Российские законы

Приказ Минобрнауки РТ от 09.10.2009 N 1901/09 “О типовых документах по защите персональных данных в образовательных учреждениях Республики Татарстан“

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РЕСПУБЛИКИ ТАТАРСТАН

ПРИКАЗ

от 9 октября 2009 г. N 1901/09

О ТИПОВЫХ ДОКУМЕНТАХ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

В ОБРАЗОВАТЕЛЬНЫХ УЧРЕЖДЕНИЯХ РЕСПУБЛИКИ ТАТАРСТАН

В соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 N 149-ФЗ “Об информации, информационных технологиях и о защите информации“, Федеральным законом от 27.07.2006 N 152-ФЗ “О персональных данных“, иными нормативно-правовыми актами, действующими на территории Российской Федерации, а также в целях обеспечения безопасности персональных данных в учреждениях системы образования Республики Татарстан ПРИКАЗЫВАЮ:

1. Утвердить пакет типовых документов по защите персональных данных в учреждениях системы образования Республики Татарстан (приложение).

2. Руководителям учреждений, непосредственно подчиненных Министерству образования и науки Республики
Татарстан, использовать настоящий пакет для разработки соответствующих документов с внесением необходимых изменений, не противоречащих действующему законодательству.

3. Рекомендовать руководителям органов управления образованием Республики Татарстан организовать разработку соответствующих документов во всех подведомственных им образовательных учреждениях с использованием настоящего пакета. Допускается внесение в типовые документы необходимых изменений, не противоречащих действующему законодательству.

4. Контроль за исполнением настоящего Приказа возложить на заместителя министра А.И.Поминова.

Министр

А.Х.ГИЛЬМУТДИНОВ

Утверждаю

Министр образования и науки

Республики Татарстан

А.Х.ГИЛЬМУТДИНОВ

“__“ ________ 2009 г.

М.П.

Согласовано

Генеральный директор

ГУ “Центр информационных технологий

Республики Татарстан“

Н.А.НИКИФОРОВ

“__“ ________ 2009 г.

М.П.

ТИПОВОЕ ПОЛОЖЕНИЕ

ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

__________________________________________________

(наименование организации)

1. Общие положения

1.1. Настоящее Положение имеет своей целью закрепление механизмов обеспечения прав субъекта на сохранение конфиденциальности информации о фактах, событиях и обстоятельствах его жизни.

1.2. Настоящее Положение об обработке и защите персональных данных (далее - Положение) определяет порядок сбора, хранения, передачи и любого другого использования персональных данных работников, обучающихся (воспитанников) в соответствии с законодательством Российской Федерации и гарантии конфиденциальности сведений о работнике, предоставленных работником работодателю.

1.3. Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006
N 149-ФЗ “Об информации, информационных технологиях и о защите информации“, Федеральным законом от 27.07.2006 N 152-ФЗ “О персональных данных“, иными нормативно-правовыми актами, действующими на территории Российской Федерации.

2. Основные понятия

Для целей настоящего Положения используются следующие понятия:

2.1. Оператор персональных данных (далее - оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. В рамках настоящего Положения оператором является - “Наименование организации“.

2.2. Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация о физическом лице.

2.3. Субъект - субъект персональных данных.

2.4. Работник - физическое лицо, состоящее в трудовых отношениях с оператором.

2.5. Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

2.6. Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

2.7. Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных
данных или других лиц.

2.8. Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

2.9. Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

2.10. К персональным данным относятся:

2.10.1. Сведения, содержащиеся в основном документе, удостоверяющем личность субъекта.

2.10.2. Информация, содержащаяся в трудовой книжке работника.

2.10.3. Информация, содержащаяся в страховом свидетельстве государственного пенсионного страхования.

2.10.4. Сведения, содержащиеся в документах воинского учета для военнообязанных и лиц, подлежащих призыву на военную службу.

2.10.5. Сведения об образовании, квалификации или наличии специальных знаний или подготовки.

2.10.6. Сведения, содержащиеся в свидетельстве о постановке на учет физического лица в налоговом органе на территории Российской Федерации.

2.10.7. Сведения о семейном положении работника.

2.10.8. Информация медицинского характера в случаях, предусмотренных законодательством.

2.10.9. Сведения о заработной плате работника.

2.10.10. Сведения о социальных льготах.

2.10.11. Сведения о наличии судимостей.

2.10.12. Место работы или учебы членов семьи.

2.10.13. Содержание трудового договора.

2.10.14. Подлинники и копии приказов по личному составу.

2.10.15. Основания к приказам по личному составу.

2.10.16. Документы, содержащие информацию по повышению квалификации и переподготовке сотрудника, его аттестация, служебное расследование.

2.10.17. Сведения о награждении государственными наградами Российской Федерации, Республики Татарстан, Почетной грамотой Президента Республики Татарстан, об объявлении благодарности Президента Республики Татарстан, присвоении почетных, воинских и специальных званий.

2.10.18. ...

3. Обработка персональных данных

3.1. Общие требования при обработке персональных данных.

