Инструкция ответственного за организацию обработки персональных данных
Приложение № 4
утверждено приказом
МАУ «КЦСОН Викуловского района»
«20» августа 2020г. № 107
ИНСТРУКЦИЯ
ответственного за организацию обработки персональных данных в
Муниципальном автономном учреждении «Комплексный центр социального обслуживания населения Викуловского района»
1. Общие положения
1.1. Настоящая Инструкция разработана в соответствии со ст. 22.1 Федерального закона от 27.07.2006 № 152 — ФЗ «О персональных данных» и определяет обязанности, полномочия и ответственность лиц, ответственных за обработку персональных данных в МАУ «КЦСОН Викуловского района»
1.2. Ответственный за обработку персональных данных назначается приказом директора из числа работников МАУ «КЦСОН Викуловского района»
1.3. Ответственный за обработку персональных данных подчиняется директору.
1.4. Ответственный за организацию обработки персональных данных в своей деятельности руководствуется Трудовым кодексом РФ, Федеральным законом от 27 июля 2006 № 152-ФЗ «О персональных данных», постановлением Правительства РФ от 15 сентября 2008г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства РФ от 21 марта 2012г. №211 «Перечень мер направленных на обеспечение выполнения обязанностей предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» и, настоящей инструкцией и внутренними документами МАУ «КЦСОН Викуловского района»
по защите информации.
2. Обязанности ответственного за обработку персональных данных
2.1. Предоставлять субъекту персональных данных либо его представителю по запросу информацию об обработке его персональных данных.
2.2. Осуществлять внутренний текущий контроль за соблюдением требований законодательства Российской Федерации и правил обработки персональных данных в МАУ «КЦСОН Викуловского района» при обработке персональных данных, в том числе требований к защите персональных данных.
2.3. Доводить до сведения работников МАУ «КЦСОН Викуловского района»
содержание положений законодательства РФ о персональных данных, внутренних нормативно — правовых актов МАУ «КЦСОН Викуловского района»
по вопросам обработки персональных данных, требований по защите персональных данных.
2.4. Организовать прием и обработку обращений и запросов субъектов персональных данных или их представителей и осуществлять контроль за приемом и обработкой таких обращений и запросов:
— в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» субъект персональных данных или его представитель имеет право на получение информации, касающейся обработки его персональных данных на основании обращения либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с действующим законодательством;
— все обращения и запросы субъектов персональных данных подлежат обязательному учету;
— ответственный за обработку обязан фиксировать все обращения и запросы в журнале учета обращений граждан (субъектов персональных данных).
2.5. Организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
2.6. Организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
2.7. Получать обязательство о прекращении обработки персональных данных у лиц, непосредственно осуществляющих обработку персональных данных, в случае расторжения с ним договора (контракта).
2.8. Получать согласия на обработку персональных данных у субъектов персональных данных.
2.9. Разъяснять субъекту персональных данных юридические последствия отказа предоставления его персональных данных.
2.10. Обеспечивать постоянный контроль выполнения установленного комплекса мероприятий по обеспечению безопасности информации пользователями информационной системы персональных данных.
3. Ответственность
3.1. В случае нарушения положений настоящей Инструкции ответственный за обработку персональных данных несет ответственность в соответствии с действующим законодательством.
Инструкция лица, ответственного за организацию обработки персональных данных в организации
Приложение 3
Утверждено приказом Руководителя УСЗН Брединского муниципального района от « 01» декабря 2014 г. № 85
Инструкция лица, ответственного за организацию обработки персональных данных в организации
1. Общие положения
Должностная инструкция лица, ответственного за организацию обработки персональных данных в УСЗН (далее Инструкция), разработана в соответствии с Постановлением Правительства Российской Федерации от 21. 03..2012 г. № 211 « Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
1. Настоящая Инструкция закрепляет обязанности, права и ответственность лица, ответственного за организацию обработки персональных данных в организации.
