АДМИНИСТРАЦИЯ ПЕТРОЗАВОДСКОГО ГОРОДСКОГО ОКРУГА

ПОСТАНОВЛЕНИЕ

от 25 мая 2023 года N 2018

Об утверждении Политики в отношении обработки персональных данных в Администрации Петрозаводского городского округа

В соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" и во исполнение требований постановления Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" Администрация Петрозаводского городского округа

постановляет:

1. Утвердить Политику в отношении обработки персональных данных в Администрации Петрозаводского городского округа (приложение N 1).

2. Утвердить Правила работы с обезличенными персональными данными, в случае обезличивания персональных данных в Администрации Петрозаводского городского округа (приложение N 2).

3. Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленные Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами в Администрации Петрозаводского городского округа (приложение N 3).

4. Утвердить Инструкцию пользователя, допущенного к обработке персональных данных в информационных системах Администрации Петрозаводского городского округа (приложение N 4).

5. Утвердить Типовое обязательство муниципального служащего Администрации Петрозаводского городского округа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора прекратить обработку персональных данных, ставших известными ему, в связи с исполнением должностных обязанностей (приложение N 5).

6. Утвердить Порядок доступа служащих Администрации Петрозаводского городского округа в помещения, в которых ведется обработка персональных данных (приложение N 6).

7. Утвердить Положение по работе с инцидентами информационной безопасности в Администрации Петрозаводского городского округа (приложение N 7).

8. Руководителям структурных подразделений Администрации Петрозаводского городского округа обеспечить ознакомление муниципальных служащих с настоящим постановлением под личную подпись.

9. Информационно-аналитическому управлению аппарата Администрации Петрозаводского городского округа (А.А. Сильченко) опубликовать настоящее постановление в периодическом печатном средстве массовой информации, являющемся источником официального опубликования муниципальных правовых актов.

10. Признать утратившими силу:

– постановление Администрации Петрозаводского городского округа от 14.03.2012 N 1121 "Об утверждении Положения об обработке и защите персональных данных в Администрации Петрозаводского городского округа";

– постановление Администрации Петрозаводского городского округа от 12.01.2017 N 27 "О внесении изменений в постановление Администрации Петрозаводского городского округа от 14.03.2012 N 1121";

11. Контроль за исполнением настоящего постановления возложить на заместителя главы Администрации Петрозаводского городского округа - руководителя аппарата Д.В. Евстигнееву.

Глава Петрозаводского
городского округа
В.К. Любарский

Приложение N 1

УТВЕРЖДЕНА

постановлением Администрации
Петрозаводского городского округа
от 25.05.2023 N 2018

Политика в отношении обработки персональных данных в Администрации Петрозаводского городского округа

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных в Администрации Петрозаводского городского округа (далее - Политика) разработана в соответствии со следующими нормативными правовыми актами (документами) Российской Федерации:

1) Конвенцией о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года, ратифицированная Федеральным законом Российской Федерации от 19 декабря 2005 года N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных";

2) Конституцией Российской Федерации;

3) Гражданским кодексом Российской Федерации;

4) Кодексом Российской Федерации об административных правонарушениях;

5) Трудовым кодексом Российской Федерации;

6) Уголовным кодексом Российской Федерации;

7) Федеральным законом от 02 марта 2007 года N 25-ФЗ "О муниципальной службе в Российской Федерации";

8) Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ);

9) Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

10) Указом Президента Российской Федерации от 06 марта 1997 года N 188 "Об утверждении перечня сведений конфиденциального характера";

11) постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

12) постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении переченя мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

13) Постановлением Правительства Российской Федерации от 01 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

1.1.1. Политика подлежит пересмотру в ходе периодического анализа со стороны руководства Администрации Петрозаводского городского округа (далее - Администрация, Оператор), а также в случаях изменения законодательства Российской Федерации в области персональных данных.

1.1.2. Политика подлежит размещению на официальном сайте Администрации в разделе "Власть - Администрация - Защита персональных данных".

1.2. Целью Политики является обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных Администрацией.

1.3. Для целей Политики используются следующие понятия:

- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

- персональные данные, разрешенные субъектом персональных данных для распространения, персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";

- субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;

- оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

- конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

- угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;

- уровень защищенности персональных данных - комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

1.4. Положения Политики распространяются на все отношения, связанные с обработкой персональных данных, осуществляемой Администрацией:

1) с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным;

2) без использования средств автоматизации.

1.5. Настоящей Политикой должны руководствоваться все сотрудники Администрации, осуществляющие обработку персональных данных или имеющие к ним доступ.

2. Цели обработки персональных данных

Обработка персональных данных осуществляется Администрацией в следующих целях:

1) выполнение требований трудового законодательства Российской Федерации и законодательства о муниципальной службе Российской Федерации в части ведения бухгалтерского учета, исполнение условий договоров гражданско-правового характера;

2) выполнение требований трудового законодательства Российской Федерации и законодательства о муниципальной службе Российской Федерации в части ведения кадрового учета, заключение служебных контрактов, трудовых и иных договоров, ведение личных дел (карточек), ведение воинского учета;

3) рассмотрение обращений граждан;

4) выполнение требований законодательства Российской Федерации, Республики Карелия и Администрации в части награждения государственными премиями, наградами, вынесения благодарности и др.;

5) осуществление и выполнение возложенных законодательством Российской Федерации функций, полномочий и обязанностей, на Администрацию Петрозаводского городского округа.

3. Правовые основания обработки персональных данных

3.1. Основанием обработки персональных данных в Администрации являются следующие нормативные акты и документы:

1) Конституция Российской Федерации;

2) Градостроительный кодекс Российской Федерации;

3) Трудовой кодекс Российской Федерации;

4) Постановление Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

5) Налоговый кодекс Российской Федерации;

6) Бюджетный кодекс Российской Федерации;

7) Жилищный кодекс Российской Федерации;

8) Гражданский кодекс Российской Федерации;

9) Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных";

10) Федеральный закон от 01.04.1996 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования";

11) Федеральный закон от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации";

12) Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете";

13) Федеральный закон от 17.12.2001 N 173-ФЗ "О трудовых пенсиях в Российской Федерации";

14) Федеральный закон от 15.12.2001 N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации";

15) Федеральный закон от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации";

16) Федеральный закон от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

17) Федеральный закон от 06.10.2003 N 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации";

18) Федеральный закон от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";

19) Договоры, заключаемые между оператором и субъектом персональных данных;

20) Согласия субъектов персональных данных на обработку персональных данных;

21) Устав Петрозаводского городского округа.

3.2. В случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Администрации, обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

3.3. Обработка персональных данных прекращается при реорганизации или ликвидации Администрации.

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

4.1. В соответствии с целями обработки персональных данных, указанными в разделе 2 настоящей Политики, Администрацией осуществляется обработка следующих категорий субъектов персональных данных:

1) муниципальные служащие;

2) лица, замещающие муниципальную должность;

3) работники муниципальных учреждений (предприятий), подведомственных Администрации;

4) близкие родственники муниципальных служащих, персональные данные которых необходимы в целях выполнения требований законодательства о муниципальной службе Российской Федерации;

5) близкие родственники работников, муниципальных учреждений (предприятий), подведомственных Администрации;

6) граждане, состоящие с Администрацией в гражданско-правовых отношениях;

7) близкие родственники лица, замещающего муниципальную должность;

8) граждане, персональные данные которых необходимы для рассмотрения обращений граждан;

9) граждане, представленные к награждению;

10) граждане, состоящие в комиссии по награждению;

11) граждане, персональные данные которых необходимы для выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей.

4.2. В соответствии с целями обработки персональных данных, указанными в разделе 2 настоящей Политики, Администрацией осуществляется обработка следующих персональных данных:

4.2.1. Муниципальные служащие:

- фамилия, имя, отчество;

- дата рождения;

- пол;

- место рождения;

- адрес регистрации;

- адрес проживания;

- данные документа, удостоверяющего личность;

- идентификационный номер налогоплательщика (далее - ИНН);

- должность;

- структурное подразделение;

- банковские реквизиты;

- данные о командировках;

- данные об отпусках;

- СНИЛС;

- реквизиты служебного (трудового) контракта (договора);

- размер оклада;

- стаж работы;

- сведения о составе семьи;

- сведения о детях;

- сведения о приеме на работу и переводах на другие должности;

- сведения об увольнении;

- сведения о социальных льготах, на которые работник имеет право в соответствии с законодательством;

- сведения о доходах;

- сведения о налогах;

- сведения о страховых взносах;

- сведения об удержаниях;

- сведения об инвалидности;

- сведения, содержащиеся в исполнительных листах, постановлении судебного пристава, решении суда;

- данные военного билета;

- сведения о доходах, расходах, об имуществе и обязательствах имущественного характера.