В целях обеспечения прав и свобод человека и гражданина при обработке персональных данных обязаны соблюдаться следующие требования:

3.1.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативных правовых актов РФ и
РТ, содействия субъектам персональных данных в трудоустройстве, продвижении по службе, обучении, контроля количества и качества выполняемой работы, обеспечения личной безопасности субъекта персональных данных и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества оператора.

3.1.2. Персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.

3.1.3. При принятии решений, затрагивающих интересы субъекта персональных данных, нельзя основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.1.4. Работники или их законные представители должны быть ознакомлены под расписку с документами оператора, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области.

3.1.5. Субъекты персональных данных, не являющиеся работниками, или их законные представители имеют право ознакомиться с документами оператора, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области.

3.1.6. Субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны.

3.2. Получение персональных данных:

3.2.1. Все персональные данные следует получать непосредственно от субъекта персональных данных. Субъект самостоятельно принимает решение о предоставлении своих персональных данных и дает письменное согласие на их обработку оператором. Форма заявления-согласия субъекта на обработку персональных данных представлена в приложении N 1 к настоящему Положению.

3.2.2. В случае недееспособности либо несовершеннолетия субъекта персональных данных все персональные данные субъекта следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении персональных данных своего подопечного и дает письменное согласие на их обработку оператором. Форма заявления-согласия на обработку персональных данных подопечного представлена в приложении N
2 к настоящему Положению.

3.2.3. Письменное согласие не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

3.2.4. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случаях, указанных в пункте 3.2.2 настоящего Положения, согласие может быть отозвано законным представителем субъекта персональных данных. Форма отзыва согласия на обработку персональных данных представлена в приложении N 3 к настоящему Положению.

3.2.5. В случаях, когда оператор может получить необходимые персональные данные субъекта только у третьей стороны, субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении оператор обязан сообщить о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение. Согласие оформляется в письменной форме в двух экземплярах, один из которых предоставляется субъекту, второй хранится у оператора. Форма заявления-согласия субъекта на получение его персональных данных от третьей стороны представлена в приложении N 4 к настоящему Положению.

3.2.6. Запрещается получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни.

3.2.7. Запрещается получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.

3.2.8. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации оператор вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.

3.3. Хранение персональных данных:

3.3.1. Хранение персональных данных субъектов осуществляется кадровой службой, бухгалтерией, ... на бумажных
и электронных носителях с ограниченным доступом.

3.3.2. Личные дела хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела хранятся в специально отведенной секции сейфа, обеспечивающего защиту от несанкционированного доступа.

3.3.3. Подразделения, хранящие персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно “Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации“, утвержденному Постановлением Правительства РФ 15 сентября 2008 г. N 687.

3.4. Передача персональных данных:

3.4.1. При передаче персональных данных субъекта оператор обязан соблюдать следующие требования:

- не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами. Форма заявления-согласия субъекта на передачу его персональных данных третьей стороне см. в приложении N 5 настоящего Положения;

- предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать требования конфиденциальности;

- не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия;

- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им трудовой функции;

- передавать персональные данные субъекта представителям субъектов в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций;

- все сведения о передаче персональных
данных субъекта регистрируются в Журнале учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается, какая именно информация была передана. Форма журнала учета передачи персональных данных представлена в приложении N 7 к настоящему Положению.

3.4.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

3.4.3. Внутренний доступ (доступ внутри организации) к персональным данным субъекта. Право доступа к персональным данным субъекта имеют:

- руководитель организации;

- бухгалтер;

- сотрудник кадровой службы;

- непосредственные руководители по направлению деятельности (доступ к персональным данным сотрудников, непосредственно находящихся в его подчинении);

- завуч (доступ к персональным данным субъектов в части, его касающейся);

- классный руководитель (доступ к персональным данным учеников своего класса в части, его касающейся);

- учитель (доступ к информации, содержащейся в классных журналах тех классов, в которых он ведет занятия);

- ...;

- ...;

- сам субъект, носитель данных.

3.4.4. Все сотрудники, имеющие доступ к персональным данным субъектов, обязаны подписать соглашение о неразглашении персональных данных. Форма соглашения о неразглашении персональных данных представлена в приложении N 6 настоящего Положения.

3.4.5. К числу массовых потребителей персональных данных вне учреждения относятся государственные и негосударственные функциональные структуры: налоговые инспекции; правоохранительные органы; органы статистики; страховые агентства; военкоматы; органы социального страхования; пенсионные фонды; подразделения федеральных, республиканских и муниципальных органов управления. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.

3.4.6. Организации, в которые субъект может осуществлять перечисления денежных средств (страховые общества, негосударственные
пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным субъекта только в случае его письменного разрешения.

3.5. Уничтожение персональных данных:

3.5.1. Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.5.2. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

4. Права и обязанности субъектов персональных данных

и оператора

4.1. В целях обеспечения защиты персональных данных субъекты имеют право:

- получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированную);

- осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных Федеральным законом;

- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства;

- при отказе оператора или уполномоченного им лица исключить или исправить персональные данные субъекта - заявить в письменной форме о своем несогласии, представив соответствующее обоснование;

- дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;

- требовать от оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них;

- обжаловать в суд любые неправомерные действия или бездействие оператора или уполномоченного им лица при обработке и защите персональных данных субъекта.

