Приказ Службы государственного жилищного и строительного надзора Иркутской области от 22.09.2014 N 026-спр "О принятии мер по обеспечению безопасности персональных данных при их обработке"
СЛУЖБА ГОСУДАРСТВЕННОГО ЖИЛИЩНОГО
И СТРОИТЕЛЬНОГО НАДЗОРА ИРКУТСКОЙ ОБЛАСТИ
ПРИКАЗ
от 22 сентября 2014 г. № 026-спр
О ПРИНЯТИИ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
В соответствии со статьей 19 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", руководствуясь статьей 21 Устава Иркутской области, приказываю:
1. Утвердить:
1) Должностную инструкцию лица, ответственного за обеспечение безопасности персональных данных в службе государственного жилищного и строительного надзора Иркутской области (прилагается);
2) Инструкцию по организации парольной и антивирусной защиты в службе государственного жилищного и строительного надзора Иркутской области (прилагается);
3) Правила работы со съемными носителями в службе государственного жилищного и строительного надзора Иркутской области (прилагаются);
4) Инструкцию пользователя информационной системы персональных данных в службе государственного жилищного и строительного надзора Иркутской области (прилагается);
5) Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения в информационных системах персональных данных службы государственного жилищного и строительного надзора Иркутской области (прилагается);
6) Порядок обеспечения безопасности при обработке персональных данных, осуществляемой без использования средств автоматизации в службе государственного жилищного и строительного надзора Иркутской области (прилагается).
2. Настоящий приказ подлежит официальному опубликованию.
Руководитель службы
М.Е.ЛИ
Утверждена
приказом
службы государственного жилищного
и строительного надзора
Иркутской области
от 22 сентября 2014 года
№ 026-спр
ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ
ЛИЦА, ОТВЕТСТВЕННОГО ЗА ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ В СЛУЖБЕ ГОСУДАРСТВЕННОГО ЖИЛИЩНОГО
И СТРОИТЕЛЬНОГО НАДЗОРА ИРКУТСКОЙ ОБЛАСТИ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1. Должностная инструкция лица, ответственного за обеспечение безопасности персональных данных в службе государственного жилищного и строительного надзора Иркутской области (далее - Инструкция), разработана в соответствии с постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
2. Настоящая Инструкция закрепляет обязанности, права и ответственность лица, ответственного за обеспечение безопасности персональных данных в службе государственного жилищного и строительного надзора Иркутской области (далее - ответственное лицо).
3. Ответственное лицо назначается распоряжением руководителя службы государственного жилищного и строительного надзора Иркутской области (далее - служба).
4. Ответственное лицо в своей работе руководствуется Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных", иными нормативными правовыми актами, настоящей Инструкцией, а также иными локальными нормативными правовыми актами службы, регламентирующими вопросы обработки персональных данных.
5. Ответственное лицо является должностным лицом, уполномоченным на проведение работ по поддержанию уровня защиты информационных систем персональных данных службы (далее - ИСПДн).
6. Требования ответственного лица, связанные с выполнением его должностных обязанностей, обязательны для исполнения всеми пользователями ИСПДн службы.
2. ОБЯЗАННОСТИ ОТВЕТСТВЕННОГО ЛИЦА
7. Ответственное лицо обязано:
1) знать перечень средств вычислительной техники (далее - СВТ), установленных в службе;
2) знать перечень задач, решаемых с использованием СВТ в службе;
3) обеспечивать работоспособность СВТ службы;
4) проводить организационно-технические мероприятия по обслуживанию и ремонту СВТ службы как собственными силами, так и с привлечением (на договорной основе) сторонних организаций, имеющих в установленном порядке право на ремонт и обслуживание СВТ;
5) рассматривать возможность применения новых технологий для повышения эффективности функционирования и безопасности ИСПДн службы;
6) выполнять установку, настройку и своевременное обновление программного обеспечения службы;
7) выполнять резервное копирование и восстановление данных;
8) осуществлять контроль за выполнением пользователями ИСПДн требований "Инструкции пользователя ИСПДн";
9) хранить и осуществлять выдачу персональных паролей пользователей в службе;
10) присутствовать при выполнении технического обслуживания элементов ИСПДн сторонними физическими лицами или организациями;
11) принимать меры по реагированию в случае возникновения нештатных или аварийных ситуаций с целью ликвидации их последствий;
12) не допускать к работе на рабочих станциях и серверах службы посторонних лиц;
13) осуществлять контроль монтажа оборудования службы специалистами сторонних организаций;
14) участвовать в приемке нового технического оборудования и программных средств для работы службы.
