П-30 о защите персональных данных (02.03.2018)

Вариант MSWORD СКАЧАТЬ

МУНИЦИПАЛЬНОЕ КАЗЕННОЕ УЧРЕЖДЕНИЕ «ЦЕНТРАЛИЗОВАННАЯ БИБЛИОТЕЧНАЯ СИСТЕМА

ГОРОДА ТРОИЦКА»

ПРИКАЗ

02.03.2018 №30

Об организации работы с персональными данными работников

и пользователей МКУ «Централизованная библиотечная система

города Троицка»

В соответствии с Федеральным Законом от 27 июля 2006 года N 152-ФЗ «О персональных данных»

ПРИКАЗЫВАЮ:

1. Утвердить Положение об организации работы с персональными данными пользователей и гарантиях их защиты (приложение 1).

2. Утвердить перечень должностей работников МКУ «ЦБС», уполномоченных на обработку персональных данных пользователей и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты персональных данных (приложение 2).

3. Утвердить форму заявления на обработку персональных данных работников МКУ «ЦБС» (приложение 3).

4. Назначить ответственными за организацию обработки персональных данных в МКУ «ЦБС»: директора МКУ «ЦБС», главного бухгалтера, бухгалтера, специалиста по кадрам, заведующих отделами, заведующих структурными подразделениями. Утвердить инструкцию ответственного за организацию обработки ПДн (приложение 4).

5. Назначить ответственным за обеспечение безопасности персональных данных в ИСПДн МКУ «ЦБС», а также возложить функции администратора безопасности ИСПДн на программиста Шарипова И.Г. Утвердить инструкцию ответственного за безопасность в ИСПДн (приложение 5).

6. Утвердить инструкцию пользователя ИСПДн (приложение 6).

7. Считать утратившим силу приказ №51 от 02.09.2015 г.

8. Руководителей структурных подразделений ознакомить под роспись с настоящим Приказом.

9. Контроль за исполнением настоящего приказа оставляю за собой.

Исполняющий обязанности директора МКУ «ЦБС» Т.А.Штыкова

С приказом ознакомлены:

Ляхович С.Г.______________ Клименкова М.М._____________

Фролова И.А._____________ Каримова Р.Х.________________

Штыкова Т.А._____________ Мухамедсафина И.Р.__________

Бушуева И.А._____________ Быкова Г.И._________________

Сабат Г.А.________________ Агеева М.Н.________________

Фурманова Н.А.___________ Серазетдинова Ф.Т. _________

Азаренкова С.В.____________ Овсянникова Л.П. __________

Смолина Н.В._____________ Канькина Е.В.______________

Гроза А.П.________________ Шарипов И.Г._______________

Приложение 1 к приказу МКУ «ЦБС» от 02.03.2018 №30

УТВЕРЖДАЮ И.о.директора МКУ «ЦБС» __________Т.А.Штыкова «_____»_____________2018

ПОЛОЖЕНИЕ об организации работы с персональными данными пользователей и гарантиях их защиты

1. Общие положения

1.1. Положение об организации работы с персональными данными пользователей и гарантиях их защиты Муниципального казенного учреждения «Централизованная библиотечная система города Троицка» (далее – МКУ «ЦБС») разработано в соответствии с Федеральным законом от 27.07 2006 №152-ФЗ «О персональных данных» и регулирует правоотношения, возникающие в процессе обработки персональных данных пользователей библиотек МКУ «ЦБС» города Троицка.

1.2. Целью настоящего Положения является обеспечение прав пользователей библиотек МКУ «ЦБС» на конфиденциальность персональных данных.

1.3. Основные понятия, используемые в настоящем Положении:

• персональные данные – любая информация, относящаяся к определенному физическому лицу (пользователю библиотек), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, телефон, образование, профессия, другая информация;

• обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

• распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно – телекоммуникационных сетях или предоставление доступа к персональным данным каким – либо способом;

• использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

• блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

• уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители;

• обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

• конфиденциальность персональных данных – обязательное соблюдение оператором или иным лицом, получившим доступ к персональным данным, требования не допускать их распространения без согласия субъекта персональных данных или иного законного основания.

• информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

2. Принципы и условия обработки персональных данных пользователей библиотек.

2.1 Сбор персональных данных пользователей библиотек МКУ «ЦБС» осуществляется с целью:

- исполнения Постановления Федеральной службы государственной статистики от 11.07.2005 № 43 «Об утверждении статистического инструментария для организации Роскультурой статистического наблюдения за деятельностью организаций культуры, искусства и кинематографии»; - статистического учета пользователей библиотек;

- соблюдения Правил пользования библиотеками МКУ «ЦБС». 2.2. Персональные данные пользователей обрабатываются библиотеками на основании ст. 23, 24 Конституции РФ, ст. 6, 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 7, 9, 12, 13 Федерального закона от 29.12.1994 № 78-ФЗ «О библиотечном деле», с письменного согласия пользователя (его законного представителя), подтверждаемого его собственноручной подписью.

2.3. Персональные данные пользователей являются конфиденциальной информацией, не подлежащей разглашению, и не могут быть использованы библиотеками МКУ «ЦБС» или ее работниками для целей, не перечисленных в п.2.1. настоящего Положения.

2.4. Разглашение персональных данных пользователей или их части допускается только в случаях предусмотренных действующим законодательством РФ о безопасности, об оперативно – розыскной деятельности, а также в соответствии с уголовно – исполнительным законодательством РФ, либо с письменного согласия пользователя. 2.5. Обработка персональных данных пользователей библиотек может осуществляться как с использованием средств автоматизации, так и без использования таковой.

2.6. Поименный список сотрудников, имеющих доступ к персональным данным пользователей библиотек, утверждается приказом директора МКУ «ЦБС».

3. Источники персональных данных пользователей.

3.1. Источниками персональных данных пользователей являются:

• формуляр пользователя (читателя) – документ установленного образца, в котором регистрируется получение и возврат пользователем документов из фонда библиотек, который заполняется работниками библиотек.

• регистрационная карточка пользователя на бумажном носителе или электронная база пользователей, в которую на основании предъявленного документа вносятся персональные данные.

3.2. Перечень персональных данных, которые могут быть внесены в регистрационную карточку, электронную базу пользователей:

• фамилия, имя, отчество;

• год рождения;

• место работы /учебы;

• занимаемая должность;

• адрес постоянной регистрации (адрес фактический);

• контактные телефоны, e-mail

3.3. Перечень персональных данных, которые могут быть внесены в регистрационную карточку, «Поручительство за детей (до 14 лет), читателей библиотек МКУ «ЦБС», электронную базу пользователей до 14 лет:

• фамилия, имя (отчество);

• год рождения;

• детский сад/школа, класс;

• фамилия, имя, отчество родителей/законных представителей;

• место работы и занимаемая должность родителей/законных представителей;

• домашний адрес (фактический) родителей/законных представителей;

• контактные телефоны, e-mail родителей/законных представителей

3.4. Перечень персональных данных, которые могут быть внесены в формуляр пользователей:

• фамилия, имя, отчество;

• год рождения;

• место учебы (если учится);

• занимаемая должность;

3.5. Перечень персональных данных, которые могут быть внесены в формуляр пользователей до 14 лет:

• фамилия, имя (отчество);

• детский сад/школа, класс.

4. Обработка персональных данных пользователей

4.1. Источники персональных данных пользователей библиотек на бумажном носителе хранятся:

• в специальных ящиках (боксах,сейфах) под ключ (регистрационная карточка);

• на абонементе, в читальном зале – оборудованная кафедра (формуляр).

4.2. Работники, обслуживающие пользователей библиотек вправе передавать персональные данные пользователя администрации МКУ «ЦБС» в объеме, необходимом для исполнения ими служебных обязанностей, а также в случаях, установленных законодательством РФ.