2. Лицо, ответственное за организацию обработки персональных данных, в своей работе руководствуется Федеральным законом от 27.07.2006 № 152 — ФЗ «О персональных данных», иными нормативными правовыми актами, настоящей Инструкцией, а также иными локальными нормативными актами организации, регламентирующими вопросы обработки персональных данных.
2. Обязанности лица, ответственного за организацию обработки
персональных данных в организации
2.1. Лицо, ответственное за организацию обработки персональных данных в организации обязано:
1. осуществлять внутренний контроль за соблюдением работниками организации законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2. доводить до сведения работников УСЗН положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3. организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и осуществлять контроль за приемом и обработкой указанных обращений и запросов.
3. Права лица, ответственного за организацию обработки персональных данных в организации
3.1. Лицо, ответственное за организацию обработки персональных данных, имеет право:
принимать решения в пределах совей компетенции; требовать от работников организации соблюдения действующего законодательства, а также локальных нормативных актов организации о персональных данных;
контролировать в Службе осуществление мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами;
взаимодействовать с управлениями и иными структурными подразделениями организации по вопросам обработки персональных данных.
4. Ответственность лица, ответственного за организацию обработки персональных данных в организации
4.1. За ненадлежащее исполнение или неисполнение настоящей Инструкции, а также за нарушение требований законодательства о персональных данных лицо, ответственное за организацию обработки персональных данных в организации, несет предусмотренную законодательством Российской Федерации ответственность.
Дата публикации: 10 августа, 2016 [21:06]
Дата изменения: 10 августа, 2016 [21:06]
АДМИНИСТРАЦИЯ НИЖНЕБАЙГОРСКОГО СЕЛЬСКОГО ПОСЕЛЕНИЯ ВЕРХНЕХАВСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
ВОРОНЕЖСКОЙ ОБЛАСТИ
РАСПОРЯЖЕНИЕ
« 15 » февраля 2019 года № 5-р
с. Нижняя Байгора
О назначении ответственных
за организацию обработки
и обеспечение безопасности
персональных данных и утверждении
их должностных инструкций
В соответствии с частью 1 статьи 22.1 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», подпунктами «а», «б» пункта 1 «Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 и пункта 9 «Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденных приказом ФСТЭК России от 11 февраля 2013 года № 17
1. Назначить Бугаенко Е.Н. – ведущего специалиста администрации Нижнебайгорского сельского поселения ответственным за организацию обработки персональных данных в администрации Нижнебайгорского сельского поселения.
2. Назначить Литвинову Т.А. – инспектора по земельным вопросам ответственным за обеспечение безопасности персональных данных в администрации Нижнебайгорского сельского поселения.
3. Утвердить должностную инструкцию ответственного за организацию обработки персональных данных в администрации Нижнебайгорского сельского поселения (приложение № 1).
4. Утвердить должностную инструкцию ответственного за обеспечение безопасности персональных данных в администрации Нижнебайгорского сельского поселения (приложение № 2).
5. Контроль за исполнением настоящего распоряжения оставляю за собой.
Глава администрации А.В.Требунских
Нижнебайгорского сельского поселения
Приложение № 1
к распоряжению № 5-р
от « 15 » февраля 2019 года
Должностная инструкция
ответственного за организацию обработки персональных данных в администрации Нижнебайгорского сельского поселения
Общие положения
Настоящая должностная инструкция определяет права, обязанности и ответственность лица, ответственного за организацию обработки персональных данных в администрации Нижнебайгорского сельского поселения.
Ответственный за организацию обработки персональных данных назначается главой администрации Нижнебайгорского сельского поселения.
1. Специалист, ответственный за организацию обработки персональных данных, должен обладать следующими профессиональными знаниями:
знание федерального, областного законодательства и иных нормативных правовых актов в сфере персональных данных;
знание понятия персональных данных.
3.Ответственный за организацию обработки персональных данных в своей деятельности руководствуется:
• Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».
• Постановлением Правительства Российской Федерации от 12 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
• Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
• Приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 года № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
• Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
• Иными действующими нормативными правовыми актами в сфере организации обработки и обеспечения безопасности персональных данных, а также приказами руководителя Департамента.
