Во исполнение Постановления Кабинета Министров Республики Татарстан от 25.05.2019 года № 443 «Об утверждении Положения о государственной информационной системе Республики Татарстан «Бухгалтерский учет и отчетность государственных органов Республики Татарстан и подведомственных им учреждений», Исполнительный комитет Верхнеуслонского муниципального района ПОСТАНОВЛЯЕТ:

1. Обеспечить использование государственной информационной системы «Бухгалтерский учет и отчетность государственных органов Республики Татарстан и подведомственных им учреждений» при ведении бухгалтерского учета, составлении отчетности, начислении заработной платы и осуществлении иных выплат физическим лицам в Исполнительном комитете Верхнеуслонского муниципального района и подведомственных ему учреждений».

2. Утвердить: 

– Положение о защите персональных данных при работе в государственной информационной системе Республики Татарстан «Бухгалтерский учет и отчетность государственных органов Республики Татарстан и подведомственных им учреждений»  (Приложение № 1);

– Правила обеспечения безопасности персональных данных при их обработке в Государственной информационной системе Республики Татарстан «Бухгалтерский учет и отчетность государственных органов Республики Татарстан и подведомственных им учреждений» (Приложение № 2);

– Регламент выгрузки и передачи персональных данных в Государственной информационной системе Республики Татарстан «Бухгалтерский учет и отчетность государственных органов Республики Татарстан и подведомственных им учреждений» (Приложение № 3);

- Регламент обеспечения информационной безопасности персональных данных при взаимодействии с контрагентами и третьими лицами при работе в государственной информационной системе Республики Татарстан «Бухгалтерский учет и отчетность государственных органов Республики Татарстан и подведомственных им учреждений» (Приложение № 4).

3. Разместить настоящее постановление на официальном сайте Верхнеуслонского муниципального района.

4. Контроль исполнения настоящего постановления оставляю за собой.

Руководитель

Исполнительного комитета                                                         В.С. Тимиряев

Подг. и отп.

Александрова В.Н.

В 4-х экз.

Приложение 1

К постановлению Исполнительного комитета

Верхнеуслонского муниципального района

от _______________ № ______

Положение

о защите персональных данных при работе

в государственной информационной системе Республики Татарстан

«Бухгалтерский учет и отчетность государственных органов Республики Татарстан и подведомственных им учреждений»
 

2019

Перечень сокращений

Термины и определения

В настоящем документе используются следующие термины и определения:

1. Автоматизированная информационная система – совокупность программно-аппаратных средств, предназначенных для автоматизации деятельности, связанной с хранением, передачей и обработкой информации;
2. Администратор безопасности Системы – сотрудник, работающий в Системе, в обязанности которого входит обеспечение штатного функционирования средств и системы защиты от несанкционированного доступа к защищаемой информации;
3. Защита информации – это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию;
4. Информационная безопасность – комплекс организационно-технических мероприятий, обеспечивающих конфиденциальность, целостность и доступность информации;
5. Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
6. Носитель информации – любой материальный объект, используемый для хранения и передачи электронной информации;
7. Оператор – Государственный заказчик,Функциональный оператор, Функциональный пользователь.организующий и осуществляющий обработку, а также определяющее цели и содержание обработки конфиденциальной информации в Системе;
8. Пользователь Системы –сотрудник, работающий в Системе,участвующий в рамках своих функциональных обязанностей в процессах обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению, данным и средствам защиты;
9. Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа;
10. Средства защиты информации – технические, криптографические, программные и другие средства, предназначенные для защиты информации.
11. Орган – орган государственной власти Республики Татарстан, а также орган местного самоуправления Республики Татарстан.

1. Общие положения

1.1. Положениео защите персональных данных при работе в государственной информационной системе Республики Татарстан«Бухгалтерский учет и отчетность государственных органов Республики Татарстан и подведомственных им учреждений» (далее – Положение) определяет порядок обработки конфиденциальных данных в Системе.

1.2. Настоящее Положение разработано в соответствии с:

2. Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
3. Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
4. РД Государственной технической комиссии Российской Федерации от 30 марта 1992 г. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;
5. Постановление правительства РФ от 3 ноября 1994 г. №1233 «Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в Федеральных органах исполнительной власти»;
6. другими руководящими и нормативными документами по защите информации, действующими на территории РФ.Настоящее Положение устанавливает порядок обеспечения защиты конфиденциальных данных при их обработке в Системе.

2. Понятие и состав конфиденциальной информации

2.1. К информации конфиденциального характера относится несекретная информация, касающаяся деятельности ведения бухгалтерского учета и расчета заработной платы в Системе.

2.2. К конфиденциальной информации, обрабатываемой в Системе, относятся:

1)сведения по общим вопросам организационной деятельностиОрганов в Системе.