4.3. Срок обработки персональных данных библиотеками – в течение 3 лет с момента последней перерегистрации читателя. По истечении срока обработки источники персональных данных (регистрационная карточка, формуляр, электронная база данных) уничтожаются. Если пользователь имеет задолженность: взятые во временное пользование и не возвращенные документы из фондов библиотек, библиотеки оставляют за собой право на сохранение его персональных данных до погашения задолженности. В случае прямого отказа пользователя от услуг библиотек и отзыва согласия на обработку его персональных данных, формуляр и регистрационная карточка хранятся в течение трех лет с момента последней перерегистрации, а персональные данные пользователя в электронной базе пользователей уничтожаются.

4.4. Уточнение персональных данных производится путем обновления или изменения данных в электронной базе пользователей с последующей распечаткой на новый бумажный носитель (регистрационную карточку, формуляр). При необходимости изменить небольшой объем персональных данных на бумажном носителе (класс учебного заведения, или фамилию пользователя) такая замена может быть произведена путем вымарывания устаревших данных и занесения новых.

5. Права пользователей библиотек.

5.1. Пользователь библиотек имеет право на:

• получение сведений о наличии у библиотек его персональных данных;

• ознакомление с такими персональными данными;

• информацию о целях и сроках их обработки;

• получение сведений о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ.

5.2. Пользователь вправе требовать от библиотек уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6. Обязанности библиотек в отношении обработки персональных данных пользователей.

6.1. Библиотеки МКУ «ЦБС» при обработке персональных данных принимают необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, копирования, распространения персональных данных, а также от иных неправомерных действий.

6.2. Библиотеки МКУ «ЦБС» осуществляют передачу персональных данных пользователя только в соответствии с настоящим Положением и действующим законодательством РФ.

6.3. Библиотеки МКУ «ЦБС» обязаны сообщить пользователю информацию о наличии его персональных данных, а также предоставить возможность ознакомления с ними при обращении читателя в течение трех рабочих дней от даты получения запроса.

6.4. Библиотеки МКУ «ЦБС» обязаны внести по требованию пользователя необходимые изменения, блокировать его персональные данные по предоставлении сведений, подтверждающих, что персональные данные этого пользователя являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

6.5. По истечении трех лет с момента последнего уточнения персональных данных (перерегистрации) пользователей библиотеки МКУ «ЦБС» прекращают обработку персональных данных, уничтожают его персональные данные в электронной базе читателей и на бумажных носителях (регистрационную карточку, формуляр). Уничтожение персональных данных производится только при условии, что пользователь не имеет задолженности перед библиотеками. В противном случае, персональные данные блокируются и уничтожаются только после погашения задолженности.

7. Ответственность библиотек и их работников.

7.1. На лиц, виновных в нарушении требований Федерального Закона от 27.07 2006 № 152-ФЗ «О персональных данных», возлагается гражданская, уголовная, административная, дисциплинарная и иная предусмотренная законодательством РФ ответственность.

7.2. Одним из главных требований к организации мероприятий по обеспечению требований действующего законодательства в области защиты персональной информации является личная ответственность каждого работника библиотек, имеющего доступ к персональным данным пользователей в соответствии со своими полномочиями, за нарушение правил, обработки, режима защиты и использования этой информации. Каждый работник библиотек, непосредственно работающий с источниками персональных данных, как на бумажных, так и на электронных носителях, и своевременно проинформированный о факте обработки им персональных данных, несет персональную ответственность за соблюдение норм Федерального Закона от 27.07 2006 № 152-ФЗ «О персональных данных».

7.3. Ответственность за неинформирование, или несвоевременное информирование работников библиотек о факте обработки ими персональных данных, а также о правилах осуществления такой обработки, установленной действующим законодательством, несет директор МКУ «ЦБС». Ответственность за неинформирование, или несвоевременное информирование работников библиотек, имеющих доступ к персональным данным пользователей, о порядке работы с персональными данными непосредственно на рабочем месте несет заведующий обособленным структурным подразделением (библиотекой) МКУ «ЦБС».