Обязанности ответственного за организацию
обработки персональных данных
Ответственный за организацию обработки персональных данных в администрации Нижнебайгорского сельского поселения обязан:
обеспечивает уведомление уполномоченного органа по защите прав субъектов персональных данных об обработке (о намерении осуществлять обработку) персональных данных, изменении сведений, указанных в уведомлении, или о прекращении обработки персональных данных;
организовывает и контролирует разработку, а также поддержание в актуальном состоянии документов, определяющих политику органа государственной власти, органа местного самоуправления, организации[1] (далее – ГО/ОМСУ/организация) в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
обеспечивает ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организует обучение указанных работников;
осуществляет внутренний контроль за соблюдением ГО/ОМСУ/ организацией и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, политики ГО/ОМСУ/организации в отношении обработки персональных данных, локальных актов ГО/ОМСУ/организации;
организовывает прием и обработку обращений и запросов субъектов персональных данных, или их представителей, поступивших в соответствии с частью 3 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов.
Права ответственного за организацию обработки
персональных данных
Ответственный за организацию обработки персональных данных в администрации Нижнебайгорского сельского поселения имеет право:
- Требовать от сотрудников администрации Нижнебайгорского сельского поселения выполнения документов, определяющих политику в отношении обработки персональных данных и регламентирующих обработку и обеспечение безопасности персональных данных в департаменте.
- Контролировать деятельность структурных подразделений администрации Нижнебайгорского сельского поселения в части выполнения ими требований в области организации обработки и обеспечения безопасности персональных данных.
- Участвовать в разработке мероприятий по совершенствованию мер по организации обработки и обеспечению безопасности персональных данных в администрации Нижнебайгорского сельского поселения.
- Инициировать проведение служебных расследований по фактам нарушения установленных требований по защите персональных данных, нарушению конфиденциальности персональных данных, утраты технических средств из состава информационных систем персональных данных, машинных носителей персональных данных в администрации Нижнебайгорского сельского поселения.
- Обращаться к руководителю администрации Нижнебайгорского сельского поселения с предложением о приостановке процесса обработки персональных данных в информационных системах персональных данных или отстранению от работы с персональными данными сотрудников администрации Нижнебайгорского сельского поселения в случаях нарушения установленной технологии обработки персональных данных или нарушения требований по защите персональных данных.
Ответственность
Ответственный за организацию обработки персональных данных в администрации Нижнебайгорского сельского поселения несет персональную ответственность, предусмотренную действующим законодательством за:
• выполнение возложенных на него обязанностей, предусмотренных настоящей инструкцией;
• качество проводимых работ по организации обработки персональных данных в соответствии с функциональными обязанностями;
• разглашение персональных данных, ставшими известными ему по роду своей работы.
Приложение № 2
к распоряжению № 5-р
от « 15 » февраля 2019 года
Должностная инструкция
ответственного за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных в администрации Нижнебайгорского сельского поселения
Общие положения
Настоящая должностная инструкция определяет права, обязанности и ответственность лица, ответственного за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных в администрации Нижнебайгорского сельского поселения.
Ответственный за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных назначается главой администрации Нижнебайгорского сельского поселения.
Ответственный за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных в своей деятельности руководствуется:
• Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».
• Постановлением Правительства Российской Федерации от 12 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
• Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
• Приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 года № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
• Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
• Иными действующими нормативными правовыми актами в сфере организации обработки и обеспечения безопасности персональных данных, а также приказами главы администрации Нижнебайгорского сельского поселения.