4.2.2. Лица, замещающие муниципальную должность:

- фамилия, имя, отчество;

- дата рождения;

- пол;

- место рождения;

- адрес регистрации;

- адрес проживания;

- данные документа, удостоверяющего личность;

- идентификационный номер налогоплательщика (далее - ИНН);

- должность;

- структурное подразделение;

- банковские реквизиты;

- данные о командировках;

- данные об отпусках;

- СНИЛС;

- реквизиты служебного (трудового) контракта (договора);

- размер оклада;

- стаж работы;

- сведения о составе семьи;

- сведения о детях;

- сведения о приеме на работу и переводах на другие должности;

- сведения об увольнении;

- сведения о социальных льготах, на которые работник имеет право в соответствии с законодательством;

- сведения о доходах;

- сведения о налогах;

- сведения о страховых взносах;

- сведения об удержаниях;

- данные военного билета;

- сведения об инвалидности;

- сведения, содержащиеся в исполнительных листах, постановлении судебного пристава, решении суда;

- сведения о доходах, расходах, об имуществе и обязательствах имущественного характера.

4.2.3. Близкие родственники муниципальных служащих, персональные данные которых необходимы в целях выполнения требований законодательства о муниципальной службе Российской Федерации:

- фамилия, имя, отчество;

- дата рождения;

- место работы (учебы);

- данные свидетельства о рождении;

- пол;

- адрес регистрации;

- адрес проживания;

- степень родства.

4.2.4. Близкие родственники работников, муниципальных учреждений (предприятий), подведомственных Администрации:

- фамилия, имя, отчество;

- дата рождения;

- место работы (учебы);

- данные свидетельства о рождении;

- адрес регистрации;

- адрес проживания;

- степень родства.

4.2.5. Граждане, состоящие с Администрацией в гражданско-правовых отношениях:

- фамилия, имя, отчество;

- дата рождения;

- пол;

- гражданство;

- адрес регистрации;

- адрес проживания;

- данные документа, удостоверяющего личность;

- банковские реквизиты;

- номер счета;

- ИНН;

- СНИЛС;

- реквизиты договора гражданско-правового характера;

- сведения о вознаграждении.

4.2.6. Близкие родственники лица, замещающего муниципальную должность:

- фамилия, имя, отчество;

- дата рождения;

- адрес регистрации;

- пол;

- данные документа, удостоверяющего личность;

- место работы (учебы);

- должность;

- сведения о доходах, расходах, об имуществе и обязательствах имущественного характера.

4.2.7. Граждане, персональные данные которых необходимы для рассмотрения обращений граждан:

- фамилия, имя, отчество;

- дата рождения;

- место рождения;

- адрес проживания;

- контактные телефоны;

- адрес электронной почты;

- причина обращения;

- суть обращения;

- дата обращения;

- ответ на обращение;

- иные сведения, содержащиеся в обращении.

4.2.8. Граждане, представленные к награждению:

- фамилия, имя, отчество;

- дата рождения;

- место рождения;

- пол;

- данные документа, удостоверяющего личность;

- место работы;

- должность;

- сведения об образовании;

- сведения о судимости;

- сведения, касающиеся национальной принадлежности;

- данные военного билета;

сведения о наградах (поощрениях);

характеристика.

4.2.9. Граждане, состоящие в комиссии по награждению:

- фамилия, имя, отчество;

- дата рождения;

- место работы;

- должность;

- сведения о наградах (поощрениях);

- характеристика;

- семейное положение;

- сведения о детях;

- сведения о трудовой деятельности;

- социальный статус;

- членство в партии.

4.2.10. Граждане, персональные данные которых необходимы для выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей:

- фамилия, имя, отчество;

- дата рождения;

- данные документа, удостоверяющего личность;

- должность;

- место работы;

- контактные телефоны;

- стаж работы;

- сведения о наградах (поощрениях);

- другие, предусмотренные законодательством Российской Федерации персональные данные.

5. Порядок и условия обработки персональных данных

5.1. Обработка персональных данных осуществляется Администрацией в соответствии со следующими принципами:

1) обработка персональных данных осуществляется на законной и справедливой основе;

2) обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;

3) не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

4) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

5) обработке подлежат только персональные данные, которые отвечают целям их обработки;

6) содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки; обрабатываемые персональные данные не избыточны по отношению к заявленным целям их обработки;

7) при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных; Администрация принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;

8) хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5.2. Условия обработки персональных данных, отличные от получения согласия субъекта персональных данных на обработку его персональных данных, являются альтернативными.

5.3. Обработка специальных категорий персональных данных осуществляется Администрацией с соблюдением следующих условий:

1) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;

2) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных (приложения N 1, 2, 6, 7, 8, 9 Политики).

5.4. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Администрацией для установления личности субъекта персональных данных, Администрацией не обрабатываются.

5.5. Обработка иных категорий персональных данных осуществляется Администрацией с соблюдением следующих условий:

1) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Администрацию функций, полномочий и обязанностей;

2) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

3) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

5.6. Администрация вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение).

5.7. Лицо, осуществляющее обработку персональных данных по поручению Администрации, соблюдает принципы и правила обработки персональных данных, предусмотренные настоящей Политикой. В поручении Администрации определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, способы и цели обработки, установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных.

5.8. При поручении обработки персональных данных другому лицу ответственность перед субъектом персональных данных за действия указанного лица несет Администрация. Лицо, осуществляющее обработку персональных данных по поручению Администрации, несет ответственность перед Администрацией.

5.9. Администрация вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

5.10. Сотрудники Администрации, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

5.11. Администрация не создает общедоступные источники персональных данных.

5.12. При необходимости обеспечения условий обработки персональных данных субъекта может предоставляться согласие субъекта персональных данных на обработку его персональных данных.

5.13. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Администрацией.

5.14. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Администрация вправе продолжить обработку персональных данных без согласия субъекта персональных данных при выполнении альтернативных условий обработки персональных данных.

5.15. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство выполнения альтернативных условий обработки персональных данных возлагается на Администрацию.

5.16. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес Оператора;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество (последнее - при наличии) и адрес лица, осуществляющего обработку персональных данных по поручению Администрации, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Администрацией способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

5.17. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.

5.18. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

5.19. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

5.20. Персональные данные могут быть получены Администрацией от лица, не являющегося субъектом персональных данных, при условии предоставления Администрации подтверждения наличия альтернативных условий обработки информации.

5.21. Трансграничная передача персональных данных Администрацией не осуществляется.

5.22. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

5.23. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.

5.24. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

5.25. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.

5.26. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

5.27. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).

5.28. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных используется отдельный материальный носитель.

5.29. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники Администрации или лица, осуществляющие такую обработку по договору с Администрацией), проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Администрацией без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Администрации.

5.30. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), соблюдаются следующие условия:

1) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) содержат сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес Оператора, фамилию, имя, отчество (последнее - при наличии) и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Администрацией способов обработки персональных данных;

2) типовая форма предусматривает поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;

3) типовая форма составляется таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

4) типовая форма исключает объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

5.31. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Администрация, или в иных аналогичных целях, соблюдаются следующие условия:

1) необходимость ведения такого журнала (реестра, книги) предусмотрена актом Администрации, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится Администрация , без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;

2) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;

3) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится Администрация.

5.32. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, принимаются меры по обеспечению раздельной обработки персональных данных, в частности:

1) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

2) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию (приложение №N4 Политики).

5.33. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). Указанные в пунктах 5.32 и 5.33 раздела 5 правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.

5.34. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

5.35. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

5.36. Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

5.37. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются распоряжением Администрации.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

6.1. Субъект персональных данных имеет право на получение информации (далее - запрашиваемая субъектом информация), касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных Администрацией;

2) правовые основания и цели обработки персональных данных;

3) наименование и место нахождения Администрации, сведения о лицах (за исключением сотрудников Администрации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Администрацией или на основании федерального закона;

4) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

5) сроки обработки персональных данных, в том числе сроки их хранения;

6) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";

7) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

8) наименование или фамилию, имя, отчество (последнее - при наличии) и адрес лица, осуществляющего обработку персональных данных по поручению Администрации, если обработка поручена или будет поручена такому лицу;

9) иные сведения, предусмотренные Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" или другими федеральными законами.

6.2. Субъект персональных данных имеет право на получение запрашиваемой субъектом информации, за исключением следующих случаев:

1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

6.3. Субъект персональных данных вправе требовать от Администрации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.4. Запрашиваемая субъектом информация должна быть предоставлена субъекту персональных данных Администрацией в доступной форме, и в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

6.5. Запрашиваемая информация предоставляется субъекту персональных данных или его представителю Администрацией при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Администрацией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Администрацией, подпись субъекта персональных данных или его представителя (далее - необходимая для запроса информация). Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

6.6. В случае если запрашиваемая субъектом информация, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Администрацию или направить повторный запрос в целях получения запрашиваемой субъектом информации и ознакомления с такими персональными данными не ранее чем через десять рабочих дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

6.7. Субъект персональных данных вправе обратиться повторно в Администрацию или направить повторный запрос в целях получения запрашиваемой субъектом информации, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока запроса, указанного в пункте 6.6. раздела 6 Политики, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с необходимой для запроса информацией должен содержать обоснование направления повторного запроса.