Доказательством своевременного информирования в этом случае является личная подпись работника в приказе, определяющем перечень лиц, имеющих доступ к персональным данным пользователей, листе ознакомления с настоящим Положением.

Приложение № 1

к Положению об организации работы с персональными данными пользователей и гарантиях их защиты

Обязательство о неразглашении персональных данных

пользователей МКУ «ЦБС»

Я,__________________________________________________________

(Ф.И.О.)

____________________________________________________________,

(структурное подразделение, должность)

ознакомлен с «Положением об организации работы с персональными данными пользователей и гарантиях их защиты», права и обязанности в области защиты персональных данных мне разъяснены.

«___»_________20____ г. Подпись____________

Приложение № 2 к Положению об организации работы с персональными данными пользователей и гарантиях их защиты

Регистрационная карточка читателя (форма)

(для читателей старше 14 лет)

Регистрационная карточка читателя МКУ «ЦБС» №_____

Я,___________________________________________________________(ФИО), зарегистрированный по адресу ______________________________________ ,

подтверждаю, что я ознакомлен и полностью согласен с условиями оказания мне библиотечных услуг в библиотеках МКУ «Централизованная библиотечная система города Троицка». Даю свое согласие на обработку моих персональных данных, указанных в настоящей регистрационной карточке.

Данное согласие действует до моего прямого отказа от пользования услугами библиотеки, либо до истечения трехлетнего срока с момента перерегистрации.

«____»____________20__г. _____________ (подпись)

Согласен на рассылку уведомлений о новых поступлениях, библиотечных мероприятиях и акциях ______________(подпись) «_____»_________20__г.

Ф.И.О._____________________________________________________________

Дата рождения ____________________________________________________

Место работы/учебы _______________________________________________

Занимаемая должность ______________________________________________

Адрес фактический _______________________________________________

Телефон (ы) ________________________________________________________

e-mail ______________________________________________________________

Поручительство за детей (до 14 лет),

читателей библиотек МКУ «ЦБС» г. Троицка

Прошу записать моего (мою) сына (дочь)______________________________

_______________________д\с / школа_____-____________ класс ___________ в библиотеку _____________________________________. Ручаюсь за своевременное возвращение им (ею) книг. В случае порчи или потери книг я, _________________________________________________________________ (Ф.И.О. родителей) обязуюсь заменить равноценной книгой согласно «Правилам пользования библиотекой». Подтверждаю, что я ознакомлен(а) и полностью согласен(а) с условиями оказания моему ребенку библиотечных услуг. Даю свое согласие на обработку моих персональных данных и персональных данных моего ребенка.

«____»______________20____г.

________________(подпись) / ___________________/ (расшифровка)

Ф.И.О. (ребенка)_____________________________________________________

Год рождения ____________________________________________________

Детский сад/школа, класс _____________________________________________

Ф.И.О. родителей/законных представителей_____________________________

Место работы, занимаемая должность родителей/законных представителей______________________________________________________

Адрес фактический _______________________________________________

Телефон (ы) родителей, законных представителей________________________

e-mail родителей/законных представителей______________________________

Приложение 2

к приказу МКУ «ЦБС»

от 02.03.2018 №30

УТВЕРЖДАЮ И.о.директора МКУ «ЦБС» __________Т.А.Штыкова «____»______________2018г.

Перечень должностей работников МКУ «ЦБС», уполномоченных на обработку персональных данных пользователей и несущих ответственность за нарушение режима защиты персональных данных

Директор

Заведующие обособленными структурными подразделениями (библиотеками)

Заведующие отделами

Библиотекари

Библиографы

Методисты

Программист

Приложение 3

к приказу МКУ «ЦБС»

от 02.03.2018 №30

Письменное согласие субъекта персональных данных на обработку

своих персональных данных

Я, _______________________________________________________________

(фамилия, имя, отчество)