2. сведения по вопросам технической защиты информации:
3. сведения по бухгалтерским и кадровым вопросам:
4. сведения о персональных данных сотрудников Органа: фамилия, имя, отчество; прежние фамилия, имя отчество; дата и место рождения; пол; гражданство; владение иностранными языками и языками народов Российской Федерации; образование; ученая степень; ученое звание; дополнительное профессиональное образование; профессия (специальность); стаж работы; наличие классного чина (воинского или специального звания); наличие государственных наград и иных наград, знаков отличия (кем награжден и когда); сведения о приеме, перемещениях, назначениях и увольнении; сведения о командировках, отпусках, о временной нетрудоспособности; семейное положение (в том числе: состав семьи, степень родства, фамилия,  имя,  отчество,  дата  рождения  близких родственников, их место работы или учебы); паспортные данные; свидетельство о государственной регистрации актов гражданского состояния; адрес места жительства и проживания; номер контактного телефона; номер страхового свидетельства государственного пенсионного страхования; сведения о воинском учете; идентификационный номер налогоплательщика; наличие (отсутствие) судимости; допуск к государственной тайне, оформленный за период работы; сведения о доходах, расходах, об имуществе и обязательствах имущественного  характера,  а  также  о доходах, о расходах, об имуществе и обязательствах имущественного характера супруги (супруга) и несовершеннолетних детей; фотографическое изображение; заключение медицинского учреждения о наличии (отсутствии) заболевания, препятствующего поступлению на государственную гражданскую службу Российской Федерации или ее прохождению, а также иные персональные данные, относящиеся к вопросам исполнения служебной деятельности и необходимые для выполнения работы в рамках  Системы;

3. Порядок обработки конфиденциальной информации

3.1. Под обработкой КИ пользователя Системы понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с КИ, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение КИ.

3.2. Обработка КИ может осуществляться с письменного согласия пользователя Системы либо без согласия в случаях, предусмотренных федеральным законодательством в сфере защиты конфиденциальной информации.

3.3. К обработке КИ в Системе допускаются лица на основании документа «Перечень лиц, допущенных к работе с Системой».

3.4. Пользователи Системы, получающие доступ к КИ, обязаны не раскрывать третьим лицам и не распространять КИ без согласия субъекта, если иное не предусмотрено федеральным законодательством в сфере защиты конфиденциальной информации.

3.5. Пользователи Системы при обработке КИ должны соблюдать следующие общие требования:

− обработка КИ может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов;

− при определении объема и содержания обрабатываемой КИ пользователь Системыдолжен руководствоваться Конституцией РФ и иными федеральными законами, в соответствии с утвержденным перечнем КИ;

− пользователи Системы должны быть ознакомлены под роспись с документами Системы, устанавливающими порядок обработки КИ.

4. ХРАНЕНИЕ И ПЕРЕДАЧА конфиденциальной информации

4.1. Хранение КИ должно осуществляться не дольше, чем этого требуют цели обработки КИ, если срок хранения КИ не установлен федеральным законом.

4.2. КИ хранится в архиве базы данных Системе, к которому имеют доступ сотрудники, включенные в Перечень лиц, допущенных к работе с Системой.

4.3. На носителях информации, содержащих сведения конфиденциального характера, проставляется пометка «Для служебного пользования».

4.4. Передача документов и дел с пометкой «Для служебного пользования» от одного специалиста другому осуществляется с разрешения ответственного за информационную безопасность Системы.

4.5. При необходимости направления документов с пометкой «Для служебного пользования» в несколько адресов составляется указатель рассылки, в котором по адресно проставляются номера экземпляров отправляемых документов. Указатель рассылки подписывается исполнителем и руководителем структурного подразделения, готовившего документ.

4.6. Уничтожение дел, документов с пометкой «Для служебного пользования», утратившие свое практическое значение и не имеющих исторической ценности, производится по акту. В учетных формах об этом делается отметка со ссылкой на соответствующий акт.

5. Ответственность за разглашение конфиденциальной информации

5.1. Пользователь Системы, допущенный к работе с КИ, несет ответственность за сохранность носителя и конфиденциальность информации.

5.2. Ответственный за обеспечение безопасности информации в Системе, допускающий пользователей к работе с КИ, несет персональную ответственность за предоставленный допуск.

5.3. Нарушение норм, регулирующих получение, обработку и защиту КИ, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

Приложение 2

К постановлению Исполнительного комитета

Верхнеуслонского муниципального района

от _______________ № ______

Правила обеспечения безопасности персональных данных
при их обработке в Государственной информационной системе Республики Татарстан «Бухгалтерский учет и отчетность государственных органов Республики Татарстан и подведомственных им учреждений»

На 12 листах

ИСПОЛЬЗУЕМЫЕ СОКРАЩЕНИЯ

Термины и определения

1.Общие положения

1. Данный документ содержит правила обеспечения безопасности ПДн при их обработке в Системе.
2. Данные Правила устанавливают следующие требования при обработке персональных данных:

• требования к получению ПДн;
• требования к организации работы с документами и другими материальными носителями, содержащими ПДн;
• требования к местам размещения оборудования и ТС обработки, хранения и передачи ПДн;
• требования к условиям хранения ПДн;

1. Требованиями данного документа должны руководствоваться все пользователи Системы, которые осуществляют обработку ПДн.