4.2. Для защиты персональных данных субъектов оператор обязан:

- за свой счет обеспечить защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ;

- ознакомить работника или
его представителей с настоящим Положением и его правами в области защиты персональных данных под расписку;

- по запросу ознакомить субъекта персональных данных, не являющегося работником, или в случае недееспособности либо несовершеннолетия субъекта, его законных представителей с настоящим Положением и его правами в области защиты персональных данных;

- осуществлять передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации;

- предоставлять персональные данные субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим Положением и законодательством Российской Федерации;

- обеспечить субъекту свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством;

- по требованию субъекта или его законного представителя предоставить ему полную информацию о его персональных данных и обработке этих данных.

4.3. Субъект персональных данных или его законный представитель обязуется предоставлять персональные данные, соответствующие действительности.

5. Ответственность за нарушение норм, регулирующих

обработку и защиту персональных данных

5.1. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, содержащему персональные данные, несет персональную ответственность за данное разрешение.

5.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

ЛИСТ ОЗНАКОМЛЕНИЙ

с Положением об обработке и защите персональных данных

____________________________________________________

(наименование организации)

------T----------------------T-------------------T-------------T----------¬

¦ N ¦ Ф.И.О. ¦ Должность ¦ Дата ¦ Подпись ¦

¦ п/п ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

+-----+----------------------+-------------------+-------------+----------+

¦ ¦ ¦ ¦ ¦ ¦

L-----+----------------------+-------------------+-------------+-----------

Приложение N 1

к Положению

об обработке и защите

персональных данных

Руководителю

“Наименование организации“

Ф.И.О. руководителя

Заявление-согласие

субъекта на обработку его персональных данных

Я, ______________________________________, паспорт серии _______, номер

____________, выданный ____________________________________________________

“__“ ________ ____ года, в соответствии с Федеральным законом от 27.07.2006

N 152-ФЗ “О персональных данных“ даю согласие Организации такой-то,

расположенной по адресу ..., на обработку моих персональных данных,

а именно:

___________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________

(указать состав персональных данных (Ф.И.О., паспортные данные, адрес...)

для обработки в целях _____________________________________________________

___________________________________________________________________________

__________________________________________________________________________.

(указать цели обработки)

Я утверждаю, что ознакомлен с документами организации, устанавливающими

порядок обработки персональных данных, а также с моими правами и

обязанностями в этой области.

Согласие вступает в силу со дня его подписания и действует в течение

неопределенного срока. Согласие может быть отозвано мною в любое время на

основании моего письменного заявления.

“__“ ________ 200_ г. ____________________

(подпись)

Приложение N 2

к Положению

об обработке и защите

персональных данных

Руководителю

“Наименование организации“

Ф.И.О. руководителя

Заявление-согласие

субъекта на обработку персональных данных подопечного

Я, ______________________________________, паспорт серии _______, номер

____________, выданный ____________________________________________________

“__“ ________ ____ года, в соответствии с Федеральным законом от 27.07.2006

N 152-ФЗ “О персональных данных“ даю согласие Организации такой-то,

расположенной по адресу..., на обработку персональных данных моего(ей) сына

(дочери, подопечного) ____________________________________________________,

(Ф.И.О. сына, дочери, подопечного)

а именно: _________________________________________________________________

___________________________________________________________________________

(указать состав персональных данных (Ф.И.О, паспортные данные, адрес...)

для обработки в целях _____________________________________________________

___________________________________________________________________________

__________________________________________________________________________.

(указать цели обработки)

Я утверждаю, что ознакомлен с документами организации, устанавливающими

порядок обработки персональных данных, а также с моими правами и

обязанностями в этой области.

Согласие вступает в силу со дня его подписания и действует в течение

неопределенного срока. Согласие может быть отозвано мною в любое время на

основании моего письменного заявления.

“__“ ________ 200_ г. ____________________

(подпись)

Приложение N 3

к Положению

об обработке и защите

персональных данных

Отзыв согласия на обработку персональных данных

Наименование (Ф.И.О.) оператора

-------------------------------------------------

Адрес оператора

_________________________________________________

Ф.И.О. субъекта персональных данных

_________________________________________________

Адрес, где зарегистрирован субъект

персональных данных

“ _________________________________________________

Номер основного документа, удостоверяющего

его личность

_________________________________________________

Дата выдачи указанного документа

_________________________________________________

Наименование органа, выдавшего документ

Заявление

Прошу Вас прекратить обработку моих персональных данных в связи с

__________________________________________________________________________.

(указать причину)

“__“ ________ 20__ г. _____________ _____________________

(подпись) (расшифровка подписи)

Приложение N 4

к Положению

об обработке и защите

персональных данных

Руководителю

“Наименование организации“

Ф.И.О. руководителя

Заявление-согласие

субъекта на обработку его персональных данных

у третьей стороны

Я, ______________________________________, паспорт серии _______, номер

____________, выданный ____________________________________________________

“__“ ________ ____ года, в соответствии со ст. 86 Трудового кодекса

Российской Федерации ______________________ на получение моих персональных

(согласен/не согласен)

данных, а именно:

___________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________

(указать состав персональных данных (Ф.И.О, паспортные данные, адрес...)