1. Специалисты, ответственные за обеспечение защиты информации, должны обладать следующими профессиональными знаниями:
знание федерального, областного законодательства и иных нормативных правовых актов по вопросам обеспечения информационной безопасности и государственной политики в сфере информатизации и защиты информации;
знание порядка и методов защиты информации, доступ к которой ограничен законодательством Российской Федерации и иной охраняемой законом информации;
знание современных информационно-коммуникационных технологий, аппаратного и программного обеспечения;
знание принципов работы сетевых протоколов, построения компьютерных сетей;
знание методов информационного обеспечения;
знание методов и средств получения, обработки и передачи информации;
знание понятий информационной системы, объекта информатизации, информационного ресурса;
знание понятий информационной безопасности и защиты информации;
знание программно-технических способов и средств обеспечения информационной безопасности;
знание принципов работы программных и программно-аппаратных средств защиты информации;
знание порядка разработки системы защиты информации объекта защиты;
знание понятия криптографической защиты информации;
знание порядка проведения аттестационных испытаний объекта информатизации.
Специалисты, ответственные за обеспечение защиты информации, должны обладать следующими профессиональными умениями:
умение определять потребность в обеспечении защиты информации и в применении средств защиты информации;
умение устанавливать и применять средства защиты информации;
умение устанавливать и поддерживать в рабочем состоянии системное и прикладное программное обеспечение;
умение проводить оценку защищенности и аттестационные испытания объекта информатизации;
умение рассчитывать, анализировать и обобщать результаты, составлять технические отчеты и аналитические материалы по вопросам обеспечения информационной безопасности.
Обязанности ответственного
за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных
Ответственный за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных в администрации Нижнебайгорского сельского поселения обязан:
2. Должностные обязанности специалистов, ответственных за обеспечение защиты информации:
исполняет обязанности сотрудника, ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных ГО/ОМСУ/организации[2];
исполняет обязанности сотрудника, ответственного за обеспечение защиты информации в государственных/муниципальных информационных системах ГО/ОМСУ/организации[3];
исполняет обязанности сотрудника, ответственного за обеспечение технической защиты информации, содержащей сведения, составляющие государственную тайну, на объектах информатизации ГО/ОМСУ/организации[4];
исполняет обязанности сотрудника, ответственного за обеспечение безопасности значимых объектов критической информационной инфраструктуры ГО/ОМСУ/организации[5];
разрабатывает перечни информационных (автоматизированных) систем и иных объектов информатизации ГО/ОМСУ/организации и предоставляет их на утверждение руководителю ГО/ОМСУ/организации;
подготавливает необходимые сведения для проведения категорирования и классификации информационных (автоматизированных) систем и иных объектов информатизации ГО/ОМСУ/организации по требованиям защиты информации, оформляет полученные результаты актами и представляет их на утверждение руководителю ГО/ОМСУ/организации;
подготавливает необходимые сведения для определения уровней защищенности персональных данных при их обработке в информационных системах персональных данных ГО/ОМСУ/организации, оформляет полученные результаты актами и представляет их на утверждение руководителю ГО/ОМСУ/организации3;
подготавливает сведения для определения контролируемой зоны в ГО/ОМСУ/организации, оформляет полученные результаты документально и представляет их на утверждение руководителю ГО/ОМСУ/организации;
обеспечивает определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационных системах ГО/ОМСУ/организации, возможностей нарушителей по реализации угроз безопасности информации, а также разработку и утверждение моделей угроз безопасности информации;
осуществляет выбор мер защиты информации в ГО/ОМСУ/организации, в том числе определяет необходимость применения сертифицированных на соответствие требованиям по безопасности информации средств защиты информации, в том числе средств криптографической защиты информации, а также требуемые классы данных средств защиты информации;
осуществляет анализ имеющихся на рынке средств защиты информации и формирует предложения по их закупке;
устанавливает и настраивает средства защиты информации в ГО/ОМСУ/организации в соответствии с инструкциями (правилами) по эксплуатации, разработанными разработчиками (производителями) этих средств, и иной эксплуатационной документацией на средства защиты информации с учетом установленных классов защищенности;