2. Права и обязанности работников

1. На пользователей Системы, возлагаются обязанности по соблюдению положений организационно-распорядительной документации в части обеспечения защиты ПДн в рамках Системы в части их касающейся.
2. Дополнительные обязанности пользователей Системы, возникающие в связи с защитой и обработкой ими ПДн, включаются в их должностные инструкции.
3. Контроль исполнения положений должностных инструкций, регулирующих обеспечение безопасности, производится в порядке, установленном Департаментом казначейства Министерства Финансов Республики Татарстан, ОГВ и ОМС.
4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, несут ответственность в соответствии с федеральными законами.

3. ТРЕБОВАНИЯ К ПОЛУЧЕНИЮ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1.   При получении ПДн непосредственно у субъектов ПДн пользователи Системы должны обеспечить условия, не допускающие необоснованного раскрытия ПДн третьим лицам, в том числе:

-    не произносить ПДн вслух при заполнении типовых форм, вводе данных в Систему, проверке достоверности предоставленных субъектом сведений на основании документов, удостоверяющих личность;

-    гарантированно уничтожить все некорректно заполненные типовые формы;

-    не оставлять заполненные типовые формы на рабочих столах в свое отсутствие и при приеме третьих лиц.

3.2    . При получении ПДн у третьих лиц пользователи Системы должны руководствоваться документом «Регламент обеспечения безопасности персональных данных при взаимодействии с контрагентами, третьими лицами».

4. ТРЕБОВАНИЯ К ОРГАНИЗАЦИИ РАБОТЫ С ДОКУМЕНТАМИ И ДРУГИМИ МАТЕРИАЛЬНЫМИ НОСИТЕЛЯМИ, СОДЕРЖАЩИМИ

ПЕРСОНАЛЬНЫЕ ДАННЫЕ

1. Работа с документами и другими материальными носителями, содержащими ПДн, должна осуществляться пользователями Системы в соответствии с действующим порядком конфиденциального делопроизводства.
2. Дополнительно к действующему порядку конфиденциального делопроизводства законодательством^[1] накладываются ограничения на оформление, ведение и использование документов и других материальных носителей, содержащих ПДн:

• правила учета материальных носителей ПДн;
• правила использования типовых форм документов;
• требования к фиксации ПДн на материальных носителях;
• порядок ведения журналов (реестров, книг), содержащих ПДн;
• правила уничтожения носителей ПДн.

1. При работе с материальными носителями ПДн пользователи Системы должны быть выполнены следующие условия:

1. Все машинные материальные носители, содержащие ПДн, должны быть учтены.
2. Учет машинных материальных носителей, содержащих ПДн, должны осуществлять руководители структурных подразделений Департамента казначейства Министерства финансов Республики Татарстан, ОГВ, ОМС в Журнале учета машинных носителей ПДн (далее - Журнал). Форма Журнала приведена в приложении (Приложение 1). Журнал может вестись в нескольких экземплярах.
3. Передача материальных носителей ПДн сторонним организациям должна осуществляться в соответствии с документом «Регламент обеспечения информационной безопасности персональных данных при взаимодействии с контрагентами и третьими лицами».

1. При фиксации ПДн на материальных носителях должны соблюдаться следующие условия:

1. ПДн при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков).
2. На одном материальном носителе не допускается фиксация ПДн, цели обработки которых заведомо не совместимы.
3. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДндолжен использоваться отдельный материальный носитель.

1. При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн, должны быть приняты меры по обеспечению раздельной обработки ПДн.

4.5 При необходимости уничтожения ПДн и/или носителей ПДн должны соблюдаться следующие условия:

1. Внешние носители ПДн, пришедшие в негодность или отслужившие установленный срок, подлежат уничтожению. При этом при необходимости предварительно осуществляется копирование сведений, не подлежащих уничтожению.
2. По истечении срока согласия субъекта на обработку его ПДн, персональные данные уничтожаются.
3. Уничтожение или обезличивание части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
4. Уничтожение ПДн производится по акту комиссиейне менее трех человек. Форма акта об уничтожении ПДн приведена в приложении (Приложение 2)

5. ТРЕБОВАНИЯ К МЕСТАМ РАЗМЕЩЕНИЯ ОБОРУДОВАНИЯ И ТЕХНИЧЕСКИХ СРЕДСТВ ОБРАБОТКИ, ХРАНЕНИЯ И ПЕРЕДАЧИ

ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Доступ на территорию должен осуществлятьсяв соответствии с документами, регламентирующими организацию пропускного и внутриобъектового режима Департамента казначейства, ОГВ, ОМС.
2. Места размещения оборудования и ТС обработки, хранения и передачи ПДн должны выбираться так, чтобы исключить или существенно уменьшить возможность несанкционированного доступа к ним и воздействия на них окружающей среды.
3. Оборудование, по возможности, должно размещаться в помещениях, имеющих достаточную площадь. При расположении оборудования на первом этаже окна данных помещений должны быть оборудованы решетками или другими устройствами, исключающими бесконтрольный доступ в помещения через окна.
4. Доступ лиц в помещения с оборудованием, предназначенным для обработки ПДн, должен быть ограничен и обеспечиваться в соответствии со служебной необходимостью.