для обработки в целях _____________________________________________________

___________________________________________________________________________

___________________________________________________________________________

(указать цели обработки)

у следующих лиц ___________________________________________________________

___________________________________________________________________________

__________________________________________________________________________.

(указать Ф.И.О. физического лица или наименование организации,

которым сообщаются данные)

Я также утверждаю, что ознакомлен с возможными последствиями моего

отказа дать письменное согласие на их получение.

“__“ ________ 200_ г. ____________________

(подпись)

Приложение N 5

к Положению

об обработке и защите

персональных данных

Руководителю

“Наименование организации“

Ф.И.О. руководителя

Заявление-согласие

субъекта на передачу его персональных данных

третьей стороне

Я, ______________________________________, паспорт серии _______, номер

____________, выданный ____________________________________________________

“__“ ________ ____ года, в соответствии со ст. 88 Трудового кодекса

Российской Федерации ______________________ на получение моих персональных

(согласен/не согласен)

данных, а именно:

___________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________

(указать состав персональных данных (Ф.И.О, паспортные данные, адрес...)

для обработки в целях _____________________________________________________

___________________________________________________________________________

___________________________________________________________________________

(указать цели обработки)

следующим лицам ___________________________________________________________

___________________________________________________________________________

__________________________________________________________________________.

(указать Ф.И.О. физического лица или наименование организации,

которым сообщаются данные)

Я также утверждаю, что ознакомлен с возможными последствиями моего

отказа дать письменное согласие на их получение.

“__“ ________ 200_ г. ____________________

(подпись)

Приложение N 6

к Положению

об обработке и защите

персональных данных

Соглашение

о неразглашении персональных данных субъекта

Я, ______________________________________, паспорт серии _______, номер

____________, выданный ____________________________________________________

“__“ ________ ____ года, понимаю, что получаю доступ к персональным данным

работников и/или обучающихся

__________________________________________________________________________.

(наименование организации)

Я также понимаю, что во время исполнения своих обязанностей мне

приходится заниматься сбором, обработкой и хранением персональных данных.

Я понимаю, что разглашение такого рода информации может нанести ущерб

субъектам персональных данных, как прямой, так и косвенный.

В связи с этим даю обязательство при работе (сбор, обработка и

хранение) с персональными данными соблюдать все описанные в “Положении об

обработке и защите персональных данных“ требования.

Я подтверждаю, что не имею права разглашать сведения:

- анкетные и биографические данные;

- сведения об образовании;

- сведения о трудовом и общем стаже;

- сведения о составе семьи;

- паспортные данные;

- сведения о воинском учете;

- сведения о заработной плате сотрудника;

- сведения о социальных льготах;

- специальность;

- занимаемая должность;

- наличие судимостей;

- адрес места жительства;

- домашний телефон;

- место работы или учебы членов семьи и родственников;

- характер взаимоотношений в семье;

- содержание трудового договора;

- состав декларируемых сведений о наличии материальных ценностей;

- содержание декларации, подаваемой в налоговую инспекцию;

- подлинники и копии приказов по личному составу;

- личные дела и трудовые книжки сотрудников;

- основания к приказам по личному составу;

- дела, содержащие материалы по повышению квалификации и

переподготовке, их аттестации;

- копии отчетов, направляемые в органы статистики;

- ...

Я предупрежден(а) о том, что в случае разглашения мной сведений,

касающихся персональных данных, или их утраты я несу ответственность в

соответствии со ст. 90 Трудового кодекса Российской Федерации.

“__“ ________ 200_ г. ____________________

(подпись)

Приложение N 7

к Положению

об обработке и защите

персональных данных

Журнал

учета передачи персональных данных

----T-------------T-------------T------------T------------T------------T--------T----------¬

¦ N ¦ Сведения о ¦ Состав ¦ Цель ¦ Отметка о ¦ Дата ¦Подпись ¦ Подпись ¦

¦ ¦запрашивающем¦запрашиваемых¦ получения ¦передаче или¦ передачи/ ¦запраши-¦ ответст- ¦

¦ ¦ лице ¦персональных ¦персональных¦ отказе в ¦ отказа в ¦вающего ¦ венного ¦

¦ ¦ ¦ данных ¦ данных ¦ передаче ¦ передаче ¦ лица ¦сотрудника¦

¦ ¦ ¦ ¦ ¦персональных¦персональных¦ ¦ ¦

¦ ¦ ¦ ¦ ¦ данных ¦ данных ¦ ¦ ¦

+---+-------------+-------------+------------+------------+------------+--------+----------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

+---+-------------+-------------+------------+------------+------------+--------+----------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

+---+-------------+-------------+------------+------------+------------+--------+----------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

+---+-------------+-------------+------------+------------+------------+--------+----------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

+---+-------------+-------------+------------+------------+------------+--------+----------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

+---+-------------+-------------+------------+------------+------------+--------+----------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

+---+-------------+-------------+------------+------------+------------+--------+----------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

+---+-------------+-------------+------------+------------+------------+--------+----------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

+---+-------------+-------------+------------+------------+------------+--------+----------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