3. ПРАВА ОТВЕТСТВЕННОГО ЛИЦА
8. Ответственное лицо имеет право:
1) принимать решения в пределах своей компетенции;
2) требовать от сотрудников службы соблюдения мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 № 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами;
3) взаимодействовать со структурными подразделениями службы по вопросам обработки персональных данных;
4) вносить свои предложения по совершенствованию функционирования ИСПДн службы;
5) инициировать проведение служебных проверок по фактам нарушения установленных требований обеспечения информационной безопасности в ИСПДн службы.
4. ОТВЕТСТВЕННОСТЬ ОТВЕТСТВЕННОГО ЛИЦА
9. За ненадлежащее исполнение или неисполнение настоящей Инструкции, а также за нарушение требований законодательства о персональных данных ответственное лицо несет ответственность, предусмотренную законодательством Российской Федерации.
Заместитель руководителя службы
Л.В.КРАСНОПЕРОВА
Утверждена
приказом
службы государственного жилищного
и строительного надзора
Иркутской области
от 22 сентября 2014 года
№ 026-спр
ИНСТРУКЦИЯ
ПО ОРГАНИЗАЦИИ ПАРОЛЬНОЙ И АНТИВИРУСНОЙ ЗАЩИТЫ В СЛУЖБЕ
ГОСУДАРСТВЕННОГО ЖИЛИЩНОГО И СТРОИТЕЛЬНОГО НАДЗОРА
ИРКУТСКОЙ ОБЛАСТИ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1. Инструкция по организации парольной и антивирусной защиты в службе государственного жилищного и строительного надзора Иркутской области (далее - Инструкция) определяет действия, связанные с организационно-техническим обеспечением процессов генерации, смены и прекращения действия паролей и организации защиты от вредоносного воздействия компьютерных вирусов.
2. ОРГАНИЗАЦИЯ ПАРОЛЬНОЙ ЗАЩИТЫ
2. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей в информационных системах персональных данных в службе государственного жилищного и строительного надзора Иркутской области (далее - ИСПДн) возлагается на лицо, ответственное за обеспечение безопасности персональных данных в службе государственного жилищного и строительного надзора Иркутской области (далее - служба).
3. Личные пароли пользователей ИСПДн должны генерироваться и распределяться централизованно, с учетом следующих требований:
1) длина пароля должна быть не менее 8 символов;
2) пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, дни рождения, номера телефонов, номера кабинетов и т.д.);
3) при смене пароля новое значение должно отличаться от трех предыдущих паролей;
4) личный пароль пользователь не имеет право сообщать никому.
4. Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.
5. Для генерации паролей могут применяться специальные программные средства.
6. Удаление учетной записи пользователя проводится в случае прекращения полномочий сотрудника (увольнение, сокращение и т.д.) и должна производиться лицом, наделенным полномочиями администратора локально-вычислительной сети службы, немедленно после окончания последнего сеанса работы данного пользователя с системой.
7. В случае компроментации личного пароля пользователя ИСПДн должны быть немедленно приняты меры по внеплановой смене паролей всех пользователей данной ИСПДн.
8. Полная смена паролей должна проводиться регулярно.
9. Пользователям ИСПДн запрещается:
1) передавать свой пароль другим лицам;
2) хранить значение своего пароля на бумажном носителе.