6. ТРЕБОВАНИЯ К УСЛОВИЯМ ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ

ДАННЫХ

6.1 Порядок хранения носителей ПДн определяетсяответственным за организацию обработки ПДнв соответствии с законодательством РФ.

Приложение 1 (рекомендуемое)

Журнал учета машинных носителей персональных данных

Приложение 2

 (Рекомендуемая форма )

УТВЕРЖДАЮ

Руководитель подразделения

__________________________________ (Должность)

__________________________________ (Фамилия и инициалы)

«___ »_____________________       20___ г.

Акт об уничтожении персональных данных

(Место составления)                                                                                                    (Дата)

Нами, ___________________________________________________________

(Должность, ФИО работников, проводивших уничтожение)

В присутствии___________________________________________________________

(Должность, ФИО работников, присутствовавших при уничтожении)

составлен акт о нижеследующем: ___________________________________________

«____________ » __________________ 20___ г. нами было произведено уничтожение

персональных данных следующих документов(дел):

(При необходимости указать дальнейшие действия с не уничтоженными документами, носителями, например, передача в архив на хранение).

Всего документов, носителей_____________________________________________________

(Цифрами и прописью)

Документы уничтожены ___________________________       

(Дата)

ФИО работников, проводивших уничтожение______________________________________

(Подпись, инициалы и фамилия)

ФИО работников, проводивших уничтожение______________________________________

(Подпись, инициалы и фамилия)

ФИО работников, проводивших уничтожение______________________________________

(Подпись, инициалы и фамилия)

ФИО работников, проводивших уничтожение______________________________________

(Подпись, инициалы и фамилия)

Дата подписания «_____________ » ______________ 20__ г.

Приложение 3

 (Рекомендуемая форма)

ФОРМА ПЕРЕЧНЯ МЕСТ ХРАНЕНИЯ МАТЕРИАЛЬНЫХ НОСИТЕЛЕЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

Приложение 3

К постановлению Исполнительного комитета

Верхнеуслонского муниципального района

от _______________ № ______

Регламент

выгрузки и передачи персональных данных

Государственная информационная система Республики Татарстан «Бухгалтерский учет и отчетность государственных органов Республики Татарстан и подведомственных им учреждений»

На 7 листах

ИСПОЛЬЗУЕМЫЕ СОКРАЩЕНИЯ

Термины и определения

1.Общие положения

1. Настоящий документ устанавливает порядок обеспечения безопасности ПДн и выполнение положений Закона при осуществлении выгрузки ПДн из Системы.
2. Требования настоящего Регламента распространяются на Органы, в которых работают пользователи Системы.
3. При осуществлении выгрузки ПДн с целью обмена (передачи) ПДн между Органами и контрагентами/третьими лицами следуют руководствоваться документом «Регламент обеспечения информационной безопасности персональных данных при взаимодействии с контрагентами и третьими лицами».
4. Данный Регламент охватывает случаи осуществления выгрузки ПДн на бумажные носители.
5. Вывод ПДн на машинные носители (например, USB-флэш диски, DVD/CD диски) запрещен.

2. Права и обязанности работников

2. В рамках обеспечения ИБ при выгрузке и передаче ПДн выделяются следующие роли:

• руководители структурных подразделений, в которых работают пользователи;
• пользователи.
  1. На руководителей структурных подразделений органов, осуществляющих обработку ПДн, возлагаются следующие обязанности:

1. проведение инструктажа пользователей Системы (под роспись в «Журнале проведения инструктажа»), для ознакомления со следующими документами:

• регламент обеспечения информационной безопасности персональных данных при взаимодействии с контрагентами и третьими лицами;
• правила обеспечения безопасности персональных данных при их обработке;
• политика подсистемы разграничения доступа;
• настоящий регламент.

2. ознакомление пользователей Системы с перечнем обрабатываемых ими ПДн, на основании документа «Перечень персональных данных подлежащих защите»;
3. учет работников своего подразделения, допущенных к обработке ПДн Системы;
4. обеспечение выполнения пользователями Системы требований документов:

• регламент обеспечения информационной безопасности персональных данных при взаимодействии с контрагентами и третьими лицами;
• правила обеспечения безопасности персональных данных при их обработке;
• политика подсистемы разграничения доступа;
• настоящий регламент.
  1. На пользователей, обрабатывающих ПДн в рамках Системы, возлагаются обязанности по соблюдению положений организационно-распорядительной документации для обеспечения защиты ПДн в рамках Системы в части их касающейся.

3. Обеспечение безопасности персональных данных
при их выгрузке на носители и последующей передаче

3.1.Обеспечение безопасности ПДн при их выгрузке на материальные носители достигается за счет реализации описанного ниже порядка.

3.2.Пользователь Системы осуществляет выгрузку ПДн на материальный носитель и передает полученные материальные носители на согласование руководителю соответствующего структурного подразделения Органа.

3.3.На передаваемых материальных носителях проставляется отметка «Конфиденциально», либо «Для служебного пользования» согласно действующим в Органе порядком конфиденциального делопроизводства.