+---+-------------+-------------+------------+------------+------------+--------+----------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

+---+-------------+-------------+------------+------------+------------+--------+----------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

+---+-------------+-------------+------------+------------+------------+--------+----------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

+---+-------------+-------------+------------+------------+------------+--------+----------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

+---+-------------+-------------+------------+------------+------------+--------+----------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

+---+-------------+-------------+------------+------------+------------+--------+----------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

L---+-------------+-------------+------------+------------+------------+--------+-----------

Приложение N 8

к Положению

об обработке и защите

персональных данных

Журнал

учета обращений субъектов персональных данных о выполнении

их законных прав в области защиты персональных данных

----T-----------T----------T----------T--------------T----------------T--------T-------¬

¦ N ¦Сведения о ¦ Краткое ¦ Цель ¦ Отметка о ¦ Дата ¦Подпись ¦Подпись¦

¦ ¦ запраши- ¦содержание¦получения ¦предоставлении¦передачи/отказа ¦запраши-¦ответ- ¦

¦ ¦вающем лице¦ обращения¦информации¦ или отказе в ¦в предоставлении¦вающего ¦ствен- ¦

¦ ¦ ¦ ¦ ¦предоставлении¦ информации ¦ лица ¦ ного ¦

¦ ¦ ¦ ¦ ¦ информации ¦ ¦ ¦сотруд-¦

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ника ¦

+---+-----------+----------+----------+--------------+----------------+--------+-------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

+---+-----------+----------+----------+--------------+----------------+--------+-------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

+---+-----------+----------+----------+--------------+----------------+--------+-------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

+---+-----------+----------+----------+--------------+----------------+--------+-------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

+---+-----------+----------+----------+--------------+----------------+--------+-------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

+---+-----------+----------+----------+--------------+----------------+--------+-------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

+---+-----------+----------+----------+--------------+----------------+--------+-------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

+---+-----------+----------+----------+--------------+----------------+--------+-------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

+---+-----------+----------+----------+--------------+----------------+--------+-------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

+---+-----------+----------+----------+--------------+----------------+--------+-------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

+---+-----------+----------+----------+--------------+----------------+--------+-------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

+---+-----------+----------+----------+--------------+----------------+--------+-------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

+---+-----------+----------+----------+--------------+----------------+--------+-------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

+---+-----------+----------+----------+--------------+----------------+--------+-------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

+---+-----------+----------+----------+--------------+----------------+--------+-------+

¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

L---+-----------+----------+----------+--------------+----------------+--------+--------

Утверждаю

Министр образования и науки

Республики Татарстан

А.Х.ГИЛЬМУТДИНОВ

“__“ ________ 2009 г.

М.П.

Согласован

Генеральный директор

ГУ “Центр информационных технологий

Республики Татарстан“

Н.А.НИКИФОРОВ

“__“ ________ 2009 г.

М.П.

ТИПОВОЙ ДОЛЖНОСТНОЙ РЕГЛАМЕНТ <*>

СПЕЦИАЛИСТА ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

--------------------------------

<*> Регламент утверждается Приказом (или иным документом) Руководителя организации.

I. Общие положения

1.1. Настоящий должностной Регламент специалиста по обеспечению безопасности персональных данных (далее - Регламент) определяет основные цели, функции и права специалиста по обеспечению безопасности персональных данных (далее - Специалист) в соответствующей организации.

1.2. Специалист назначается Приказом (или иным документом) Руководителя организации на основании Положения о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам, утвержденного Постановлением Совета Министров - Правительства Российской Федерации от 15 сентября 1993 г. N 912-51, во исполнение Федерального закона “О персональных данных“ N 152-ФЗ от 27.07.2006.

1.3. Специалист проводит свою работу согласно нормативным методическим документам Федеральной службы по техническому и экспортному контролю России, Федеральной службы безопасности России и иных уполномоченных законодательством органов в области обеспечения безопасности персональных данных.

1.4. Непосредственное руководство работой специалиста осуществляет заместитель Руководителя организации, курирующий вопросы защиты информации.

Назначение и освобождение от должности специалиста производится Руководителем организации.

1.5. Специалист назначается из числа сотрудников соответствующей организации, имеющих опыт работы по основной деятельности соответствующей организации или в области защиты.

1.6. Специалист приравнивается по оплате труда, льготам и премированию к соответствующим категориям работников основных подразделений соответствующей организации.

1.7. Работа специалиста проводится в соответствии с планами работ, утверждаемыми непосредственным руководителем или руководителем организации.

1.8. В своей работе специалист руководствуется законодательными и иными нормативными актами Российской Федерации в области обеспечения безопасности персональных данных, приказами и указаниям Руководителя организации и другими руководящими документами по обеспечению безопасности персональных данных.

II. Основные функции специалиста

2.1. Проведение единой технической политики, организация и координация работ по обеспечению безопасности персональных данных в соответствующей организации.

2.2. Проведение мероприятий по организации обеспечения безопасности персональных данных, включая классификацию информационных систем персональных данных.