Дата рождения (число) ________ (месяц) _____________ (год) _______________

Паспорт серия____________ номер ________________ когда выдан____________

кем выдан ____________________________________________________________

Место регистрации _____________________________________________________

Индекс_________________ область________________________________________

Район_________________________________________________________________

Город________________________________________________________________

Населённый пункт______________________________________________________

Улица_________________________________________________________________ Дом ________________Корпус _______________Квартира_____________________

Гражданство__________________Резидент_____________Не резидент___________

Идентификационный номер налогоплательщика (ИНН)________________________

Страховое свидетельство (СНИЛС)_________________________________________

даю своё согласие на обработку Муниципальным казённым учреждением «Централизованная библиотечная система города Троицка» (ИНН 7418020823, КПП 742401001, 457100 Челябинская область, город Троицк, улица Советская, д.33) персональных данных, указанных в настоящем письменном согласии, в порядке и на условиях, определённых Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных». Целью обработки моих персональных данных, а также сведений, указанных в настоящем письменном согласии, является исполнение ст. 207-232, главы 23, части 2 Налогового Кодекса Российской Федерации и Федерального закона от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учёте в системе обязательного пенсионного страхования». Обработка персональных данных осуществляется смешанным способом в выделенной сети. Информация доступна лишь для строго определённых сотрудников юридического лица, осуществляющего обработку. Письменное согласие действует на срок, указанный в соответствии с п.155. Перечня типовых управленческих документов, образующихся в деятельности организации, с указанием сроков хранения, утверждённого Росархивом 06.10.2000 г. Настоящее письменное согласие может быть отозвано путём предоставления в Муниципальное казённое учреждение «Централизованная библиотечная система города Троицка» заявления в простой письменной форме в соответствии с требованиями законодательства Российской Федерации.

НАСТОЯЩИМ Я ПОДТВЕРЖДАЮ ДОСТОВЕРНОСТЬ И ТОЧНОСТЬ УКАЗАННЫХ В ПИСЬМЕННОМ СОГЛАСИИ СВЕДЕНИЙ.

НАСТОЯЩИМ Я ДАЮ СВОЁ СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ УКАЗАННЫХ В ПИСЬМЕННОМ СОГЛАСИИ.

Дата заполнения________________ Подпись заявителя ___________________

Приложение 4

к приказу МКУ «ЦБС»

от 02.03.2018 №30

УТВЕРЖДАЮ:

И.о.директора МКУ «ЦБС »

________________Т.А.Штыкова

«______»_______________2018г.

ИНСТРУКЦИЯ

ответственного за организацию обработки персональных данных

ОБЩИЕ ПОЛОЖЕНИЯ

1.1 Данная Инструкция определяет основные обязанности и права ответственного за организацию обработки персональных данных в МКУ «ЦБС». 1.2. Ответственный за организацию обработки персональных данных является штатным сотрудником МКУ «ЦБС» и назначается приказом директора. 1.3. Решение вопросов организации защиты персональных данных в МКУ «ЦБС» входит в прямые служебные обязанности ответственного за организацию обработки персональных данных.

1.4. Ответственный за организацию обработки персональных данных обладает правами доступа к любым носителям персональных данных МКУ «ЦБС».

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

2.1. Автоматизированное рабочее место (АРМ) – персональный компьютер и подключенные к нему периферийные устройства – принтер, многофункциональные устройства, сканеры и т.д.

2.2. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) (ст. 3 ФЗ РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»).

2.3. Доступ к информации – возможность получения информации и её использования (ст. 2 ФЗ РФ от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации»).

2.4. Защита информации — деятельность по предотвращению утечки информации, несанкционированных и непреднамеренных воздействий на информацию, то есть процесс, направленный на достижение информационной безопасности.

2.5. Информация - сведения (сообщения, данные) независимо от формы их представления (ст. 2 ФЗ РФ от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации»).

2.6. Информационная система персональных данных (ИСПДн)– совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку

информационных технологий и технических средств (ст. 3 ФЗ РФ от 27.07.2006 г. N 152-ФЗ «О персональных данных»).