3.4.При работе с материальными носителями ПДн пользователями Системы должны быть выполнены следующие условия:

3.5.Передача материальных носителей ПДн между пользователями одного структурного подразделения Органа осуществляется в соответствии с действующим в органе порядком конфиденциального делопроизводства.

3.6.Передача материальных носителей ПДн вручную (почтой, курьером или лично уполномоченным представителям контрагентов и третьих лиц), контрагентам или третьим лицам осуществляется только по поручению руководителя органа в соответствии документом «Регламент обеспечения информационной безопасности персональных данных при взаимодействии с контрагентами и третьими лицами».

3.7.При необходимости уничтожения материальных носителей ПДн должны соблюдаться следующие условия:

3.8.Материальные носители ПДн, пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению.

3.9.По истечении срока согласия субъекта на обработку его ПДн, ПДн уничтожаются.

3.10.Уничтожение или обезличивание части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

3.11.Все материальные носители, содержащие ПДн, должны храниться в специально выделенных служебных помещениях или в запираемых и опечатываемых шкафах (хранилищах). При этом должны быть созданы необходимые условия, обеспечивающие их физическую сохранность.

3.12.При выходе пользователя из служебного помещения материальные носители должны быть убраны в хранилища.

3.13.Хранение материальных носителей ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки. По достижении целей обработки или в случае утраты необходимости в их достижении ПДн подлежат уничтожению за исключением случаев, предусмотренных законодательством РФ.

3.14.Все ПДн (материальные носители), обработка которых осуществляется в различных целях, должны храниться раздельно.

3.15.Хранение и выдачу носителей ПДн организовывают руководители структурных подразделений органов, в которых работают пользователи.

3.16.Документы, содержащие ПДн субъектов ПДн, должны храниться в течение срока, определенного в согласии субъектов на обработку его ПДн.

Приложение 4

К постановлению Исполнительного комитета

Верхнеуслонского муниципального района

от _______________ № ______

Регламент обеспечения информационной безопасности персональных данных при взаимодействии с контрагентами и третьими лицами при работе в государственной информационной системе
Республики Татарстан

«Бухгалтерский учет и отчетность государственных органов Республики Татарстан и подведомственных им учреждений»

На 13 листах

ИСПОЛЬЗУЕМЫЕ СОКРАЩЕНИЯ

Термины и определения

1.Общие положения

1. Настоящий документ устанавливает порядок обеспечения ИБ ПДн в Системе и выполнения положений Закона при взаимодействии с контрагентами и третьими лицами.
2. Данный Регламент охватывает следующие случаи взаимодействия с контрагентами и третьими лицами в процессе обработки ПДн:

• обмен ПДн с контрагентами и третьими лицами;
• предоставление доступа к Системе контрагентам и третьим лицам.

1. Обмен ПДн между Департаментом, Органом и контрагентами и третьими лицами может происходить в случаях, установленных федеральным законодательством Российской Федерации с соблюдением установленных норм защиты ПДн.

2. ОБЯЗАННОСТИ И ОТВЕТСТВЕННОСТЬ РАБОТНИКОВ

2.1 В рамках обеспечения ИБ ПДн при взаимодействии с контрагентами и третьими лицами выделяются следующие роли:

-руководители структурных подразделений, в которых работают пользователи Системы;

-ответственный за обеспечение безопасности ПДн;

-администратор ППО (администратор пользователей учреждения);

-администратор безопасности (СИС админ);

-пользователи.

2.2 На ответственных за обеспечение безопасности ПДн в Департаменте, Органах, осуществляющих обработку ПДн, возлагаются следующие обязанности:

1. проведение инструктажа пользователей Системы (под роспись в «Журнале проведения инструктажа»), для ознакомления со следующими документами:

- правила обеспечения безопасности персональных данных при их обработке; -регламент обеспечения информационной безопасности персональных данных при взаимодействии с контрагентами и третьими лицами;

- регламент выгрузки и передачи персональных данных.

2. учет работников своего подразделения, допущенных к обработке ПДн Системы;
3. обеспечение выполнения пользователями Системы требований документов:

- правила обеспечения безопасности персональных данных при их обработке;

 -регламент обеспечения информационной безопасности персональных данных при взаимодействии с контрагентами и третьими лицами;

-регламент выгрузки и передачи персональных данных.

1. На ответственного за обеспечение безопасности ПДн возлагаются следующие обязанности:

-планирование и координация работ по обеспечению безопасности ПДн Системы;

-контроль реализации организационных и технических мер обеспечения информационной безопасности ПДн Системы;

-контроль выполнения пользователями, обрабатывающими ПДн в рамках Системы, установленных правил по их защите ПДн при обработке;

-организация технической реализации требований по защите ПДн Системы.