2.3. Проведение мероприятий по техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, в том числе:

- мероприятия по размещению, охране, организации режима допуска в помещения, где ведется обработка персональных данных;

- мероприятия по закрытию технических каналов утечки персональных данных при их обработке;

- мероприятия по защите от несанкционированного доступа к персональным данным;

- мероприятия по выбору средств защиты персональных данных при их обработке.

2.4. Проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным или передачи их лицам, не имеющим права доступа к такой информации.

2.5. Своевременное обнаружение фактов несанкционированного доступа к персональным данным.

2.6. Недопущение воздействия на технические средства обработки персональных данных, в результате которого может быть нарушено их функционирование.

2.7. Обеспечение возможности восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

2.8. Постоянный контроль за обеспечением уровня защищенности персональных данных.

2.9. Участие в подготовке объектов соответствующей организации к аттестации по выполнению требований обеспечения безопасности персональных данных.

2.10. Разработка организационных распорядительных документов по обеспечению безопасности персональных данных в соответствующей организации.

2.11. Организация в установленном порядке расследования причин и условий появления нарушений в безопасности персональных данных и разработка предложений по устранению недостатков и предупреждению подобного рода нарушений, а также осуществление контроля за устранением этих нарушений.

2.12. Разработка предложений, участие в проводимых работах по совершенствованию системы безопасности персональных данных в соответствующей организации.

2.13. Проведение периодического контроля эффективности мер защиты персональных данных в соответствующей организации. Учет и анализ результатов контроля.

2.14. Организация повышения осведомленности руководства и сотрудников в соответствующей организации по вопросам обеспечения безопасности персональных данных, сотрудников подведомственных предприятий, учреждений и организаций.

2.15. Подготовка отчетов о состоянии работ по обеспечению безопасности персональных данных в соответствующей организации.

III. Права специалиста

Специалист имеет право:

3.1. Запрашивать и получать необходимые материалы для организации и проведения работ по вопросам обеспечения безопасности персональных данных.

3.2. Разрабатывать проекты организационных и распорядительных документов по обеспечению безопасности персональных данных.

3.3. Готовить предложения о привлечении к проведению работ по защите информации на договорной основе организаций, имеющих лицензии на право проведения работ в области защиты информации.

3.4. Контролировать деятельность структурных подразделений соответствующей организации в части выполнения ими требований по обеспечению безопасности персональных данных.

3.5. Вносить предложения руководителю организации о приостановке работ в случае обнаружения несанкционированного доступа, утечки (или предпосылок для утечки) персональных данных.

3.6. Привлекать в установленном порядке необходимых специалистов из числа сотрудников соответствующей организации для проведения исследований, разработки решений, мероприятий и организационно-распорядительных документов по вопросам обеспечения безопасности персональных данных.

IV. Ответственность специалиста

4.1. Специалист несет персональную ответственность за:

правильность и объективность принимаемых решений;

правильное и своевременное выполнение приказов, распоряжений, указаний руководства соответствующей организации по вопросам, входящим в возложенные на него функции;

выполнение возложенных на него обязанностей, предусмотренных настоящим Регламентом;

соблюдение трудовой дисциплины, охраны труда;

качество проводимых работ по обеспечению безопасности персональных данных в соответствии с функциональными обязанностями;

согласно действующему законодательству Российской Федерации за разглашение сведений ограниченного распространения, ставших известными ему по роду работы.

Утверждаю

Министр образования и науки

Республики Татарстан

А.Х.ГИЛЬМУТДИНОВ

“__“ ________ 2009 г.

М.П.

Согласован

Генеральный директор

ГУ “Центр информационных технологий

Республики Татарстан“

Н.А.НИКИФОРОВ

“__“ ________ 2009 г.

М.П.

ТИПОВОЙ ПЛАН

МЕРОПРИЯТИЙ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ <*>

В _____________________________________________

(НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ)