контролирует сроки действия сертификатов соответствия требованиям по безопасности информации на применяемые в ГО/ОМСУ/организации средства защиты информации;
организовывает проведение специальной проверки и специальных исследований технических средств и систем в ГО/ОМСУ/организации5;
обеспечивает проведение аттестации информационных (автоматизированных) систем и иных объектов информатизации ГО/ОМСУ/организации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну, и иной информации ограниченного доступа, по требованиям защиты информации, а также проведение периодической оценки эффективности защиты (защищенности) информации на данных объектах защиты;
обеспечивает проведение оценки эффективности принимаемых ГО/ ОМСУ/организацией мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ГО/ОМСУ/организации и документальное оформление ее результатов3;
осуществляет сопровождение функционирования систем защиты информации объектов защиты ГО/ОМСУ/организации в ходе их эксплуатации, включая ведение эксплуатационной документации и организационно-распорядительных документов по защите информации;
осуществляет функции администратора безопасности в информационных (автоматизированных) системах ГО/ОМСУ/организации, в том числе осуществляет управление средствами защиты информации, параметрами настройки программного обеспечения средств защиты информации, восстановление работоспособности средств защиты информации, а также управление полномочиями пользователей информационных (автоматизированных) систем ГО/ОМСУ/организации и их учетными записями, поддерживает правила разграничения доступа в информационных (автоматизированных) системах, генерацию, смену и восстановление паролей;
осуществляет установку обновлений программного обеспечения средств защиты информации, применяемых на объектах защиты ГО/ОМСУ/организации;
поддерживает установленный порядок и правила антивирусной защиты информации в информационных (автоматизированных) системах ГО/ОМСУ/организации, включая периодическое обновление применяемых средств антивирусной защиты и баз данных признаков вредоносных компьютерных программ (вирусов);
обеспечивает резервное копирование информации, содержащейся в информационных (автоматизированных) системах ГО/ОМСУ/организации, включая программное обеспечение применяемых средств защиты информации, а также восстановление модифицированной или уничтоженной информации с использованием ее резервных копий;
учитывает машинные носители информации, используемые в ГО/ОМСУ/организации для обработки и хранения информации ограниченного доступа;
учитывает средства криптографической защиты информации, применяемые в ГО/ОМСУ/организации для обеспечения защиты информации;
осуществляет анализ и оценку функционирования информационных (автоматизированных) систем и иных объектов информатизации ГО/ОМСУ/организации и их систем защиты информации, включая анализ и устранение уязвимостей и иных недостатков в функционировании систем защиты информации;
осуществляет мониторинг и анализ зарегистрированных событий в информационных (автоматизированных) системах, связанных с обеспечением безопасности;
осуществляет выявление фактов несанкционированного доступа к объектам защиты ГО/ОМСУ/организации и принимает меры по их устранению и предупреждению;
своевременно информирует непосредственного руководителя о несанкционированных действиях сотрудников ГО/ОМСУ/организации и иных лиц, эксплуатирующих информационные (автоматизированные) системы и иные объекты информатизации ГО/ОМСУ/организации;
принимает участие в расследовании инцидентов информационной безопасности в ГО/ОМСУ/организации, а также разрабатывает предложения по устранению недостатков и предупреждению данных инцидентов;
проводит инструктаж сотрудников ГО/ОМСУ/организации и иных лиц, эксплуатирующих информационные (автоматизированные) системы и иные объекты информатизации в ГО/ОМСУ/организации, в ходе которого информирует об угрозах безопасности информации, о правилах эксплуатации применяемых средств защиты информации, доводит требования и положения нормативных и организационно-распорядительных документов по защите информации, а также проводит их обучение правилам эксплуатации средств защиты информации;
осуществляет контроль исполнения нормативных требований по защите информации сотрудниками ГО/ОМСУ/организации, а также иными лицами, эксплуатирующими информационные (автоматизированные) системы и иные объекты информатизации в ГО/ОМСУ/организации;
проводит методические занятия по вопросам обеспечения информационной безопасности с сотрудниками ГО/ОМСУ/организации и подведомственных организаций[6];
обеспечивает проведение проверок организации работ по защите информации в ГО/ОМСУ/организации, а также внутреннего контроля состояния защиты информации в информационных (автоматизированных) системах и иных объектах информатизации ГО/ОМСУ/организации;