1. В рамках деятельности по обеспечению безопасности ПДн на администраторов ППО возлагаются обязанности по обеспечению сопровождения и системного администрирования ППО, а также по предоставлению доступа пользователям к Системе.
2. В рамках деятельности, обязанность по контролю соблюдения мер по защите ПДн при их обработке возлагаются на ответственного за обеспечение безопасности ПДн Системы. .
3. На пользователей, обрабатывающих ПДн в рамках Системы, возлагаются обязанности по соблюдению положений организационно-распорядительной документации в части обеспечения защиты ПДн в рамках Системы в части их касающейся.
4. Обязанности пользователей Системы, возникающие в связи с защитой и обработкой ими ПДн, включаются в их должностные регламенты / инструкции.
5. Контроль исполнения положений должностных регламентов, инструкций, регулирующих обеспечение безопасности, производится в порядке, определённом Департаментом, Органом.
6. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, несут ответственность в соответствии с законодательством.

3. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ПРЕДОСТАВЛЕНИИ В СЛУЧАЯХ УГРОЗЫ ЖИЗНИ И ЗДОРОВЬЮ

1. В случае если передача ПДн контрагентам и третьим лицами необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно, Руководитель Департамента, руководители Органов могут принять решение о передаче ПДн^[2].
2. Ответственный за обеспечение безопасности ПДн производит идентификацию лица, получающего ПДн, по документу, удостоверяющему личность, и служебному удостоверению (при наличии), а также записывает контактную информацию данного лица.
3. Ответственный за обеспечение безопасности ПДн получает расписку в получении данных. В расписке указываются ФИО, состав полученных ПДн, дата получения, сведения о документе, удостоверяющем личность.
4. После получения расписки предоставление ПДн осуществляется в произвольной форме.
5. В течение суток после предоставления ПДн пользователем Системы, предоставившим данные, совместно с руководителем своего структурного подразделения вносится запись в Журнал. Типовая форма Журнала приведена в приложении №4.

При этом в поле «Основание для передачи ПДн» указывается причина передачи «угроза жизни или здоровью», а в поле «Дата и подпись лица, получившего данные/отметка о подтверждении получения» указывается «Расписка прилагается». Расписка в получении данных хранится в Департаменте, Органе, в которых работают пользователи Системы.

1. Руководитель структурного подразделения пользователя Системы, предоставившего персональные данные, уведомляет ответственного за обеспечение безопасности ПДн в Системе о факте передачи ПДн.

4. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ОБМЕНЕ В СЛУЧАЯХ, УСТАНОВЛЕННЫХ ФЕДЕРАЛЬНЫМИ ЗАКОНАМИ

1. В случае если необходимость обмена ПДн установлена законодательством Российской Федерации, необходимый порядок обмена определяется соответствующим Органом.
2. Обмен ПДн с органами, в указанном в п. 4.1. настоящего раздела случае, а осуществляют соответствующие структурные подразделения Департамента, Органа, в которых работают пользователи Системы.
3. В случае если в соответствии с законодательством Российской Федерации ПДн не подлежат ежегодному или ежемесячному предоставлению, но запрашивающий орган обладает в соответствии с законодательством необходимыми полномочиями для запроса и получения ПДн, указанный орган направляет письменный запрос на получение данных сведений руководству Департамента, Органу.
4. Запрос должен быть оформлен на официальных бланках с подписью руководителей запрашивающих органов и должен содержать указание цели и правовое основание требования ПДн, если иное не установлено Федеральными Законами. Запрос также может содержать описание порядка (формы, сроки и способы) передачи ПДн.
5. При принятии решения об удовлетворении запроса руководителем Департамента, руководителем Органа, осуществляется предоставление ПДн в соответствии с разделами 7, 8 настоящего Регламента.
   1. Руководитель структурного подразделения, в котором работают пользователи Системы, уведомляет Ответственного за обеспечение безопасности ПДн в Системе о факте передачи ПДн.

5. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ОБМЕНЕ ПЕРСОНАЛЬНЫМИ ДАННЫМИ В РАМКАХ ЗАКЛЮЧЕННЫХ ДОГОВОРОВ

1. При возникновении необходимости заключения договора об обмене ПДн с контрагентами в Системе обязательным является согласование вопроса с Департаментом и с МИС РТ.
2. Обмен ПДн с контрагентами в рамках заключенных договоров через структурные подразделения Органов запрещен.
3. В случае если обмен ПДн субъектов ПДн с контрагентами осуществляется на основании договора между Департаментом и контрагентом, условия предоставления ПДн определяются в данном договоре.
4. При заключении договора с контрагентом в договор вносятся условия предоставления ПДн и обязательства контрагента по обеспечению безопасности ПДн (в том числе в случае реорганизации или ликвидации организации-контрагента), а также заключается Соглашение о конфиденциальности с контрагентами, которым передаются ПДн.
5. Условия предоставления ПДн и обязательства контрагента по обеспечению безопасности ПДн, включаемые в состав договора, согласовываются с Ответственным за обеспечение безопасности ПДн в Системе.

5.6. Передача (получение) ПДн осуществляется в соответствии с разделами 7, 8 настоящего Регламента.

6. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ПЕРЕДАЧЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

1.  
   1. Передача ПДн осуществляется на материальном носителе или в электронном виде по каналам связи, ответственным за работу с ПДн в Департаменте, Органе по решению руководителя Департамента, Органа.
   2. Передача ПДн на материальном носителе осуществляется в следующем порядке:
      1. Департамент, Орган, в котором работают пользователи Системы, проставляют на передаваемых документах, содержащих ПДн, отметку «конфиденциально», либо «Для служебного пользования». Передача документов осуществляется сопроводительным письмом с уведомлением контрагента или третьего лица о конфиденциальности передаваемых данных, а также с запросом на подтверждение получения передаваемых данных. Рекомендуемая форма сопроводительного письма приведена в приложении №1.
      2. Сопроводительное письмо подписывается руководителем Департамента, органа либо его заместителем, и прикладывается к передаваемому материальному носителю.
      3. Материальный носитель запаковывается в соответствии с действующим порядком конфиденциального делопроизводства.
      4. Передача материальных носителей, содержащих ПДн, осуществляется почтовой (пересылка заказными либо ценными почтовыми отправлениями), курьерской связью или передается лично уполномоченным представителям контрагентов и третьих лиц.
      5. При передаче материальных носителей, содержащих ПДн, уполномоченным представителям контрагентов и третьих лиц Департамент, Орган, в котором работают пользователи Системы, предварительно производят идентификацию уполномоченного представителя по документу, удостоверяющему личность.
      6. После передачи материального носителя Департамент, Орган, в котором работают пользователи Системы, вносят запись в Журнал.
      7. После получения подтверждения о получении ПДн в Журнал вносится запись о подтверждении (при передаче материального носителя на территории Департамента, Органа запись о подтверждении вносится непосредственно при передаче).
   3. Передача ПДн в электронном виде по каналам связи осуществляется в следующем порядке:
      1. Передача информации в электронном виде по каналам связи осуществляется в соответствии с принятым порядком защищенного информационного обмена между организациями, которые должны обеспечивать защиту ПДн от несанкционированного доступа.
      2. При передаче ПДн в электронном виде по каналам связи Департамента, Орган, в котором работают пользователи Системы, направляет сопроводительное письмо, уведомляющее контрагента или третье лицо о конфиденциальности передаваемых данных, а также содержащее запрос на подтверждение получения передаваемых данных. Рекомендуемая форма сопроводительного письма приведена в приложении №1.
      3. Передача ПДн в электронном виде, пользователями Системы, осуществляется через защищенные каналы связи.
      4. После отправки и получения подтверждения о получении ПДн Департамент, Орган, в котором работают пользователи Системы, вносят соответствующую запись в Журнал.

7. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ПОЛУЧЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Получение ПДн от контрагентов и третьих лиц осуществляется через структурное подразделение, ответственное за конфиденциальное делопроизводство в Органе. Получение ПДн от контрагентов и третьих лиц через иные структурные подразделения Органа запрещено.
2. Получение материальных носителей ПДн производится в соответствии с действующим порядком конфиденциального делопроизводства Органа.
3. При получении от контрагентов или третьих лиц файловых массивов, содержащих ПДн, ответственный за обеспечение безопасности ПДн принимает решение о сроках, месте и способах обработки полученных данных (в том числе о необходимости обработки ПДн в Системе).
4. В случае если ответственный за обеспечение безопасности ПДн принял решение о необходимости обработки полученных ПДн в Системе и категории и объем полученных данных соответствуют уровням защищенности системы, ПДн загружаются в Систему.
5. В случае если Ответственный за обеспечение безопасности ПДн от учреждения принял решение о необходимости обработки полученных ПДн в Системе, но категории и объем полученных данных не соответствуют уровню защищенности системы, ответственный за обеспечение безопасности ПДн также принимает решение о принятии мер по приведению их в соответствие, в том числе:

• меры по повышению уровня защищенности Системы и соответствующей ее защите;
• меры по снижению категории или объема ПДн путем редактирования, обезличивания или сегментирования полученных файловых массивов.

1. Применяемые меры и средства защиты информации должны обеспечивать соответствие Системы требованиям норм и стандартов в области обеспечения ИБ. Соответствие нормам и стандартам ИБ должно быть подтверждено оценкой соответствия в форме аттестации на соответствие требованиям ИБ.
2. Ответственный за обеспечение безопасности ПДн от учреждения определяет ответственных за реализацию данных мер, в том числе в рамках действующих договоров с сервисными организациями.

7.8. Загрузку ПДн в Систему осуществляют администраторы Системы в соответствии с эксплуатационной документацией на систему.

8. ПРЕДОСТАВЛЕНИЕ КОНТРАГЕНТАМ ДОСТУПА К ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Предоставление доступа к Системе осуществляется на основании договора, заключенного между Департаментом, МИС РТ и контрагентом, в котором определяются условия предоставления доступа к ПДн.
2. При заключении договора с контрагентом в договор вносятся условия предоставления доступа к Системе и обязательства контрагента по обеспечению безопасности ПДн (в том числе в случае реорганизации или ликвидации организации- контрагента), а также заключается Соглашение о конфиденциальности с контрагентами, которые могут получить доступ к ПДн.
3. Предоставление представителям контрагентов доступа к Системе осуществляется на основании письма контрагента, которому необходимо предоставить доступ. В письме указываются координаты ответственного лица контрагента.
4. На основании заключенного договора, указанного в п.8.1. настоящего раздела, Ответственный за обеспечение безопасности ПДн вносит данные о контрагенте в Список контрагентов и третьих лиц, имеющих доступ к Системе (далее - Список) (Форма Списка представлена в Приложении №2).