----T-----------------T---------------T----------T----------------------¬

¦ N ¦ Наименование ¦ Срок ¦ Ответст- ¦ Примечание ¦

¦п/п¦ мероприятия ¦ выполнения ¦венный за ¦ ¦

¦ ¦ ¦ ¦выполнение¦ ¦

+---+-----------------+---------------+----------+----------------------+

¦1. ¦Оформление ¦ При вводе ¦ ¦При создании ИСПДн ¦

¦ ¦правового ¦информационной ¦ ¦необходимо оформить ¦

¦ ¦основания ¦ системы ¦ ¦приказ о вводе ее в ¦

¦ ¦обработки ¦ персональных ¦ ¦эксплуатацию. Приказ ¦

¦ ¦персональных ¦данных (ИСПДн) ¦ ¦оформляется ¦

¦ ¦данных ¦в эксплуатацию ¦ ¦руководителем ¦

¦ ¦ ¦ ¦ ¦организации ¦

+---+-----------------+---------------+----------+----------------------+

¦2. ¦Направление в ¦ При ¦ ¦Уведомление ¦

¦ ¦уполномоченный ¦ необходимости ¦ ¦направляется при ¦

¦ ¦орган ¦ ¦ ¦вводе в эксплуатацию ¦

¦ ¦(Роскомнадзор) ¦ ¦ ¦новых информационных ¦

¦ ¦уведомления о ¦ ¦ ¦систем персональных ¦

¦ ¦своем намерении ¦ ¦ ¦данных либо при ¦

¦ ¦осуществлять ¦ ¦ ¦внесении изменений в ¦

¦ ¦обработку ¦ ¦ ¦существующие ¦

¦ ¦персональных ¦ ¦ ¦ ¦

¦ ¦данных с ¦ ¦ ¦ ¦

¦ ¦использованием ¦ ¦ ¦ ¦

¦ ¦средств ¦ ¦ ¦ ¦

¦ ¦автоматизации ¦ ¦ ¦ ¦

+---+-----------------+---------------+----------+----------------------+

¦3. ¦Документальное ¦ При ¦ ¦Разработка Положения ¦

¦ ¦регламентирование¦ необходимости ¦ ¦по обработке и защите ¦

¦ ¦работы с ПД ¦ ¦ ¦персональных данных, ¦

¦ ¦ ¦ ¦ ¦Регламента ¦

¦ ¦ ¦ ¦ ¦специалиста, ¦

¦ ¦ ¦ ¦ ¦ответственного за ¦

¦ ¦ ¦ ¦ ¦безопасность ¦

¦ ¦ ¦ ¦ ¦персональных данных, ¦

¦ ¦ ¦ ¦ ¦либо внесение ¦

¦ ¦ ¦ ¦ ¦изменений в ¦

¦ ¦ ¦ ¦ ¦существующие ¦

+---+-----------------+---------------+----------+----------------------+

¦4. ¦Получение ¦ Постоянно ¦ ¦Письменное согласие ¦

¦ ¦письменного ¦ ¦ ¦получается при ¦

¦ ¦согласия ¦ ¦ ¦передаче ПД субъектами¦

¦ ¦субъектов ПД ¦ ¦ ¦для обработки в ИСПДн ¦

¦ ¦(физических лиц) ¦ ¦ ¦либо для обработки без¦

¦ ¦на обработку ПД в¦ ¦ ¦использования средств ¦

¦ ¦случаях, когда ¦ ¦ ¦автоматизации. Форма ¦

¦ ¦этого требует ¦ ¦ ¦согласия приведена в ¦

¦ ¦законодательство ¦ ¦ ¦Положении об обработке¦

¦ ¦ ¦ ¦ ¦и защите ПД ¦

+---+-----------------+---------------+----------+----------------------+

¦5. ¦Пересмотр ¦ При ¦ ¦(Например, в договор ¦

¦ ¦договора с ¦ необходимости ¦ ¦может быть включено ¦

¦ ¦субъектами ПД в ¦ ¦ ¦согласие субъекта на ¦

¦ ¦части обработки ¦ ¦ ¦обработку и передачу ¦

¦ ¦ПД ¦ ¦ ¦его ПД) Пересмотр ¦

¦ ¦ ¦ ¦ ¦договоров проводится ¦

¦ ¦ ¦ ¦ ¦при необходимости и ¦

¦ ¦ ¦ ¦ ¦оставляется на ¦

¦ ¦ ¦ ¦ ¦усмотрение организации¦

¦ ¦ ¦ ¦ ¦- оператора ПД ¦

+---+-----------------+---------------+----------+----------------------+

¦6. ¦Установка сроков ¦ При ¦ ¦Для каждой ИСПДн ¦

¦ ¦обработки ПД и ¦ необходимости ¦ ¦организацией - ¦

¦ ¦процедуры их ¦ ¦ ¦оператором ПД должны ¦

¦ ¦уничтожения по ¦ ¦ ¦быть установлены сроки¦

¦ ¦окончании срока ¦ ¦ ¦обработки ПД, что ¦

¦ ¦обработки ¦ ¦ ¦должно быть ¦

¦ ¦ ¦ ¦ ¦документально ¦

¦ ¦ ¦ ¦ ¦подтверждено в ¦

¦ ¦ ¦ ¦ ¦паспорте на ИСПДн. При¦

¦ ¦ ¦ ¦ ¦пересмотре сроков ¦

¦ ¦ ¦ ¦ ¦необходимые изменения ¦

¦ ¦ ¦ ¦ ¦должны быть внесены в ¦

¦ ¦ ¦ ¦ ¦паспорт ИСПДн ¦