3. ОРГАНИЗАЦИЯ АНТИВИРУСНОЙ ЗАЩИТЫ
10. Для обеспечения антивирусной защиты допускается только лицензионное антивирусное программное обеспечение.
11. Установка и настройка средств антивирусного контроля на компьютерах, на серверах осуществляется лицом, ответственным за обеспечение безопасности персональных данных в службе.
12. Пользователь обязан проводить антивирусный контроль любой электронной информации (текстовые файлы любых форматов, исполняемые файлы, архивные файлы и т.д.), получаемой по телекоммуникационным каналам, а также информации со съемных носителей.
13. В случае подозрения на наличие компьютерного вируса (нетипичная работа программ, искажение данных, исчезновение файлов, частые сообщения о системных ошибках и т.д.) пользователь обязан:
1) приостановить работу на компьютере;
2) незамедлительно поставить в известность ответственного за обеспечение безопасности персональных данных;
3) совместно с лицом, ответственным за обеспечение безопасности персональных данных в службе, провести анализ возможности дальнейшего использования зараженных файлов;
4) провести лечение или уничтожение зараженных файлов (при необходимости привлечь специалистов).
14. Обновление антивирусных баз осуществляется в автоматическом режиме через информационно-телекоммуникационную сеть "Интернет".
4. ОТВЕТСТВЕННОСТЬ
15. Ответственность за соблюдение требований настоящей Инструкции возлагается на лицо, ответственное за обеспечение безопасности персональных данных в службе, и на всех сотрудников службы, являющихся пользователями локально-вычислительной сети службы.
Заместитель руководителя службы
Л.В.КРАСНОПЕРОВА
Утверждены
приказом
службы государственного жилищного
и строительного надзора
Иркутской области
от 22 сентября 2014 года
№ 026-спр
ПРАВИЛА
РАБОТЫ СО СЪЕМНЫМИ НОСИТЕЛЯМИ В СЛУЖБЕ ГОСУДАРСТВЕННОГО
ЖИЛИЩНОГО И СТРОИТЕЛЬНОГО НАДЗОРА ИРКУТСКОЙ ОБЛАСТИ
1. Настоящие Правила работы со съемными носителями в службе государственного жилищного и строительного надзора Иркутской области (далее - Правила) устанавливают порядок использования носителей информации в службе государственного жилищного и строительного надзора Иркутской области (далее - служба).
2. Действие настоящих Правил распространяется на сотрудников службы, определенных Перечнем должностей государственных гражданских служащих службы, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, утвержденным правовым актом службы.
3. Порядок использования съемных носителей информации:
1) перед использованием съемного носителя информации осуществлять его проверку на отсутствие вредоносных программ;
2) при использовании съемных носителей информации запрещается:
использовать съемные носители информации для постоянного хранения персональных данных;
оставлять съемные носители без присмотра;
передавать съемные носители информации на хранение другим лицам;
выносить съемные носители с персональными данными из служебных помещений для работы с ними на дому, в гостиницах и т.д.;
3) при отправке или передаче персональных данных адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка персональных данных адресатам на съемных носителях осуществляется в порядке, установленном для документов для служебного пользования;
4) вынос съемных носителей с персональными данными для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя службы либо заместителя руководителя службы, курирующего направление деятельности структурного подразделения.
4. Порядок действий при утрате съемных носителей с персональными данными:
1) о фактах утраты съемных носителей, содержащих персональные данные, либо разглашения содержащихся в них сведений, немедленно ставится в известность ответственный за организацию обработки персональных данных в службе.
5. Ответственность за соблюдение настоящих Правил возлагается на всех сотрудников службы, использующих съемные носители информации для исполнения служебных полномочий.