6.8. Администрация вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Администрации.

6.9. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации Администрацией не осуществляется.

6.10. Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, Администрацией не осуществляется.

6.11. Если субъект персональных данных считает, что Администрация осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 №N152-ФЗ "О персональных данных" или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Администрации в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

6.12. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

6.13. При сборе персональных данных Администрация предоставляет субъекту персональных данных по его просьбе запрашиваемую информацию, касающуюся обработки его персональных данных в соответствии с частью 7 статьи 14 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

6.14. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Администрация, за исключением случаев, предусмотренных пунктом 6.16 раздела 6 Политики, разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

6.15. Если персональные данные получены не от субъекта персональных данных, Администрация до начала обработки таких персональных данных предоставляет субъекту персональных данных следующую информацию (далее - информация, сообщаемая при получении персональных данных не от субъекта персональных данных):

1) наименование либо фамилия, имя, отчество (последнее - при наличии) и адрес Оператора или представителя Оператора;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" права субъекта персональных данных;

5) источник получения персональных данных.

6.16. Администрация не предоставляет субъекту информацию, сообщаемую при получении персональных данных не от субъекта персональных данных, в случаях, если:

1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных Администрацией;

2) персональные данные получены Администрацией на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;

3) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона N 152-ФЗ "О персональных данных";

4) Администрация осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

5) предоставление субъекту персональных данных информации, сообщаемой при получении персональных данных не от субъекта персональных данных, нарушает права и законные интересы третьих лиц.

6.17. Местонахождение центра(ов) обработки данных и сведения об организации, ответственной за хранение данных, определены локальными актами Администрации.

6.18. Администрация принимает меры, необходимые и достаточные для обеспечения выполнения своих обязанностей. Администрация самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, если иное не предусмотрено федеральными законами. К таким мерам, в частности, относятся:

1) назначение ответственного за организацию обработки персональных данных;

2) издание Политики, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям к защите персональных данных, Политике, локальным актам Администрации;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", соотношение указанного вреда и принимаемых Администрацией мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных";

6) ознакомление сотрудников Администрации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, Политикой, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников.

6.19. Администрация при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

6.20. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

6.21. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

6.22. Администрация сообщает в установленном порядке субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставляет возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

6.23. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Администрация дает в письменной форме мотивированный ответ в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.

6.24. Администрация предоставляет безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Администрация вносит в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Администрация уничтожает такие персональные данные. Администрация уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

6.25. Администрация сообщает в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

6.26. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Администрация осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Администрации) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Администрация осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Администрации) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

6.27. В случае подтверждения факта неточности персональных данных Администрация на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Администрации) в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

6.28. В случае выявления неправомерной обработки персональных данных, осуществляемой Администрацией или лицом, действующим по поручению Администрации, Администрация в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных или обеспечивает прекращение неправомерной обработки персональных данных лицом, действующим по поручению Администрации. В случае если обеспечить правомерность обработки персональных данных невозможно, Администрация в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Администрация уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

6.29. В случае достижения цели обработки персональных данных Администрация прекращает обработку персональных данных или обеспечивает ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Администрации) и уничтожает персональные данные (приложение №N3 Политики) или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Администрации) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Администрацией и субъектом персональных данных либо если Администрация не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «" персональных данных" или другими федеральными законами.

6.30. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных (приложения N 10, 11 Политики) Администрация прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Администрации) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные (приложение N 5 Политики) или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Администрации) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Администрацией и субъектом персональных данных либо если Администрация не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" или другими федеральными законами.

6.31. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока, Администрация блокирует такие персональные данные или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Администрации) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

6.32. Администрация, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", до начала обработки персональных данных уведомляет уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

6.33. Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление содержит следующие сведения:

1) наименование (фамилия, имя, отчество), адрес Оператора;

2) цель обработки персональных данных;

3) описание мер, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

4) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

5) дата начала обработки персональных данных;

6) срок или условие прекращения обработки персональных данных;

7) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

8) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;

9) фамилия, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах;

10) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

6.34. В случае изменения указанных сведений, а также в случае прекращения обработки персональных данных Администрация уведомляет об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

7. Сферы ответственности

7.1. Администрация назначает лицо, ответственное за организацию обработки персональных данных из числа муниципальных служащих.

7.2. Администрация предоставляет лицу, ответственному за организацию обработки персональных данных, необходимые сведения.

7.3. Лицо, ответственное за организацию обработки персональных данных, в частности, выполняет следующие функции:

1) осуществляет внутренний контроль за соблюдением Администрацией и сотрудниками Администрации законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

2) доводит до сведения сотрудников Администрации положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

3) организовывает прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов.

7.4. Лица, виновные в нарушении требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", несут предусмотренную законодательством Российской Федерации ответственность.

7.5. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", а также требований к защите персональных данных, установленных в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

8. Ключевые результаты

При достижении целей ожидаются следующие результаты:

1) обеспечение защиты прав и свобод субъекта персональных данных при обработке его персональных данных Администрацией;

2) повышение общего уровня информационной безопасности Администрации;

3) минимизация юридических рисков Администрации.

Приложение N 1
к Политике в отношении обработки персональных данных в Администрации Петрозаводского городского округа
Главе Петрозаводского городского округа

Я, , проживающий(-ая) по адресу , паспорт серия ________, номер , выдан _____ "___" ______ года, в соответствии с Федеральным законом Российской Федерации от 27 июля 2006 года N 152-ФЗ "О персональных данных", даю согласие Администрации Петрозаводского городского округа (далее - Администрация), расположенной по адресу: Республика Карелия, г. Петрозаводск, пр-кт Ленина, д. 2, на обработку моих персональных данных, а именно:

а также специальные категории персональных данных:

В целях:

Перечень допустимых действий, осуществляемых Администрацией с персональными данными:

а также передача следующих персональных данных:

для обработки в целях:

следующим лицам:

Администрация может осуществлять:

Согласие вступает в силу со дня его подписания и действует в течение . Действие настоящего согласия прекращается досрочно в случае, принятия Администрацией решения о прекращении обработки персональных данных и (или) уничтожения документов, содержащих персональные данные.
Согласие может быть отозвано мною в любое время на основании моего письменного заявления.

"___" 20___ г.
((подпись)) ( (И.О. Фамилия))

Приложение N 2
к Политике в отношении обработки персональных данных в Администрации Петрозаводского городского округа
Главе Петрозаводского городского округа

Я, , проживающий(-ая) по адресу , паспорт серия ________, номер , выдан _____ "___" ______ года, в соответствии с Федеральным законом Российской Федерации от 27 июля 2006 года N 152-ФЗ "О персональных данных", даю согласие Администрации Петрозаводского городского округа (далее - Администрация), расположенной по адресу: Республика Карелия, г. Петрозаводск, пр-кт Ленина, д. 2, на получение моих персональных данных у третьей стороны, а именно:

Следующие персональные данные:

а также специальные категории персональных данных:

В целях:

Перечень допустимых действий, осуществляемых Администрацией с персональными данными:

Администрация может осуществлять:

Согласие вступает в силу со дня его подписания и действует в течение . Действие настоящего согласия прекращается досрочно в случае, принятия Администрацией решения о прекращении обработки персональных данных и (или) уничтожения документов, содержащих персональные данные.
Согласие может быть отозвано мною в любое время на основании моего письменного заявления.

"___" 20___ г.
((подпись)) ( (И.О. Фамилия))

Приложение N 3
к Политике в отношении обработки персональных данных в Администрации Петрозаводского городского округа
Главе Петрозаводского городского округа

Состав комиссии:

Комиссия произвела отбор к уничтожению следующих материальных носителей (документов), содержащих персональные данные субъекта персональных данных:

Причина уничтожения:

наименований документов.
Дата уничтожения:
Документы уничтожены с помощью

Приложение N 4
к Политике в отношении обработки персональных данных в Администрации Петрозаводского городского округа
Главе Петрозаводского городского округа

Состав комиссии:

Комиссия произвела отбор к уничтожению следующих полей баз данных, содержащих персональные данные субъекта персональных данных:

Причина уничтожения:

наименований полей баз данных.
Дата уничтожения:
Поля баз данных уничтожены с помощью

Приложение N 5
к Политике в отношении обработки персональных данных в Администрации Петрозаводского городского округа
Главе Петрозаводского городского округа

Обработка Ваших персональных данных прекращена.
Ваши персональные данные, которые обрабатывались в Администрации Петрозаводского городского округа, были уничтожены.

Приложение: копия акта об уничтожении на ____ листе(-ах).