+---+-----------------+---------------+----------+----------------------+

¦7. ¦Ограничение ¦ При ¦ ¦В случае создания ¦

¦ ¦доступа ¦ необходимости ¦ ¦ИСПДн, а также ¦

¦ ¦работников к ПД ¦ (при создании ¦ ¦приведения имеющихся ¦

¦ ¦ ¦ ИСПДн) ¦ ¦ИСПДн в соответствие с¦

¦ ¦ ¦ ¦ ¦требованиями Закона ¦

¦ ¦ ¦ ¦ ¦необходимо ¦

¦ ¦ ¦ ¦ ¦разграничить доступ к ¦

¦ ¦ ¦ ¦ ¦ПД сотрудников ¦

¦ ¦ ¦ ¦ ¦организации согласно ¦

¦ ¦ ¦ ¦ ¦матрице ¦

¦ ¦ ¦ ¦ ¦доступа (сотрудники ¦

¦ ¦ ¦ ¦ ¦наделяются ¦

¦ ¦ ¦ ¦ ¦минимальными ¦

¦ ¦ ¦ ¦ ¦полномочиями доступа, ¦

¦ ¦ ¦ ¦ ¦необходимыми для ¦

¦ ¦ ¦ ¦ ¦выполнения ими своих ¦

¦ ¦ ¦ ¦ ¦обязанностей, ¦

¦ ¦ ¦ ¦ ¦например, могут иметь ¦

¦ ¦ ¦ ¦ ¦права только на ¦

¦ ¦ ¦ ¦ ¦просмотр ПД). Матрица ¦

¦ ¦ ¦ ¦ ¦доступа утверждается ¦

¦ ¦ ¦ ¦ ¦руководителем ¦

¦ ¦ ¦ ¦ ¦организации. При ¦

¦ ¦ ¦ ¦ ¦необходимости ¦

¦ ¦ ¦ ¦ ¦пересматривается ¦

¦ ¦ ¦ ¦ ¦(увольнение, прием ¦

¦ ¦ ¦ ¦ ¦новых сотрудников и ¦

¦ ¦ ¦ ¦ ¦прочее), подшивается в¦

¦ ¦ ¦ ¦ ¦паспорт ИСПДн ¦

+---+-----------------+---------------+----------+----------------------+

¦8. ¦Повышение ¦ Постоянно ¦ ¦Ответственных за ¦

¦ ¦квалификации ¦ ¦ ¦выполнение работ - не ¦

¦ ¦сотрудников в“ ¦ ¦ ¦менее раз в два года, ¦

¦ ¦области защиты ¦ ¦ ¦повышение ¦

¦ ¦персональных ¦ ¦ ¦осведомленности ¦

¦ ¦данных ¦ ¦ ¦сотрудников - ¦

¦ ¦ ¦ ¦ ¦постоянно (данное ¦

¦ ¦ ¦ ¦ ¦обучение проводит ¦

¦ ¦ ¦ ¦ ¦ответственный за ¦

¦ ¦ ¦ ¦ ¦выполнение работ по ¦

¦ ¦ ¦ ¦ ¦ИБ) ¦

+---+-----------------+---------------+----------+----------------------+

¦9. ¦Инвентаризация ¦ Раз в полгода ¦ ¦ ¦

¦ ¦информационных ¦ ¦ ¦ ¦

¦ ¦ресурсов с целью ¦ ¦ ¦ ¦

¦ ¦выявления ¦ ¦ ¦ ¦

¦ ¦присутствия и ¦ ¦ ¦ ¦

¦ ¦обработки в них ¦ ¦ ¦ ¦

¦ ¦ПД ¦ ¦ ¦ ¦

+---+-----------------+---------------+----------+----------------------+

¦10.¦Классификация ¦ При ¦ ¦Классификация ¦

¦ ¦информационных ¦ необходимости ¦ ¦проводится при ¦

¦ ¦систем ¦ ¦ ¦создании ИСПДн, при ¦

¦ ¦персональных ¦ ¦ ¦выявлении в ¦

¦ ¦данных (ИСПД) ¦ ¦ ¦информационных ¦

¦ ¦ ¦ ¦ ¦системах ПД, при ¦

¦ ¦ ¦ ¦ ¦изменении состава, ¦

¦ ¦ ¦ ¦ ¦структуры самой ИСПДн ¦

¦ ¦ ¦ ¦ ¦или технических ¦

¦ ¦ ¦ ¦ ¦особенностей ее ¦

¦ ¦ ¦ ¦ ¦построения (изменились¦

¦ ¦ ¦ ¦ ¦ПО, топология и ¦

¦ ¦ ¦ ¦ ¦прочее) ¦

+---+-----------------+---------------+----------+----------------------+

¦11.¦Выявление угроз ¦ При ¦ ¦Разрабатывается при ¦

¦ ¦безопасности и ¦ необходимости ¦ ¦создании системы ¦

¦ ¦разработка ¦ ¦ ¦защиты ИСПДн ¦

¦ ¦моделей угроз и ¦ ¦ ¦ ¦

¦ ¦нарушителя ¦ ¦ ¦ ¦

+---+-----------------+---------------+----------+----------------------+

¦12.¦Аттестация ¦ При ¦ ¦Проводится совместно с¦

¦ ¦(сертификация) ¦ необходимости ¦ ¦лицензиатами ФСТЭК ¦

¦ ¦СЗПД или ¦ ¦ ¦ ¦

¦ ¦декларирование ¦ ¦ ¦ ¦

¦ ¦соответствия по ¦ ¦ ¦ ¦

¦ ¦требованиям ¦ ¦ ¦ ¦

¦ ¦безопасности ПД ¦ ¦ ¦ ¦

+---+-----------------+---------------+----------+----------------------+

¦13.¦Эксплуатация ИСПД¦ Постоянно ¦ ¦ ¦

¦ ¦и контроль ¦ ¦ ¦ ¦

¦ ¦безопасности ПД ¦ ¦ ¦ ¦

L---+-----------------+---------------+----------+-----------------------

--------------------------------

<*> План утверждается Приказом руководителя организации

Руководитель Ф.И.О.