1. Список контрагентов и третьих лиц, имеющих доступ к Системе, хранится у Ответственного за обеспечение безопасности ПДн от учреждения, или назначенного им ответственного лица.
2. Данный список передается системному администратору, отвечающему за техническую эксплуатацию Системы.
3. Предоставление доступа к Системе контрагентам и третьим лицам осуществляется в следующем порядке:

Администратор ППО проверяет, существует ли техническая возможность предоставления доступа.

В случае если такая возможность существует, администратор ППО формирует технические условия и требования, при которых возможно предоставление прав доступа. Данные условия и требования должны распространяться как на Стороны заключенного договора.

1. Требования и технические условия определяются для каждого конкретного случая, но в общем случае должны включать:

• необходимые технические условия (требования к параметрам соединений, необходимая конфигурация и настройки оборудования, требования к средствам защиты информации, требование отсутствия подключения к другим сетям или меры по защите, применяемые при подключении и т.д.);
• требования по защите информации, которые должны соблюдаться организацией- контрагентом;
• разграничение ответственности между организациями.

1. Определенные требования и технические условия согласовываются с Ответственным за обеспечение безопасности ПДн от учреждения в Системе.
2. Администратор ППО направляет в письменном или электронном виде контрагенту письмо с подтверждением положительного решения о предоставлении доступа. Письмо также должно включать сформированные требования и технические условия, координаты Ответственного лица от Департамента.
3. Реализацию технических условий внутри Системы обеспечивает администратор ППО в рамках своих полномочий.
4. После выполнения всех необходимых действий, определенных в требованиях и технических условиях, администратор ППО предоставляет контрагенту все необходимые права доступа.

8.4.9 При необходимости администратор ППО представляет контрагенту реквизиты, необходимые для доступа

9. КОНТРОЛЬ ЗА ПОДДЕРЖАНИЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ВЗАИМОДЕЙСТВИИ С КОНТРАГЕНТАМИ И ТРЕТЬИМИ ЛИЦАМИ

1. Контроль за поддержанием ИБ при взаимодействии с контрагентами и третьими лицами осуществляет Ответственный за обеспечение безопасности ПДн от учреждения. На него при взаимодействии с контрагентами и третьими лицами возложена ответственность по контролю за:

• организацией учета всех передаваемых и получаемых ПДн (п. 9.2);
• включением в договоры с контрагентами и третьими лицами обязательств по защите ПДн (п. 9.3);
• соблюдением порядка предоставления доступа к Системе(п.9.4).

1. Контроль организации учета всех передаваемых и получаемых ПДн осуществляется на плановой основе:

1. Ответственный за обеспечение безопасности ПДн ежегодно выполняет анализ Журналов на предмет проверки правильности и полноты их заполнения.
2. В случае выявления некорректности заполнения Журналов Ответственным за обеспечение безопасности ПДн, вносится запись об этом в Журнал учета нарушений. Форма Журнала учета нарушений приведена в Приложении №3.

1. Контроль включения в договоры с контрагентами и третьими лицами обязательств по защите ПДн:

9.3.1 Ответственный за обеспечение безопасности ПДн, при заключении договоров контролирует внесение в них обязательств контрагента по обеспечению безопасности ПДн, а также заключение Соглашения о конфиденциальности.

1. Контроль соблюдения порядка предоставления доступа:

1. Администраторы безопасности ежедневно просматривают журналы регистрации событий Системы с целью выявления записей, свидетельствующих о несанкционированном предоставлении (изменении) прав доступа контрагентам.
2. В случае обнаружения несанкционированных изменений администратор безопасности вносит запись в Журнал учета нарушений, сообщает Ответственному за обеспечение безопасности ПДн о нарушениях и принимает необходимые меры по их устранению.

9.4.3.В случае обнаружения фактов несанкционированного предоставления (изменения) прав доступа контрагентам администратор безопасности информирует Ответственного за обеспечение безопасности ПДн.

Приложение 1

Рекомендуемая форма сопроводительного письма

В ответ на Ваш запрос от «___________ » ___________ 20___ г. (на основании Договора №     ) в Ваш адрес направляю персональные данные о ___________________________________________________________________

(прилагаются).

В соответствии с Федеральным Законом № 152 «О персональных данных» передаваемая Вам информация является конфиденциальной.

В соответствии с действующим законодательством Российской Федерации на Вас возлагаются обязательства по обеспечению безопасности персональных данных (в том числе по недопущению их незаконного распространения) с даты предоставления их Вам.

Просим подтвердить получение Вами переданных сведений в письменной форме.

Приложение 2