Приложение N 6
к Политике в отношении обработки персональных данных в Администрации Петрозаводского городского округа
Главе Петрозаводского городского округа

Я, , проживающий(-ая) по адресу , паспорт серия ________, номер , выдан _____ "___" ______ года, в соответствии с Федеральным законом Российской Федерации от 27 июля 2006 года N 152-ФЗ "О персональных данных", даю согласие Администрации Петрозаводского городского округа (далее - Администрация), расположенной по адресу: Республика Карелия, г. Петрозаводск, пр-кт Ленина, д. 2, на обработку моих персональных данных, а именно:

а также специальные категории персональных данных:

Для обработки в целях

Следующим лицам

Перечень действий (операций) по обработке персональных данных, которые будут совершаться лицом, осуществляющим обработку персональных данных, в рамках согласия (поручения, договора):

Третья сторона может осуществлять:

Согласие вступает в силу со дня его подписания и действует в течение . Действие настоящего согласия прекращается досрочно в случае, принятия третьей стороной решения о прекращении обработки персональных данных и (или) уничтожения документов, содержащих персональные данные.
Согласие может быть отозвано мною в любое время на основании моего письменного заявления.

"___" 20___ г.
((подпись)) ( (И.О. Фамилия))

Приложение N 7
к Политике в отношении обработки персональных данных в Администрации Петрозаводского городского округа
Главе Петрозаводского городского округа

Я, , проживающий(-ая) по адресу:
____, контактный номер телефона: , адрес электронной почты: , в соответствии с Федеральным законом Российской Федерации от 27 июля 2006 года N 152-ФЗ "О персональных данных", даю согласие Администрации Петрозаводского городского округа (ИНН 1001040505), расположенной по адресу: Республика Карелия, г. Петрозаводск, пр-кт Ленина, д. 2, на обработку моих персональных данных, разрешенных для распространения, а именно:

и другие:

В целях

Перечень допустимых действий, осуществляемых с персональными данными, разрешенными для распространения:

Администрация Петрозаводского городского округа (далее - Администрация) может осуществлять обработку персональных данных, разрешенных для распространения:

Следующие мои персональные данные:

? не подлежат распространению
? подлежат распространению только при соблюдении следующих условий

Администрация осуществляет распространение персональных данных посредством ресурса/размещения на ресурсе http(s):// .
Согласие вступает в силу со дня его подписания и действует в течение . Действие настоящего согласия прекращается досрочно в случае принятия Администрацией решения о прекращении обработки персональных данных и/или уничтожения документов, содержащих персональные данные.
Согласие может быть отозвано мною в любое время на основании моего письменного заявления.

"___" 20___ г.
((подпись)) ( (И.О. Фамилия))

Приложение N 8
к Политике в отношении обработки персональных данных в Администрации Петрозаводского городского округа
Главе Петрозаводского городского округа

Я,

исполняющий(ая) должностные обязанности по занимаемой должности в Администрации Петрозаводского городского округа


(должность, наименование структурного подразделения)
предупрежден(а), что на период исполнения мною должностных обязанностей в соответствии с должностной инструкцией, мне будет предоставлен допуск к персональным данным.
Настоящим добровольно принимаю на себя обязательства:
1. Не разглашать третьим лицам персональные данные, которые мне доверены (будут доверены) или станут известными в связи с исполнением должностных обязанностей.
2. Не передавать и не раскрывать третьим лицам персональные данные, которые мне доверены (будут доверены) или станут известными в связи с исполнением должностных обязанностей.
3. В случае попытки третьих лиц получить от меня персональные данные, сообщать непосредственному руководителю или администратору безопасности.
4. Не использовать персональные данные с целью получения личной выгоды.
5. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты персональных данных.
6. В случае расторжения контракта прекратить обработку персональных данных.
Я предупрежден (а), что в случае нарушения данного обязательства буду привлечен (а) к дисциплинарной ответственности и/или иной ответственности (административной, уголовной) в соответствии с законодательством Российской Федерации.

"___" 20___ г.
((подпись)) ( (И.О. Фамилия))

Приложение N 9
к Политике в отношении обработки персональных данных в Администрации Петрозаводского городского округа
Главе Петрозаводского городского округа

Я, , проживающий(-ая) по адресу , паспорт серия ________, номер , выдан _____ "___" ______ года, в соответствии с Федеральным законом Российской Федерации от 27 июля 2006 года N 152-ФЗ "О персональных данных", даю согласие Администрации Петрозаводского городского округа (далее - Администрация), расположенной по адресу: Республика Карелия, г. Петрозаводск, пр-кт Ленина, д. 2, на обработку моих персональных данных, а именно:

а также специальные категории персональных данных:

В целях:

Перечень допустимых действий, осуществляемых Администрацией с персональными данными:

а также передача следующих персональных данных:

для обработки в целях:

следующим лицам:

Администрация может осуществлять:

Согласие вступает в силу со дня его подписания и действует в течение . Действие настоящего согласия прекращается досрочно в случае, принятия Администрацией решения о прекращении обработки персональных данных и (или) уничтожения документов, содержащих персональные данные.
Согласие может быть отозвано мною в любое время на основании моего письменного заявления.

"___" 20___ г.
((подпись)) ( (И.О. Фамилия))

Приложение N 10
к Политике в отношении обработки персональных данных в Администрации Петрозаводского городского округа
Главе Петрозаводского городского округа

Я, , проживающий(-ая) по адресу , паспорт серия ________, номер , выдан _____ "___" ______ года, в соответствии с Федеральным законом Российской Федерации от 27 июля 2006 года N 152-ФЗ "О персональных данных", прошу прекратить обработку моих персональных данных в связи с

(указать причину)

"___" 20___ г.
((подпись)) ( (И.О. Фамилия))

Приложение N 11
к Политике в отношении обработки персональных данных в Администрации Петрозаводского городского округа
Главе Петрозаводского городского округа

Я, , проживающий(-ая) по адресу , паспорт серия ________, номер , выдан _____ "___" ______ года, в соответствии с Федеральным законом Российской Федерации от 27 июля 2006 года N 152-ФЗ "О персональных данных", прошу прекратить обработку персональных данных моего/ей сына (дочери, подопечного)

(Ф.И.О. сына, дочери, подопечного)

в связи с

(указать причину)

"___" 20___ г.

Приложение N 12
к Политике в отношении обработки персональных данных в Администрации Петрозаводского городского округа
Главе Петрозаводского городского округа

Лист ознакомления с Политикой в отношении обработки персональных данных в Администрации Петрозаводского городского округа

Приложение N 2

УТВЕРЖДЕНЫ

постановлением Администрации
Петрозаводского городского округа
от 25.05.2023 N 2018

Правила работы с обезличенными персональными данными, в случае обезличивания персональных данных в Администрации Петрозаводского городского округа

1. Общие положения

1.1. Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

1.2. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных и по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.

1.3. Для обезличивания персональных данных применяются способы, не запрещенные законодательством Российской Федерации.

1.4. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.

1.5. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.

1.6. К свойствам обезличенных данных относятся:

1) полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);

2) структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);

3) релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);

4) семантическая целостность (сохранение семантики персональных данных при их обезличивании);

5) применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных);

6) анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).

2. Обезличивание персональных данных

2.1. Способы обезличивания при условии дальнейшей обработки персональных данных:

1) уменьшение перечня обрабатываемых сведений;

2) замена части сведений идентификаторами;

3) обобщение - понижение точности некоторых сведений;

4) понижение точности некоторых сведений (например, "Место жительства" может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);

5) деление сведений на части и обработка в разных информационных системах;

6) другие способы, установленные законодательством.

2.2. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.

2.3. К характеристикам (свойствам) методов обезличивания персональных данных (далее - методы обезличивания), определяющим возможность обеспечения заданных свойств обезличенных данных, относятся:

1) обратимость (возможность преобразования, обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность);

2) вариативность (возможность внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных);

3) изменяемость (возможность внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания);

4) стойкость (стойкость метода к атакам на идентификацию субъекта персональных данных);

5) возможность косвенного деобезличивания (возможность проведения деобезличивания с использованием информации других операторов);

6) совместимость (возможность интеграции персональных данных, обезличенных различными методами);

7) параметрический объем (объем дополнительной (служебной) информации, необходимой для реализации метода обезличивания и деобезличивания);

8) возможность оценки качества данных (возможность проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям).

2.4. Требования к методам обезличивания подразделяются на:

1) требования к свойствам обезличенных данных, получаемых при применении метода обезличивания;

2) требования к свойствам, которыми должен обладать метод обезличивания.

2.5. Методы обезличивания должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам), быть практически реализуемыми в различных программных средах и позволять решать поставленные задачи обработки персональных данных.

2.6. К наиболее перспективным и удобным для практического применения относятся следующие методы обезличивания:

1) метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);

2) метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);

3) метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);

4) метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных).

2.7. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:

1) парольной политики;

2) антивирусной политики;

3) правил работы со съемными носителями (если они используются);

4) правил резервного копирования;

5) правил доступа в помещения, где расположены элементы информационных систем.

2.8. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:

1) правил хранения бумажных носителей;

2) правил доступа к ним и в помещения, где они хранятся.

3. Организация работы по обезличиванию персональных данных

3.1. Перечень должностей муниципальных служащих, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, утверждается распоряжением Администрации Петрозаводского городского округа.