Заместитель руководителя службы
Л.В.КРАСНОПЕРОВА
Утверждена
приказом
службы государственного жилищного
и строительного надзора
Иркутской области
от 22 сентября 2014 года
№ 026-спр
ИНСТРУКЦИЯ
ПОЛЬЗОВАТЕЛЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
В СЛУЖБЕ ГОСУДАРСТВЕННОГО ЖИЛИЩНОГО И СТРОИТЕЛЬНОГО НАДЗОРА
ИРКУТСКОЙ ОБЛАСТИ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1. Действие настоящей Инструкции пользователя информационной системы персональных данных в службе государственного жилищного и строительного надзора Иркутской области (далее - Инструкция) распространяется на сотрудников службы государственного жилищного и строительного надзора Иркутской области (далее - служба), имеющих доступ к информационным системам персональных данных (далее - ИСПДн).
2. Доступ сотрудников службы (далее - пользователь) к ИСПДн осуществляется в соответствии с "Перечнем должностей государственных гражданских служащих службы, замещение которых предусматривает осуществление обработки персональных данных", утвержденным правовым актом службы.
3. Пользователь допускается к работе с ИСПДн только после ознакомления с настоящей Инструкцией.
4. Персональные данные не подлежат разглашению (распространению).
5. Пользователи имеют право выполнять поставленные задачи в соответствии с предоставленным доступом к персональным данным в рабочее время. При этом хранение файлов, содержащих персональные данные, разрешается только на сервере службы.
6. Перед началом работы в ИСПДн службы пользователь должен принять меры, исключающие возможность визуального обзора информации лицами, не допущенными к ней, а также обеспечивать в течение рабочего дня отсутствие бесконтрольного пребывания в помещении размещения ИСПДн посторонних лиц в соответствии с "Порядком доступа служащих службы в помещения, в которых ведется обработка персональных данных", утвержденным правовым актом службы.
7. Вход пользователя в ИСПДн осуществляется на основе предъявления (по запросу системы) персонального идентификатора (имени пользователя) и ввода личного пароля, выданного в соответствии с "Инструкцией по организации парольной и антивирусной защиты службы", утвержденной правовым актом службы.
8. По всем вопросам безопасности ИСПДн обращаться к лицу, ответственному за обеспечение безопасности персональных данных в службе.
2. ОБЯЗАННОСТИ ПОЛЬЗОВАТЕЛЕЙ ИСПДН СЛУЖБЫ
9. Пользователи, имеющие доступ к ИСПДн, обязаны:
1) знать и выполнять установленные требования обеспечения безопасности при работе с ИСПДн;
2) выполнять требования лица, ответственного за обеспечение безопасности персональных данных в службе;
3) использовать в работе только учтенные съемные накопители информации (компакт-диски, флеш-накопители и т.д.);
4) контролировать обновление антивирусных баз и о случаях некорректного обновления сообщать лицу, ответственному за обеспечение безопасности персональных данных в службе.
10. Пользователи обязаны незамедлительно сообщить лицу, ответственному за обеспечение безопасности персональных данных в службе, и лицу, ответственному за организацию обработки персональных данных в службе, о:
1) случаях утери носителя с персональными данными или при подозрении компроментации личного пароля;
2) нарушении целостности пломб (наклеек) на аппаратных средствах ПЭВМ или иных случаях совершения в их отсутствие попыток несанкционированного доступа к ИСПДн.
11. Пользователям запрещается:
1) вынос ПЭВМ, на которой проводилась обработка персональных данных, за пределы здания с целью их ремонта (замены и т.д.) без согласования руководителя службы;
2) выполнять работы с документами, содержащими персональные данные, на дому, выносить их из служебных помещений, снимать копии или производить выписки из таких документов без разрешения руководителя;
3) накапливать ненужные для выполнения служебных обязанностей персональные данные;
4) осуществлять обработку персональных данных в присутствии третьих лиц, не допущенных к данной информации;
5) записывать и хранить персональные данные на неучтенных съемных носителях информации;
6) оставлять без присмотра свою ПЭВМ, предварительно не активировав средства защиты от несанкционированного доступа (завершение или блокировка сеанса пользователя);
7) в случае оставления занимаемой должности разглашать персональные данные, ставшие ему известными в процессе обработки при выполнении им должностных обязанностей.