участвует во внутреннем контроле за соблюдением ГО/ОМСУ/организацией и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, политики ГО/ОМСУ/организации в отношении обработки персональных данных, локальных актов ГО/ОМСУ/организации3;
осуществляет координацию обеспечения защиты информации в информационных (автоматизированных) системах подведомственных ГО/ОМСУ организациях[7];
осуществляет мониторинг состояния информационной безопасности в подведомственных ГО/ОМСУ организациях8;
разрабатывает и согласовывает проекты нормативных и правовых актов ГО/ОМСУ/организации по вопросам обеспечения информационной безопасности;
разрабатывает проекты методических документов по вопросам обеспечения информационной безопасности в ГО/ОМСУ/организации и в подведомственных организациях7;
подготавливает технические задания на выполнение работ по защите информации в ГО/ОМСУ/организации;
разрабатывает и поддерживает в актуальном состоянии документы, определяющие правила и процедуры, реализуемые ГО/ОМСУ/организацией для обеспечения защиты информации;
подготавливает решения о вводе информационных (автоматизированных) систем и иных объектов информатизации ГО/ОМСУ/организации в эксплуатацию и выводе их из эксплуатации;
подготавливает заявки в департамент связи и массовых коммуникаций Воронежской области на регистрацию, актуализацию сведений, отмену регистрации государственных информационных систем ОГВ, организации в едином реестре государственных информационных систем Воронежской области, в соответствии с положением, утвержденным постановлением правительства Воронежской области от 28.04.2011 № 3404;
контролирует выполнение нормативных требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных/муниципальных информационных систем в ГО/ОМСУ/организации4;
подготавливает аналитические материалы о состоянии защиты информации в ГО/ОМСУ/организации и подведомственных организациях7;
разрабатывает ежегодный план мероприятий по обеспечению защиты информации в ГО/ОМСУ/организации;
подготавливает информационные материалы об исполнении решений комиссии по информационной безопасности при губернаторе Воронежской области в ГО/ОМСУ/организации и в подведомственных организациях7;
подготавливает информацию для правительства Воронежской области по вопросам обеспечения информационной безопасности в ГО/ОМСУ/организации и в подведомственных организациях7.
Права ответственного за обеспечение безопасности
персональных данных, обрабатываемых в информационных
системах персональных данных
Ответственный за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных администрации Нижнебайгорского сельского поселения имеет право:
- Запрашивать и получать необходимые материалы для организации и проведения работ по вопросам обеспечения безопасности персональных данных.
- Разрабатывать проекты организационных и распорядительных документов по обеспечению безопасности персональных данных.
- Контролировать деятельность структурных подразделений администрации Нижнебайгорского сельского поселения в части выполнения ими требований в области организации обработки и обеспечения безопасности персональных данных.
- Готовить предложения о привлечении к проведению работ по обеспечению безопасности персональных данных на договорной основе организаций, имеющих лицензии на право проведения работ в области защиты информации.
- Участвовать в разработке мероприятий по совершенствованию мер по организации обработки и обеспечению безопасности персональных данных в администрации Нижнебайгорского сельского поселения.
- Участвовать в проведении служебных расследований по фактам нарушения установленных требований по защите персональных данных, нарушению конфиденциальности персональных данных, утраты технических средств из состава информационных систем персональных данных, машинных носителей персональных данных в администрации Нижнебайгорского сельского поселения.
- Обращаться к руководителю администрации Нижнебайгорского сельского поселения с предложением о приостановке процесса обработки персональных данных в информационных системах персональных данных или отстранению от работы с персональными данными сотрудников администрации Нижнебайгорского сельского поселения в случаях нарушения установленной технологии обработки персональных данных или нарушения требований по защите персональных данных.
Ответственность
Ответственный за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных администрации Нижнебайгорского сельского поселения несет персональную ответственность, предусмотренную действующим законодательством за:
• выполнение возложенных на него обязанностей, предусмотренных настоящей инструкцией;
• качество проводимых работ по обеспечению безопасности персональных данных в соответствии с функциональными обязанностями;
• разглашение персональных данных, ставшими известными ему по роду своей работы.