3.2. Решение о необходимости обезличивания персональных данных принимает ответственный за организацию обработки персональных данных Администрации Петрозаводского городского округа на основании предложений по обезличиванию персональных данных. Обоснование такой необходимости и способ обезличивания подготавливаются муниципальными служащими, непосредственно осуществляющими обработку персональных данных. Муниципальные служащие, обслуживающие базы данных с персональными данными, совместно с ответственным за организацию обработки персональных данных осуществляют непосредственное обезличивание выбранным способом.

Приложение N 3

УТВЕРЖДЕНЫ

постановлением Администрации
Петрозаводского городского округа
от 25.05.2023 N 2018

Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленные Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами в Администрации Петрозаводского городского округа

1. Общие положения

Настоящие правила разработаны в соответствии с положениями, а также требованиями по соблюдению мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", и определяют порядок организации и осуществления контроля выполнения соответствия обработки персональных данных (далее - ПДн) требованиям к защите ПДн в структурных подразделениях (отделах) Администрации Петрозаводского городского округа (далее - Администрация).

Правила обязательны для исполнения всеми должностными лицами Администрации, осуществляющими контроль состояния защиты ПДн.

Контроль выполнения соответствия обработки ПДн требованиям к защите ПДн в структурных подразделениях (отделах) Администрации осуществляется с целью определения наличия несоответствий между требуемым уровнем защиты ПДн и его фактическим состоянием, правильности обработки ПДн ответственными лицами в структурных подразделениях (отделах), а также выработать меры по их устранению и недопущению в дальнейшем.

Контроль осуществляет ответственный за организацию обработки ПДн (далее - Ответственный) в Администрации.

Контроль проводится в форме плановых и внеплановых проверок.


Контрольные проверки проводятся для установления полноты выполнения рекомендаций плановых проверок.
Основанием для проведения внеплановых проверок является поступившее в Администрацию письменное обращение субъекта ПДн (или его представителя) или контрольно-надзорного органа о нарушении правил обработки ПДн.

Проверки охватывают отдельные направления по защите ПДн и могут проводиться в случаях, когда стали известны факты несанкционированного доступа, утечки либо утраты ПДн субъектов ПДн Администрации или нарушения требований по обработке и защите ПДн.

Проверки осуществляются Ответственным Администрации либо комиссией, сформированной постановлением (распоряжением) Администрации.

Сроки проведения контрольных проверок доводятся руководителям проверяемых структурных подразделений (отделов) не позднее, чем за 24 часа до начала проверки.

Проверки могут проводиться без уведомления руководителей проверяемых структурных подразделений (отделов).

Периодичность и сроки проведения плановых проверок структурных подразделений (отделов) Администрации устанавливаются планом, утверждаемый Главой Петрозаводского городского округа. Рекомендованная форма плана проведения плановых проверок состояния защиты ПДн приведена в приложении к данному документу (Приложение N1). Сроки проведения плановых проверок доводятся руководителям проверяемых структурных подразделений (отделов) не позднее, чем за 10 суток до начала проверки.

2. Порядок подготовки к проверке

Проверка проводится на основании приказа аппарата Администрации и плана проведения плановых проверок, утвержденного Главой Петрозаводского городского округа. Проверка может проводиться ответственным Администрации или комиссионно. Ответственный Администрации подготавливает предложения по составу комиссии. Проект приказа о проверке и составе комиссии подготавливает Ответственный Администрации.

Проверяющие лица (комиссия, при ее наличии) и Ответственный Администрации обязаны получить у руководителей проверяемых структурных подразделений (отделов) информацию об условиях обработки ПДн, необходимую для достижения целей проверки.

3. Порядок проведения проверки

По прибытию в структурное подразделение (отдел) для проведения проверки председатель комиссии или Ответственный Администрации прибывает к руководителю проверяемого структурного подразделения (отдела) Администрации, представляется ему и представляет других прибывших на проверку лиц (при наличии).

Руководитель проверяемого структурного подразделения (отдела) обязан оказывать содействие Ответственному Администрации и комиссии по проверке и в случае необходимости, определяет должностное лицо, ответственное за сопровождение проверки.

На период проведения контрольных мероприятий обработку ПДн необходимо по возможности прекратить. Допуск проверяющих лиц к конкретным информационным ресурсам, защищаемым сведениям и техническим средствам должен исключать ознакомление проверяющих лиц с конкретными ПДн.

Общий порядок проведения проверки включает следующее:

1) получение документов о распределении обязанностей по обработке и защите ПДн, выявление ответственных за обработку и защиту ПДн и установление факта ознакомления служащими проверяемого структурного подразделения (отдела) с организационными документами по обработке ПДн и защите информации;

2) получение при содействии служащих проверяемого структурного подразделения (отдела) документов, касающихся обработки и защиты ПДн в данном структурном подразделении (отделе);

3) анализ полученной документации;

4) непосредственная проверка выполнения установленного порядка обработки и защиты ПДн и требований законодательства Российской Федерации в области защиты ПДн.

При этом согласовываются конкретные вопросы по объему, содержанию, срокам проведения проверки, а также каких должностных лиц структурного подразделения (отдела) необходимо привлечь к проверке и какие объекты следует посетить.

В ходе осуществления контроля выполнения требований по обработке и защите ПДн в проверяемом структурном подразделении (отделе) Администрации рассматриваются, в частности, следующие показатели:

5) в части общей организации работы по обработке ПДн:

а) соответствие информации, указанной в уведомлении об обработке ПДн Администрации, реальному положению дел;

б) соответствие обрабатываемой и собираемой информации (ПДн), их полнота, в соответствии с нормативными правовыми актами и локальными актами;

в) наличие нормативных документов по защите ПДн;

г) знание нормативных документов служащими, имеющими доступ к ПДн;

д) полнота и правильность выполнения требований нормативных документов служащими Администрации, имеющими доступ к ПДн;

е) наличие документов, определяющих состав служащих, ответственных за обработку ПДн в структурном подразделении (отделе), соответствие этих документов реальному штатному составу структурного подразделения (отдела), а также подтверждение факта ознакомления ответственных служащих с данными документами;

ж) уровень подготовки служащих, ответственных за обработку ПДн в структурном подразделении (отделе);

з) наличие необходимых, в соответствии с требованиями Федерального закона Российской Федерации от 27 июля 2006 года N 152-ФЗ "О персональных данных" согласий на обработку ПДн субъектов ПДн. Соответствие объема обрабатываемых ПДн и сроков их обработки к указанным целям обработки ПДн.

6) в части защиты информационных систем с защищаемой информацией:

а) соответствие средств вычислительной техники, средств защиты информации и программного обеспечения в информационных системах показателям, указанным в документации на конкретную информационную систему (технический паспорт);

б) структура и состав локальных вычислительных сетей, организация разграничения доступа пользователей к сетевым информационным ресурсам, порядок защиты охраняемых сведений при передаче (обмене) защищаемой информации в сети передачи данных;

в) соблюдение установленного порядка использования средств вычислительной техники информационной системы;

г) наличие и эффективность применения средств и методов защиты информации, обрабатываемых на средствах вычислительной техники информационной системы;

д) соблюдение требований, предъявляемых к паролям на информационные ресурсы, средствам вычислительной техники, в том числе и BIOS;

е) соблюдение требований и правил антивирусной защиты средств вычислительной техники;

ж) контроль журналов учета машинных носителей защищаемой информации. Сверка основного журнала с дублирующим (если требуется ведение дублирующего учета носителей);

з) тестирование реализации правил фильтрации межсетевого экрана, процесса регистрации, процесса идентификации и аутентификации запросов, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления настроек межсетевого экрана.

7) в части защиты информационных ресурсов и помещений:

а) правильность отнесения обрабатываемой информации к защищаемой информации;

б) правильность установления уровня защищенности ПДн в информационных системах ПДн и (или) правильности установления класса защищенности в государственных (муниципальных) информационных системах, при обработке в них ПДн;

в) закрепление гражданско-правовой ответственности в сфере информационной безопасности и соблюдения режима конфиденциальности в правилах внутреннего трудового распорядка, положениях о структурных подразделениях (отделов) Администрации, должностных регламентах и служебных контрактах (контрактах) служащих;

г) порядок передачи защищаемой информации органам государственной власти, местного самоуправления и сторонним организациям (контрагентам);

д) действенность принимаемых мер по защите охраняемых сведений в ходе подготовки материалов к открытому опубликованию и при изготовлении рекламной продукции;

е) состояние конфиденциального делопроизводства, соблюдение установленного порядка подготовки, учета, использования, хранения и уничтожения документов, содержащих ПДн;

ж) выполнение требований по правильному оборудованию защищаемых помещений и предотвращению утечки охраняемых сведений при проведении мероприятий конфиденциального характера;

з) соответствие защищаемых помещений их техническим паспортам.

Во время проведения проверки, выявленные нарушения требований по обработке и защите ПДн должны быть по возможности устранены. Проверяющие лица могут давать рекомендации по устранению на месте отмечаемых нарушений и недостатков.