12. В случае оставления занимаемой должности пользователь ИСПДн обязан вернуть все документы и материалы, относящиеся в деятельности службы, в том числе содержащие персональные данные.
3. ОТВЕТСТВЕННОСТЬ ПОЛЬЗОВАТЕЛЕЙ ИСПДН СЛУЖБЫ
13. Пользователь несет ответственность за соблюдение требований настоящей Инструкции, а также других нормативных правовых актов в области защиты информации.
14. За разглашение информации, а также за нарушение порядка работы с документами, содержащими персональные данные, пользователи могут быть привлечены к дисциплинарной или иной ответственности, предусмотренной законодательством.
Заместитель руководителя службы
Л.В.КРАСНОПЕРОВА
Утвержден
приказом
службы государственного жилищного
и строительного надзора
Иркутской области
от 22 сентября 2014 года
№ 026-спр
ПОРЯДОК
РЕЗЕРВИРОВАНИЯ И ВОССТАНОВЛЕНИЯ РАБОТОСПОСОБНОСТИ
ТЕХНИЧЕСКИХ СРЕДСТВ И ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ СЛУЖБЫ
ГОСУДАРСТВЕННОГО ЖИЛИЩНОГО И СТРОИТЕЛЬНОГО НАДЗОРА
ИРКУТСКОЙ ОБЛАСТИ
1. Настоящий Порядок резервирования и восстановления работоспособности технических средств, программного обеспечения в информационных системах персональных данных службы государственного жилищного и строительного надзора Иркутской области (далее - Порядок) определяет действия, связанные с функционированием информационных систем персональных данных (далее - ИСПДн) службы государственного жилищного и строительного надзора Иркутской области (далее - служба), меры и средства, направленные на поддержание непрерывности работы и восстановление работоспособности ИСПДн.
2. Действие настоящего Порядка распространяется на всех пользователей службы, имеющих доступ к ресурсам ИСПДн, а также на основные системы обеспечения непрерывности работы и восстановления ресурсов при возникновении аварийных ситуаций, в том числе:
1) системы жизнеобеспечения ИСПДн;
2) системы обеспечения отказоустойчивости;
3) системы резервного копирования и хранения данных;
4) системы контроля физического доступа.
3. Ответственными сотрудниками за реагирование на инциденты безопасности, приводящие к потере защищаемой информации, назначаются:
1) сотрудники, обрабатывающие персональные данные;
2) руководители структурных подразделений службы, в которых проводится обработка персональных данных;
3) лица, ответственные за защиту персональных данных в службе.
4. В настоящем Порядке под инцидентом понимается любое происшествие, связанное со сбоем в функционировании элементов ИСПДн, а также потерей защищаемой информации.
5. Происшествие, вызывающее инцидент, может произойти:
1) в результате непреднамеренных действий пользователей;
2) в результате преднамеренных действий пользователей и третьих лиц;
3) в результате нарушения правил эксплуатации технических и программных средств ИСПДн;
4) в результате возникновения внештатных ситуаций и обстоятельств непреодолимой силы.
6. В кратчайшие сроки, не превышающие одного рабочего дня, ответственные за реагирование сотрудники предпринимают меры по восстановлению работоспособности. Предпринимаемые меры по возможности согласуются с непосредственным руководителем. По необходимости иерархия согласования может быть нарушена с целью получения высококвалифицированной консультации в кратчайшие сроки.
7. Техническими мерами для обеспечения непрерывной работы и восстановления являются программные, аппаратные и технические средства и системы, используемые для предотвращения потери информации, такие как:
1) системы жизнеобеспечения ИСПДн;
2) системы обеспечения отказоустойчивости;
3) системы резервного копирования и хранения данных;
4) системы контроля физического доступа.
8. Системы жизнеобеспечения ИСПДн включают:
1) пожарные сигнализации;
2) системы резервного питания.
9. Все помещения, в которых размещаются элементы ИСПДн и средства защиты, должны быть оборудованы средствами пожарной сигнализации.
Для предотвращения потерь информации при кратковременном отключении электроэнергии все ключевые элементы ИСПДн: ПЭВМ; сетевое и коммуникационное оборудование должны подключаться к сети электропитания через источники бесперебойного питания.
10. Для защиты от отказов отдельных дисков серверов, осуществляющих обработку и хранение защищаемой информации, должны использоваться технологии RAID, которые (кроме RAID-0) применяют дублирование данных, хранимых на дисках.
11. Система резервного копирования и хранения данных должна обеспечивать хранение защищаемой информации на дисковом массиве или наборе ленточных картриджей.
12. Резервное копирование и хранение данных должно осуществляться на периодической основе:
1) для обрабатываемых персональных данных - ежедневно;
2) для технологической информации - ежедневно;
3) эталонные копии программного обеспечения (операционные системы, штатное и специальное программное обеспечение, программные средства защиты) каждый раз при внесении изменений в эталонные копии (выход новых версий).
13. Система резервного копирования с дисковым массивом или ленточными картриджами должна быть расположена отдельно от основного хранилища данных в помещении, оборудованном системой пожаротушения и охранной сигнализацией. Отдельные копии на жестких дисках, компакт-дисках или ленточных картриджах должны помещаться в несгораемый шкаф.
Заместитель руководителя службы
Л.В.КРАСНОПЕРОВА
Утвержден
приказом
службы государственного жилищного
и строительного надзора
Иркутской области
от 22 сентября 2014 года
№ 026-спр
ПОРЯДОК
ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ,
ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ
В СЛУЖБЕ ГОСУДАРСТВЕННОГО ЖИЛИЩНОГО И СТРОИТЕЛЬНОГО НАДЗОРА
ИРКУТСКОЙ ОБЛАСТИ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1. Настоящий Порядок обеспечения безопасности при обработке и хранении персональных данных, осуществляемых без использования средств автоматизации в службе государственного жилищного и строительного надзора Иркутской области (далее - Порядок), разработан в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных", Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.
2. ОСОБЕННОСТИ ОРГАНИЗАЦИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ,
ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ
2. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).
3. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели, обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
1) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации; имя (наименование) и адрес оператора; фамилию, имя, отчество и адрес субъекта персональных данных; источник получения персональных данных; сроки обработки персональных данных; перечень действий с персональными данными, которые будут совершаться в процессе их обработки; общее описание используемых оператором способов обработки персональных данных;
2) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;
3) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
4) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
5. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
1) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
2) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
6. Уничтожение и обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
7. Требования, предусмотренные подпунктами 1 и 2 пункта 5 настоящего Порядка, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
8. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
3. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРИ ИХ ОБРАБОТКЕ, ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ
СРЕДСТВ АВТОМАТИЗАЦИИ
9. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
10. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
11. Сотрудник службы при работе с персональными данными, осуществляемой без использования средств автоматизации, должен:
1) принимать необходимые меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий;
2) предоставлять информацию субъекту персональных данных при его обращении, касающейся обработки персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных службой, а также цель такой обработки;
способы обработки персональных данных;
сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
перечень обрабатываемых персональных данных и источник их получения;
3) осуществить блокирование персональных данных в случае выявления недостоверных персональных данных или неправомерных действий с ними оператора;
4) устранять допущенные нарушения в случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления;
5) сообщать непосредственному руководителю о попытках несанкционированного доступа к персональным данным.
12. Документы по обработке персональных данных без использования средств автоматизации должны храниться в надежно запираемых шкафах и сейфах. Помещения должны быть оборудованы средствами охранной сигнализации. Ключи от шкафов, сейфов и помещений должны находиться у ответственных лиц.
Заместитель руководителя службы
Л.В.КРАСНОПЕРОВА
------------------------------------------------------------------