[2] Обязанность включается только в том случае, если ГО/ОМСУ/организация является оператором информационных систем персональных данных.
[3] Обязанность включается только в том случае, если ГО/ОМСУ/организация является оператором государственных/муниципальных информационных систем.
[4] Обязанность включается только в том случае, если в ГО/ ОМСУ/организации имеются собственные объекты информатизации, предназначенные для обработки информации, содержащей сведения, составляющие государственную тайну.
[5] Обязанность включается только в том случае, если ГО/ОМСУ/организации принадлежат значимые объекты критической информационной инфраструктуры.
[6] В содержание обязанности включаются и подведомственные организации только в ГО/ ОМСУ, у которых имеются подведомственные организации.
[7] Обязанность включается только в ГО/ОМСУ, у которых имеются подведомственные организации.
Должностная инструкция ответственного за организацию обработки персональных данных
- Общие положения
1.1 Ответственное лицо за организацию обработки персональных данных (далее — ответственный) — лицо, отвечающее за организацию обработки персональных данных с использованием средств автоматизации и без использования таких средств, а также доступ к персональным данным в муниципальном бюджетном общеобразовательном учреждении осноная общеобразовательная школа № 6 х.Красная Нива муниципального образования Брюховецкий район (далее МБОУ ООШ № 6)
1.2. Ответственный подчиняется директору МБОУ ООШ № 6 1.3. Ответственный за организацию обработки персональных данных в ДКТиМП в своей деятельности должен руководствоваться Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 17.11.2007 N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 21.03.2012 N 211 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ними нормативными правовыми актами, локальными актамив сфере обработки и хранения персональных данных, а так же защиты конфиденциальной информации.
2. Должностные обязанности Ответственный за организацию обработки персональных данных в МБОУ ООШ № 6 обязан:
2.1. Организовывать обработку и использование персональных данных в МБОУ ООШ № 6 исключительно в целях, предусмотренных нормативными правовыми актами Российской Федерации.
2.2. Организовывать обеспечение безопасности персональных данных требуемому уровню защищенности.
2.3. Осуществлять контроль содержания и объема обрабатываемых персональных данных и соответствия их перечню, утвержденному в МБОУ ООШ № 6.
2.4. Осуществлять внутренний контроль соблюдения требований законодательства Российской Федерации при обработке персональных данных, в том числе требований к защите персональных данных.
2.5. Осуществлять контроль приема и обработки запросов субъектов персональных данных или их представителей.
2.6.Осуществлять контроль выполнения требований организационно- распорядительных документов по обеспечению безопасности персональных данных при их обработке в информационных системах МБОУ ООШ № 6.
2.7. Осуществлять контроль порядка учета, создания, хранения и использования резервных копий и машинных (выходных) документов, содержащих персональные данные.
2.8. Организовывать работы по контролю работоспособности технических средств защиты персональных данных, охраны объекта, средств защиты информации от несанкционированного доступа.
2.9. Доводить до сведения работников МБОУ ООШ № 6 положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных.
3. Права Ответственный за организацию обработки персональных данных в МБОУ ООШ № 6 имеет право:
3.1. Запрашивать у работников МБОУ ООШ № 6 информацию, необходимую для реализации полномочий.
3.2. Требовать от всех пользователей информационных систем персональных данных выполнения установленной технологии обработки персональных данных, инструкций и других нормативных правовых документов по обеспечению безопасности персональных данных.
3.3. Требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных.
3.4. Участвовать в разработке мероприятий по совершенствованию безопасности персональных данных.
3.5. Инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения информационной безопасности, несанкционированного доступа, утраты, порчи защищаемых персональных данных и технических средств из состава информационных систем.
3.6. Принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации.
3.7. Вносить директору МБОУ ООШ № 6 предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных или нарушения режима конфиденциальности.
3.8. Вносить директору МБОУ ООШ № 6 предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке.