры защиты информации в государственных информационных системах» (утв. ФСТЭК России 11.02.2014) 3.4. ЗАЩИТА МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ (ЗНИ) ЗНИ.1 УЧЕТ МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ Учет съемных машинных носителей информации ведется в журналах учета машинных носителей информации.
41. Акт об уничтожении материальных (машинных, бумажных носителей) носителей информации, доступ к которой ограничен в соответствии с федеральными законами. ст. 3, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» 8) уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных
42. Положение о порядке использования информационно-телекоммуникационных сетей международного информационного обмена и электронной почты. Указ Президента РФ от 17.03.2008 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» б) при необходимости подключения информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, указанных в подпункте «а» настоящего пункта, к информационно-телекоммуникационным сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю. Выполнение данного требования является обязательным для операторов информационных систем, владельцев информационно-телекоммуникационных сетей и (или) средств вычислительной техники;
43. Инструкция о порядке резервного копирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации информационных систем персональных данных. Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры
44. Инструкция пользователя персонального компьютера при работе в локальной вычислительной сети. Федеральный закон от 27.07.2006 №149-ФЗ “Об информации, информационных технологиях и о защите информации”, Федеральный закон от 27.07.2006 №152-ФЗ “О персональных данных”,ГОСТ Р ИСО/МЭК 27002-2012 “Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности”, ГОСТ Р 53245-2008 “Информационные технологии. Системы кабельные структурированные. Монтаж основных узлов системы. Методы испытания”, ГОСТ Р 53246-2008 “Информационные технологии. Системы кабельные структурированные. Проектирование основных узлов системы. Общие требования”.
45. Инструкция по организации антивирусной защиты. Приказ ФСТЭК России от 11.02.2013 №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» 20.6. Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.
46. Форма согласия на обработку персональных данных. Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» Статья 9. Согласие субъекта персональных данных на обработку его персональных данных Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» п.1б типовая форма согласия на обработку персональных данных служащих государственного или муниципального органа, иных субъектов персональных данных, а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
47. Форма обязательства (сотрудников, работников) государственного гражданского служащего и работника, замещающего должность, не являющуюся должностью государственной гражданской службы, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (трудового договора) прекратить обработку персональных данных, ставших известными ему в связи исполнения должностных обязанностей. Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» п.1б типовое обязательство служащего государственного или муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей
48. Форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные в связи с поступлением на государственную гражданскую службу. Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» Статья 9. Согласие субъекта персональных данных на обработку его персональных данных Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» п.1б типовая форма согласия на обработку персональных данных служащих государственного или муниципального органа, иных субъектов персональных данных, а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные
49. Журнал учета обращений граждан и запросов субъектов персональных данных (или их представителей) по вопросам обработки персональных данных. Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» ст. 23, 2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;
50. Инструкция по работе с обращениями субъектов персональных данных. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» ст. 20 Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных

[свернуть]

Персональные данные в ИСПДн

  • Сегментация сети с выделением ИСПДн
  • Разделение сетей межсетевым экраном
  • Использование средств защиты информации
  • Ответственное лицо, журналы, ОРД по обработке персональных данных

Отказ родителя (законного представителя) от обработки персональных данных обучающегося

Ответ на обращение необходимо дать в течение 30-рабочих дней, одновременно с этим вручить заявителю уведомление в 2-х экземплярах, на одном из которых должна остаться подпись родителя о получении

Ответ на отказ от обработки персональных данных + уведомление