Недостатки, которые не могут быть устранены на месте, включаются в итоговый документ по результатам проверки.

4. Оформление результатов проверки

Результаты проверки оформляются:

1) актом - при проведении проверки комиссией (при наличии);

2) служебной запиской - при проведении проверки Ответственным Администрации.

Акт или служебная записка составляется в двух экземплярах и подписывается служащими, выполнявших проверку.

Один экземпляр хранится у Ответственного Администрации, второй экземпляр хранится в аппарате Администрации в установленном порядке. Копия документа о проверке остается у руководителя (начальника) проверяемого структурного подразделения (отдела).

Результаты проверок структурных подразделений (отделов) периодически обобщаются Ответственным Администрации и доводятся до руководителей структурных подразделений (отделов). При необходимости принятия решений по результатам проверок структурных подразделений (отделов) на имя главы Петрозаводского городского округа готовятся соответствующие служебные записки.

Приложение N 1
к Правилам осуществления внутреннего контроля
соответствия обработки персональных данных требованиям
к защите персональных данных в Администрации Петрозаводского городского округа

УТВЕРЖАЮ
Глава Петрозаводского городского округа

"__" ________ 202_ года

Приложение N 4

УТВЕРЖДЕНЫ

постановлением Администрации
Петрозаводского городского округа
от 25.05.2023 N 2018

Инструкция пользователя, допущенного к обработке персональных данных в информационных системах Администрации Петрозаводского городского округа

1. Общие положения

Настоящий документ разработан на основе приказа Федеральной службы по техническому и экспортному контролю России от 18 февраля 2013 года N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

Настоящий документ определяет основные обязанности, права и ответственность пользователей, допущенных к обработке персональных данных в информационных системах (далее - ИС) Администрации Петрозаводского городского округа (далее - Администрация).

Допуск пользователей к обработке персональных данных (далее - ПДн) в ИС осуществляется на основании распоряжения Администрации Петрозаводского городского округа. Функционально пользователи ИС подчиняются своему непосредственному руководителю структурного подразделения (отдела) и по направлению обеспечения безопасности персональных данных ответственным за обеспечение безопасности и за организацию обработки ПДн Администрации.

Пользователь ИС руководствуется положениями федеральных законов и нормативных актов органов государственной власти, ведомственных организационно-распорядительных актов, нормативных актов Администрации, настоящей Инструкцией, а также другими распорядительными документами, в части его касающейся.

Внесение изменений в настоящую Инструкцию осуществляется на периодической и внеплановой основе. Внеплановое внесение изменений в настоящую Инструкцию может производиться в случае изменения действующего законодательства и иных нормативных актов в области обработки и обеспечения безопасности ПДн. Плановое внесение изменений должно осуществляться не реже одного раза в три года.

Контроль за выполнением требований настоящей Инструкции осуществляет ответственный за обеспечение безопасности ПДн в ИС (далее - Администратор ИБ).

2. Обязанности пользователя

При выполнении работ в ИС пользователь обязан:

1) строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами ИС, правила работы и порядок регистрации в ИС, доступа к информационным ресурсам ИС;

2) знать и строго выполнять правила работы со средствами защиты информации, установленными на его автоматизированном рабочем месте (далее - АРМ);

3) хранить в тайне свои идентификационные данные (логин, пароль и т.д.);

4) выполнять требования, предъявляемые к парольной системе (нормативы на длину, состав, периодичность смены пароля и т. д.), осуществлять вход на АРМ только под своими идентификационными данными;

5) передавать для хранения установленным порядком свое индивидуальное устройство идентификации, другие реквизиты разграничения доступа, только руководителю своего структурного подразделения (отдела) или Администратору ИБ;

6) выполнять требования "Инструкции по организации антивирусной защиты" в части, касающейся действий пользователей ИС;

7) немедленно вызывать Администратора ИБ и ставить в известность своего руководителя структурного подразделения (отдела) в случае утери персонального ключевого носителя, индивидуального устройства идентификации или при подозрении о компрометации, личных ключей и паролей, а также при обнаружении нарушений целостности пломб (наклеек, нарушении или несоответствии номеров печатей) на аппаратных средствах АРМ или иных фактов совершения в его отсутствие попыток несанкционированного доступа (далее - НСД) к защищенной АРМ, несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств АРМ, некорректного функционирования установленных на АРМ технических средств защиты, непредусмотренных отводов кабелей и подключенных устройств;

8) присутствовать при работах по внесению изменений в аппаратно-программную конфигурацию закрепленного за ним АРМ, ставить в известность Администратора ИБ при необходимости внесения изменения в состав аппаратных и программных средств АРМ;

9) работать в ИС только в установленный период времени;

10) немедленно выполнять предписания Администратора ИБ и Администратора ИС, предоставлять им свой АРМ к анализу и работы с ним по их требованию;

11) ставить в известность Администратора ИС в случае появления сведений или подозрений о фактах несанкционированного доступа к информации, своей или чужой, а также отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию АРМ, выхода из строя или неустойчивого функционирования узлов АРМ или периферийных устройств (дисководов, принтера и т. п.), а также перебоев в системе электроснабжения;

12) осуществлять в установленном порядке уничтожение информации, содержащей сведения конфиденциального характера с машинных носителей информации и из оперативной памяти АРМ;

13) уважать права других пользователей ИС на конфиденциальность и право пользования общими ресурсами;

14) сообщать своему непосредственному руководителю структурного подразделения (отдела) обо всех проблемах, связанных с эксплуатацией ИС и АРМ.

Пользователю категорически запрещается:

1) использовать компоненты программного и аппаратного обеспечения АРМ, в том числе и ИС в неслужебных целях;

2) самовольно вносить какие-либо изменения в состав, размещение, конфигурацию аппаратно-программных средств ИС (в том числе АРМ) или устанавливать дополнительно любые программные и аппаратные средства, не предусмотренные формуляром на АРМ и (или) паспортом (техническим паспортом) на ИС;

3) осуществлять обработку информации, содержащей сведения конфиденциального характера, в присутствии посторонних (не допущенных к данной информации) лиц;

4) записывать и хранить конфиденциальную информацию на неучтенных носителях информации, в том числе для временного хранения;

5) оставлять включенное без присмотра АРМ, не активизировав временную блокировку экрана и клавиатуры (средствами защиты от НСД или операционных систем);

6) передавать кому-либо свое индивидуальное устройство идентификации (персональную ключевую дискету) в нарушение установленного порядка, делать неучтенные копии ключевого носителя, и вносить какие-либо изменения в файлы ключевого устройства идентификации;

7) оставлять без личного присмотра на рабочем месте или где бы то ни было свой персональный ключевой носитель, персональное устройство идентификации, машинные носители и распечатки, содержащие защищаемую информацию (сведения конфиденциального характера);

8) умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках ИС (в том числе средств защиты), которые могут привести к возникновению кризисной ситуации. Об обнаружении такого рода ошибок - ставить в известность Администратора ИБ, Администратора ИС и руководителя своего структурного подразделения (отдела);

9) подбирать и отгадывать чужие пароли, а также собирать информацию о других пользователях ИС;

10) осуществлять попытки НСД к ресурсам системы и других пользователей ИС, проводить рассылку ложных, беспокоящих или угрожающих сообщений (писем);

11) фиксировать свои учетные данные (пароли, логины, идентификаторы, ключи) на материальных носителях;

12) разглашать ставшую известной в ходе выполнения своих обязанностей информацию, содержащую сведения конфиденциального характера;

13) вносить изменения в файлы, принадлежащие другим пользователям ИС.

3. Права пользователя

Пользователь ИС имеет право:

1) присутствовать при работах по внесению изменений в аппаратно-программную конфигурацию закрепленного за ним АРМ;

2) участвовать в служебных расследованиях по фактам нарушения установленных требований обеспечения информационной безопасности, НСД, утраты, порчи защищаемой информации и технических компонентов ИС, если данное нарушение произошло под его идентификационными данными;

3) своевременно получать доступ к информационным ресурсам ИС, необходимым ему для выполнения своих должностных (функциональных) обязанностей;

4) требовать от Администратора ИБ и Администратора ИС смены идентификационных данных в случае появления сведений или подозрений на то, что эти данные стали известны третьим лицам.

4. Правила работы в сетях общего доступа

Работа в сетях общего доступа и (или) международного обмена (сети Интернет) (далее - Сеть) на элементах ИС, должна производиться при служебной необходимости.

При работе в Сети запрещается:

1) осуществлять работу при отключенных средствах защиты (антивирусной защиты, средств от несанкционированного доступа и т. д.);

2) передавать по Сети защищаемую информацию без использования средств защиты каналов связи;

3) запрещается загружать из Сети программное обеспечение;

4) запрещается посещение сайтов сомнительной репутации (аморального содержания, содержащие нелегально распространяемое программное обеспечение или иной контент);

5) запрещается нецелевое использование подключения к Сети.

5. Ответственность

Пользователь ИС несет персональную ответственность за:

1) ненадлежащее исполнение своих должностных (функциональных) обязанностей, а также сохранность комплекта АРМ, съемных носителей информации, индивидуального средства идентификации и целостность установленного программного обеспечения;

2) разглашение сведений, отнесенных к сведениям конфиденциального характера, и сведений ограниченного распространения, ставших известными ему по роду работы.

Ответственность за нарушение функционирования ИС, уничтожение, блокирование, копирование, фальсификацию информации несет пользователь ИС, под чьими идентификационными данными было совершено нарушение. Мера ответственности устанавливается по итогам служебного расследования.

Пользователи ИС, виновные в нарушениях, несут уголовную, административную, гражданско-правовую или дисциплинарную ответственность в соответствии с действующим законодательством Российской Федерации и организационно-распорядительными документами Администрации.

Приложение N 5

УТВЕРЖДЕНО

постановлением Администрации
Петрозаводского городского округа
от 25.05.2023 N 2018

Типовое обязательство служащего Администрации Петрозаводского городского округа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему, в связи с исполнением должностных обязанностей

Я, , проживающий(-ая) по адресу
, паспорт
cерия _________, номер , выдан
"___" _________ _____ года,
работая в должности
в Администрации Петрозаводского городского округа (далее - Администрация), в период настоящих трудовых отношений и после их окончания, в соответствии с Федеральным законом Российской Федерации от 27 июля 2006 года N 152-ФЗ "О персональных данных", обязуюсь:
1) не раскрывать третьим лицам и не распространять персональные данные субъектов персональных данных Администрации, полученные при исполнении мной должностных обязанностей;
2) при работе с персональными данными соблюдать требования, описанные в "Политике в отношении обработки персональных данных в Администрации Петрозаводского городского округа";
3) выполнять относящиеся ко мне требования локальных нормативных актов, касающихся обработки персональных данных;
4) в случае попытки посторонних лиц получить от меня персональные данные субъектов персональных данных Администрации, сведения о порядке обработки и защиты персональных данных, немедленно уведомить об этом ответственного за организацию обработки персональных данных Администрации и (или) руководителя своего структурного подразделения (отдела);
5) в случае расторжения со мною служебного контракта (контракта) или трудового договора, прекратить обработку персональных данных, ставших известными мне в связи с исполнением должностных обязанностей, и передать все носители персональных данных субъектов персональных данных Администрации (документы, накопители данных в электронном виде, кино и фотонегативы и позитивы, и пр.) ответственному за организацию обработки персональных данных Администрации.
Я понимаю, что разглашение персональных данных субъектов персональных данных Администрации, может нанести ущерб субъектам персональных данных.
Я предупрежден(-а) о том, что, в случае разглашения или утраты мною сведений, относящихся к персональным данным субъектов персональных данных Администрации, я несу ответственность в соответствии со статьей 90 Трудового Кодекса Российской Федерации и могу быть привлечен(-a) к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в соответствие с действующим законодательством Российской Федерации.
Настоящим подтверждаю, что с "Политикой в отношении обработки персональных данных в Администрации Петрозаводского городского округа" ознакомлен(-а).

"___" 20___ г. _
((подпись)) ( (И.О. Фамилия))

Приложение N 6

УТВЕРЖДЕН

постановлением Администрации
Петрозаводского городского округа
от 25.05.2023 N 2018

Порядок доступа служащих Администрации Петрозаводского городского округа в помещения, в которых ведется обработка персональных данных

1. Общие положения

Настоящий порядок разработан в целях обеспечения безопасности персональных данных (далее - ПДн), средств вычислительной техники информационных систем, обрабатывающие ПДн, материальных носителей ПДн, а также обеспечения внутриобъектового режима.

Документ устанавливает правила доступа в помещения в рабочее и нерабочее время, а также в нештатных ситуациях.

Объектами охраны Администрации Петрозаводского городского округа (далее - Администрация) являются:

1) помещения, в которых происходит обработка ПДн как с использованием средств автоматизации, так и без таковых, в том числе серверные помещения;

2) помещения, в которых хранятся материальные носители ПДн и резервные копии ПДн;

3) помещения, в которых установлены средства криптографической защиты информации (далее - СКЗИ), предназначенные для шифрования ПДн, в том числе носители ключевой информации (далее - спецпомещения).

Бесконтрольный доступ посторонних лиц в указанные помещения исключен.

Посторонними лицами считаются лица, не допущенные к обработке ПДн.

К спецпомещениям, предъявляются дополнительные требования по безопасности, указанные в разделе 4 Порядка.

Ответственность за соблюдение положений настоящего порядка несут служащие структурных подразделений (отделов) Администрации, допущенные в помещения, являющиеся объектами охраны, а также их непосредственные руководители.

Контроль соблюдения требований, описанные в данном документе, обеспечивает должностное лицо, назначенное ответственным за организацию обработки ПДн в Администрации.

Ограждающие конструкции объектов охраны должны предполагать существенные трудности для нарушителя по их преодолению (например, металлические решетки на окнах, металлическая дверь, система контроля и управления доступа и так далее).

2. Правила доступа в помещения, в которых ведется обработка персональных данных

Доступ посторонних лиц в помещения, в которых ведется обработка ПДн, а также хранятся материальные носители ПДн и (или) их резервные копии, должен осуществляться только ввиду служебной необходимости и под контролем сопровождающего лица, из числа служащих Администрации, допущенных к обработке ПДн. При этом должны быть приняты меры, исключающие ознакомление посторонних лиц с ПДн (например, мониторы повернуты в сторону от посетителей, документы убраны в стол, либо находятся в непрозрачной папке или накрыты чистыми листами бумаги).

При возникновении чрезвычайных ситуаций природного или техногенного характера, аварий, катастроф, стихийных бедствий, а также ситуаций, которые могут создавать угрозу жизни и здоровью граждан, в целях оказания помощи гражданам, предотвращения, ликвидации предпосылок и последствий нештатной ситуации, может осуществляться доступ в помещения, в которых ведется обработка ПДн, лиц, из числа служащих Администрации, не допущенных к обработке ПДн.

В нерабочее время все окна и двери в помещениях (в том числе в смежных помещениях), в которых ведется обработка ПДн, должны быть надежно закрыты, материальные носители ПДн должны быть убраны в запираемые шкафы (сейфы) или тумбочки, компьютеры выключены либо заблокированы.

Доступ служащих Администрации в помещения, в которых ведется обработка ПДн в нерабочее время, в том числе в выходные и праздничные дни, допускается только по письменному распоряжению Главы Петрозаводского городского округа, на основании предоставленных на его имя заявок (служебных записок) с перечнем служащих Администрации от руководителей структурных подразделений (отделов), доступ которым крайне необходим (с обоснованием, датой и временем выполняемых работ).

3. Правила доступа в серверные помещения

Доступ посторонних лиц в серверные помещения, в которых ведется обработка ПДн, допускается по согласованию с ответственным за обеспечение безопасности информационных систем ПДн Администрации.

Нахождение в серверных помещениях посторонних лиц без сопровождающего запрещено.

При возникновении чрезвычайных ситуаций природного и техногенного характера, аварий, катастроф, стихийных бедствий, а также других ситуаций, которые могут создавать угрозу жизни и здоровью граждан, доступ в серверные помещения, в целях оказания помощи гражданам, предотвращения, ликвидации предпосылок и последствий нештатной ситуации, может осуществляться без согласования с ответственным за обеспечение безопасности информационных систем ПДн Администрации.

4. Правила доступа в спецпомещения

Специальные помещения (далее - спецпомещения) выделяют с учетом размеров контролируемых зон, регламентированных эксплуатационной и технической документацией к СКЗИ. Спецпомещения должны иметь прочные входные двери с замками, гарантирующими надежное закрытие помещений и устройствами опечатывания в нерабочее время. Окна спецпомещений, расположенные на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в спецпомещения посторонних лиц, необходимо оборудовать металлическими решетками, или ставнями, или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в спецпомещения.

Расположение спецпомещения, специальное оборудование и организация режима в спецпомещениях должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами осуществляемых в помещении работ.

Для предотвращения просмотра спецпомещений извне, их окна должны быть защищены.

Спецпомещения должны быть оснащены входными дверьми с замками. Должно быть обеспечено постоянное закрытие дверей спецпомещений на замок и открытие только для санкционированного прохода, а также опечатывание спецпомещений по окончании рабочего дня или оборудование спецпомещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии спецпомещений.

Доступ в спецпомещения осуществляется в соответствии с перечнем лиц, имеющих право доступа в помещения, где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ, утвержденный распоряжением Администрации Петрозаводского городского округа.

Доступ иных лиц в спецпомещения может осуществляться под контролем лиц, имеющих право допуска в спецпомещения.

При возникновении чрезвычайных ситуаций природного и техногенного характера, аварий, катастроф, стихийных бедствий, а также ситуаций, которые могут создавать угрозу жизни и здоровью граждан, в целях оказания помощи гражданам, предотвращения, ликвидации предпосылок и последствий нештатной ситуации, может осуществляться доступ в спецпомещения иных лиц из числа служащих Администрации.

Сотрудники органов МЧС и аварийных служб, врачи "скорой помощи" допускаются в спецпомещения для ликвидации нештатной ситуации, иных чрезвычайных ситуаций или оказания медицинской помощи в сопровождении руководителя структурного подразделения (отдела) и (или) ответственного пользователя СКЗИ служащих Администрации.

При утрате ключа от входной двери в спецпомещение, необходимо заменить замок или переделать его секрет с изготовлением к нему новых ключей с документальным оформлением.

Доступ служащих в спецпомещения в нерабочее время, в том числе в выходные и праздничные дни, допускается только по письменному распоряжению Главы Петрозаводского городского округа, на основании предоставленных на его имя заявок (служебных записок) с перечнем служащих Администрации от руководителей структурных подразделений (отделов), доступ которым крайне необходим (с обоснованием, датой и временем выполняемых работ).

Нахождение в спецпомещениях посторонних лиц в нерабочее время запрещается.

Приложение N 7

УТВЕРЖДЕНО

постановлением Администрации
Петрозаводского городского округа
от 25.05.2023 N 2018

Положение по работе с инцидентами информационной безопасности в Администрации Петрозаводского городского округа

1. Общие положения

Настоящее положение разработано в целях организации работы с инцидентами информационной безопасности в Администрации Петрозаводского городского округа (далее - Администрация).

Инцидент - одно событие или группа событий, которые могут привести к сбоям или нарушению функционирования информационной системы (далее - ИС) и (или) к возникновению угроз безопасности информации, в том числе персональных данных.

1.1. Положение по работе с инцидентами информационной безопасности (далее - Положение) разработано в соответствии с:

1) Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных";

2) Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

3) требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119;

4) требованиями по реализации мер, предусмотренных составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом Федеральной службы по техническому и экспортному контролю России от 18 февраля 2013 года N 21;

5) политикой в отношении обработки персональных данных в Администрации Петрозаводского городского округа, утвержденной постановлением Администрации Петрозаводского городского округа.

Работа с инцидентами в области информационной безопасности помогает определить наиболее актуальные угрозы информационной безопасности и создает обратную связь в системе обеспечения информационной безопасности, что способствует повышению общего уровня защиты информационных ресурсов и информационных систем.

1.2. Работа с инцидентами включает в себя следующие направления:

1) определение лиц, ответственных за выявление инцидентов и реагирование на них;

2) обнаружение, идентификация и регистрация инцидентов;

3) своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами;

4) анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий;

5) принятие мер по устранению последствий инцидентов;

6) планирование и принятие мер по предотвращению повторного возникновения инцидентов.

Для анализа инцидентов, в том числе определения источников и причин возникновения инцидентов, а также оценки их последствий; планирования и принятия мер по предотвращению повторного возникновения инцидентов, назначается постоянно действующая комиссия по работе с инцидентами в соответствии с распоряжением Администрации Петрозаводского городского округа о создании постоянно действующей комиссии по работе с инцидентами.

2. Ответственные за выявление инцидентов и реагирование на них

2.1. Ответственными за выявление инцидентов в ИС являются:

1) лица, имеющие право доступа к ИС;

2) ответственный за техническое обслуживание ИС (администратор ИС);

3) ответственный за обеспечение безопасности в ИС (администратор ИБ).

2.2. Ответственными за реагирование на инциденты в ИС являются:

1) лица, имеющие право доступа к ИС;

2) руководитель отраслевого (функционального) подразделения Администрации, в котором выявлен инцидент;

3) ответственный за техническое обслуживание ИС (администратор ИС);

4) ответственный за обеспечение безопасности в ИС (администратор ИБ);

5) ответственный за организацию обработки персональных данных Администрации, в случае, если ИС является информационной системой персональных данных и (или) государственной (муниципальной) информационной системой, обрабатывающей персональные данные;

6) председатель комиссии по работе с инцидентами.

2.3. Ответственными за выявление инцидентов вне ИС являются все сотрудники Администрации.

2.4. Ответственными за реагирование на инциденты вне ИС являются:

1) сотрудники Администрации, обнаружившие инцидент;

2) руководитель отраслевого (функционального) подразделения Администрации, в котором выявлен инцидент;

3) ответственный за организацию обработки персональных данных Администрации, в случае, если существует угроза безопасности персональных данных;

4) председатель комиссии по работе с инцидентами.

3. Обнаружение, идентификация и регистрация инцидентов

3.1. Работа по обнаружению инцидентов в области информационной безопасности включает в себя мероприятия, направленные на:

1) выявление инцидентов в области информационной безопасности с помощью технических средств;

2) выявление инцидентов в области информационной безопасности в ходе контрольных мероприятий;

3) выявление инцидентов с помощью сотрудников Администрации.

3.2. Работа по идентификации инцидентов в области информационной безопасности включает в себя мероприятия, направленные на доведение до сотрудников Администрации информации, позволяющей идентифицировать инциденты.

3.3. Регистрацию инцидентов осуществляет председатель комиссии по работе с инцидентами в журнале регистрации инцидентов информационной безопасности. Рекомендуемая форма журнала приведена в приложении к настоящему Положению.

Хранение журнала должно осуществляется в местах, исключающих доступ к журналу посторонних лиц. Журнал хранится в течение 5 лет после завершения ведения. Ответственный за хранение журнала - председатель комиссии по работе с инцидентами.

4. Информирование о возникновении инцидентов

Сотрудник Администрации (пользователь ИС), обнаруживший инцидент в ИС, должен незамедлительно, любым доступным способом сообщить об инциденте непосредственному своему руководителю отраслевого (функционального) подразделения, администратору ИС, администратору ИБ, ответственному за организацию обработки персональных данных в Администрации, председателю комиссии по работе с инцидентами.

Администратор ИС, в случае необходимости, информирует пользователей ИС о возникновении инцидента и дает указания по дальнейшим действиям.

5. Анализ инцидентов, а также оценка их последствий

Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценку их последствий осуществляет комиссия по работе с инцидентами информационной безопасности.

5.1. Источниками и причинами возникновения инцидентов в области информационной безопасности являются:

1) действия организаций и отдельных лиц враждебные интересам Администрации;

2) отсутствие персональной ответственности сотрудников Администрации и их непосредственных руководителей за обеспечение информационной безопасности, в том числе персональных данных;

3) недостаточная работа с персоналом по обеспечению необходимого режима соблюдения конфиденциальности, в том числе персональных данных;

4) недостаточная техническая оснащенность подразделения (отдела) или лица, ответственного за обеспечение информационной безопасности;

5) совмещение функций по разработке и сопровождению или сопровождению и контролю за информационными системами;

6) наличие привилегированных бесконтрольных пользователей в информационной системе;

7) пренебрежение правилами и требованиями информационной безопасности служащими Администрации;

8) и другие причины.

5.2. Оценка последствий инцидента производится на основании потенциально возможного или фактического ущерба.

6. Принятие мер по устранению последствий инцидентов

Меры по устранению последствий инцидентов включают в себя мероприятия, направленные на:

1) определение границ инцидента и ущерба от реализации угроз информационной безопасности;

2) ликвидацию последствий инцидента и полное либо частичное возмещение ущерба.

7. Планирование и принятие мер по предотвращению инцидентов

7.1. Планирование и принятие мер по предотвращению возникновения инцидентов осуществляет комиссия по работе с инцидентами информационной безопасности и основывается на:

1) планомерной деятельности по повышению уровня осознания информационной безопасности руководством и служащими Администрации;

2) проведении мероприятий по обучению служащих Администрации правилам и способам работы со средствами защиты информационных систем;

3) доведении до служащих норм законодательства, внутренних документов Администрации, устанавливающих ответственность за нарушение требований информационной безопасности;

4) разъяснительной работе с увольняющимися и принимаемыми на работу служащими Администрации;

5) своевременной модернизации системы обеспечения информационной безопасности с учетом возникновения новых угроз информационной безопасности, либо в случае изменения требований руководящих документов по организации обеспечения информационной безопасности;

6) своевременном обновлении программного обеспечения, в том числе баз сигнатур антивирусных средств.

7.2. Работа с персоналом.

Как правило, самым слабым звеном в любой системе безопасности является человек. Поэтому работа с персоналом является основным направлением деятельности по обеспечению требований информационной безопасности.

В работе с персоналом основной упор должен делаться не на наказание служащих за нарушения в области информационной безопасности, а на поощрение за надлежащие выполнение требований информационной безопасности, проявление личной инициативы в укреплении системы информационной безопасности.

Персонал Администрации является важным источником сведений об инцидентах информационной безопасности, поэтому необходимо донести до служащих информацию о том, что оперативно предоставленные сведения об инциденте информационной безопасности могут являться основанием для смягчения либо отмены наказания за нарушение требований информационной безопасности.

Текст первоначальной редакции документа сверен по:
официальная рассылка