2.7. Несанкционированный доступ (НСД) – доступ к информации, хранящейся на различных типах носителей (бумажных, магнитных, оптических и т. д.) в компьютерных базах данных, файловых хранилищах, архивах, секретных частях и т. д. различных организаций путём изменения (повышения, фальсификации) своих прав доступа.

2.8. Носитель информации - любой материальный объект или среда, используемый для хранения или передачи информации.

2.9. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ст. 3 ФЗ РФ от 27.07.2006 г. №152-ФЗ «О персональных данных»).

2.10. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3ФЗ РФ от 27.07.2006 г. N 152-ФЗ «О персональных данных»).

2.11. Средство защиты информации (СЗИ) – техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации.

2.12. Угрозы безопасности персональных данных (УБПДн) - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных (ст. 19 ФЗ РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»).

2.13. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (ст. 3 ФЗ РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»).

III. ДОЛЖНОСТНЫЕ ОБЯЗАННОСТИ

Ответственный за организацию обработки персональных данных обязан:

3.1. Знать перечень и условия обработки персональных данных в МКУ «ЦБС».

3.2. Знать и предоставлять на утверждение директору МКУ «ЦБС» изменения к списку лиц, доступ которых к персональным данным необходим для выполнения ими своих служебных (трудовых) обязанностей.

3.3. Участвовать в определении полномочий пользователей ПДн, минимально необходимых им для выполнения служебных (трудовых) обязанностей.

3.4. Осуществлять учёт документов, содержащих персональные данные, их уничтожение, либо контроль процедуры их уничтожения.

3.5. Блокировать доступ к персональным данным при обнаружении нарушений порядка их обработки.

3.6. Реагировать на попытки несанкционированного доступа к информации в установленном ст.4 настоящей Инструкции.

3.7. Контролировать осуществление мероприятий по установке и настройке средств защиты информации.

3.8. Проводить занятия и инструктажи с сотрудниками и руководителями структурных подразделений о порядке работы с персональными данными и изучение руководящих документов в области обеспечения безопасности персональных данных.

3.9. Проводить разбирательства и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, нарушения правил работы с документами, содержащими персональные данные, или по другим нарушениям, которые могут привести к снижению уровня защищённости персональных данных.

3.10. Организовать учет обращений субъектов персональных данных, контролировать заполнение «Журнала учета обращений субъектов персональных данных».

3.11. Представлять интересы МКУ «ЦБС» при проверках надзорных органов в сфере обработки персональных данных.

3.12. Знать законодательство РФ о персональных данных, следить за его изменениями.

3.13. Выполнять иные мероприятия, требуемые нормативными документами по защите персональных данных.

ДЕЙСТВИЯ ПРИ ОБНАРУЖЕНИИ ПОПЫТОК НЕСАНКЦИОНИРОВАННОГО ДОСТУПА

4.1. К попыткам несанкционированного доступа относятся:

4.1.1. Сеансы работы с персональными данными незарегистрированных пользователей, или пользователей, нарушивших установленную периодичность доступа, или срок действия полномочий которых истёк, или превышающих свои полномочия по доступу к данным;

4.2. При выявлении факта несанкционированного доступа ответственный за организацию обработки персональных данных обязан:

4.2.1. Прекратить несанкционированный доступ к персональным данным;

4.2.2. Доложить директору МКУ «ЦБС» служебной запиской о факте несанкционированного доступа, его результате (успешный, неуспешный) и предпринятых действиях;

4.2.3. Известить руководителя структурного подразделения, в котором работает пользователь, от имени учетной записи которого была осуществлена попытка несанкционированного доступа, о факте несанкционированного доступа;

ПРАВА

Ответственный за организацию обработки персональных данных имеет право:

5.1. Требовать от сотрудников выполнения локальных нормативно-правовых актов в части работы с персональными данными.

5.2. Блокировать доступ к персональным данным любых пользователей, если это необходимо для предотвращения нарушения режима защиты персональных данных.

5.3. Проводить служебные расследования и опрашивать пользователей по фактам несоблюдения условий хранения носителей персональных данных, или по другим нарушениям, которые могут привести к снижению уровня защищённости персональных данных.

ОТВЕТСТВЕННОСТЬ

6.1. Ответственный за организацию обработки персональных данных несёт персональную ответственность за соблюдение требований настоящей Инструкции, за качество проводимых им работ по обеспечению безопасности персональных данных.

6.2. Ответственный за организацию обработки персональных данных при нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несёт дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации.

6.3. Разглашение персональных данных субъекта (передача их посторонним лицам, в том числе другим сотрудникам, не имеющим к ним допуск), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные субъекта, а также иные нарушения обязанностей по их защите и обработке, установленных локальными нормативно-правовыми актами (приказами, распоряжениями) МКУ «ЦБС», влечет наложение на сотрудника, имеющего доступ к персональным данным, дисциплинарных взысканий в виде: замечания, выговора, увольнения. Сотрудник МКУ «ЦБС», имеющий доступ к персональным данным субъекта и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба МКУ «ЦБС» (в соответствии с п.7 ст. 243 Трудового кодекса РФ).

6.3.1. В отдельных случаях, при разглашении персональных данных, сотрудник, совершивший указанный проступок, несет ответственность в соответствии со статьей 13.14 Кодекса об административных правонарушениях РФ.

6.4. В случае незаконного сбора или публичного распространения информации о частной жизни лица (нарушения неприкосновенности частной жизни), предусмотрена ответственность в соответствии со ст. 137 Уголовного кодекса РФ.

Ознакомлен(а)___________________________________________ «___» ________20___г.

^{(подпись, расшифровка подписи)}

Приложение 5

к приказу МКУ «ЦБС»

от 02.03.2018 №30

УТВЕРЖДАЮ:

И.о. директора МКУ «ЦБС»

________________Т.А.Штыкова

«______»_______________2018г.

ИНСТРУКЦИЯ

Ответственного за обеспечение безопасности персональных данных в ИСПДн Муниципального казенного учреждения «Централизованная библиотечная система города Троицка»

ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая инструкция определяет основные обязанности и права ответственного за обеспечение безопасности персональных данных в информационной системе персональных данных (ИСПДн) Муниципального казенного учреждения «Централизованная библиотечная система города Троицка» (далее МКУ «ЦБС»).

1.2. Ответственный за обеспечение безопасности персональных данных назначается приказом директора МКУ «ЦБС».

1.3. Ответственный за обеспечение безопасности персональных данных в своей работе руководствуется требованиями руководящих документов по безопасности информации, положениями нормативно-правовых актов РФ, приказами, а также положениями настоящей Инструкции.

1.4. Ответственный за обеспечение безопасности персональных данных является лицом, ответственным за выявление инцидентов в информационной системе и реагирование на них.

ОСНОВНЫЕ ОБЯЗАННОСТИ

Ответственный за обеспечение безопасности персональных данных обязан:

2.1. Знать перечень персональных данных и технических средств, входящих в информационные системы персональных данных МКУ «ЦБС».

2.2. Представлять на утверждение список лиц, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения служебных (трудовых) обязанностей, а также изменений к нему.

2.3. По указанию руководства своевременно и точно отражать изменения в организационно-распорядительных и нормативных документах, касающихся обеспечения безопасности ПДн в МКУ «ЦБС».

2.4. Контролировать операции по безопасному удалению личных файлов пользователя при прекращении полномочий учетной записи.

2.5. Осуществлять контроль выполнения требований локальных нормативных актов по защите ИСПДн работниками МКУ «ЦБС».

2.6. Выполнять функции администратора безопасности ИСПДн МКУ «ЦБС» по обеспечению информационной безопасности.

2.7. Проводить анализ воздействия изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение безопасности ПДн.

2.8. Обеспечить прекращение обработки персональных данных пользователям информационной системы при обнаружении нарушений порядка обработки персональных данных.

2.9. Периодически контролировать целостность печатей (пломб, наклеек) на устройствах защищенных АРМ.

2.10. Проводить работу по выявлению возможных каналов вмешательства в процесс функционирования ИС и осуществления НСД к информации и техническим средствам АРМ.

2.11. Участвовать в расследовании причин совершения нарушений и возникновения серьезных кризисных ситуаций в результате НСД.

ПРАВА

Ответственный за обеспечение безопасности ИСПДн имеет право:

3.1. Требовать от пользователей ИСПДн выполнения требований локальных нормативных актов по защите персональных данных, в том числе выполнение инструкций, а также проводить проверку соблюдения данных требований.

3.2. Проводить служебные расследования по фактам нарушения установленных требований обеспечения информационной безопасности, несанкционированного доступа, утраты, порчи защищаемой информации и технических компонентов ИСПДн.

3.3. Вносить свои предложения по совершенствованию мер защиты в ИСПДн.

ДЕЙСТВИЯ ПРИ ОБНАРУЖЕНИИ ПОПЫТОК НЕСАНКЦИОНИРОВАННОГО ДОСТУПА

4.1. К попыткам несанкционированного доступа относятся:

4.1.1. Сеансы работы с персональными данными незарегистрированных пользователей, пользователей, нарушивших установленную периодичность доступа, или срок действия полномочий которых истек, или превышающих свои полномочия по доступу к данным.

4.1.2. Действия постороннего лица, пытающегося получить доступ (или уже получившего доступ) к ИСПДн, при использовании учетной записи администратора или другого пользователя ИСПДн, методом подбора пароля, использования пароля, разглашенного владельцем учетной записи или любым другим методом.

4.2. При выявлении факта несанкционированного доступа Ответственный обязан:

4.2.1. по возможности пресечь дальнейший несанкционированный доступ к персональным данным;

4.2.2. доложить директору МКУ «ЦБС» служебной запиской о факте несанкционированного доступа, его результате (успешный, неуспешный) и предпринятых действиях;

4.2.3. известить руководителя структурного подразделения, в котором работает пользователь, от имени учетной записи которого была осуществлена попытка несанкционированного доступа, о факте несанкционированного доступа;

4.2.4. известить ответственного за организацию обработки персональных данных о факте несанкционированного доступа.

ОТВЕТСТВЕННОСТЬ ЗА ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Ответственный за обеспечение безопасности персональных данных несет ответственность за:

5.1.1. соблюдение требований настоящей Инструкции, а также других нормативных документов в области защиты информации;

5.1.2. все действия, совершенные от имени его учетной записи или системных учетных записей, если не доказан факт несанкционированного использования учетных записей.

5.2. Ответственный за обеспечение безопасности персональных данных, за разглашение информации ограниченного распространения, а также за нарушение порядка работы с документами или машинными носителями, содержащими такую информацию, может быть привлечен к дисциплинарной или иной, предусмотренной законодательством ответственности.

Ознакомлен(а)___________________________________________ «___» ________20___г.

^{(подпись, расшифровка подписи)}

Приложение 6

к приказу МКУ «ЦБС»

от 02.03.2018 №30

УТВЕРЖДЕНО:

И.о.директора МКУ «ЦБС»

________________Т.А.Штыкова

«______»_______________2018г.

ИНСТРУКЦИЯ

пользователя информационной системы

персональных данных

ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая инструкция регламентирует обязанности работников в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющих доступ к аппаратным средствам, программному обеспечению и данным информационной системы персональных данных (далее ИСПДн) МКУ «ЦБС».

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

2.1. Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

2.2. Автоматизированное рабочее место (АРМ) – персональный компьютер и подключенные к нему периферийные устройства – принтер, многофункциональные устройства, сканеры и т.д.

2.3. Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель (ст. 2 ФЗ РФ от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации»).

2.4. Доступ к информации – возможность получения информации и её использования (ст. 2 ФЗ РФ от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации»).

2.5. Защита информации — деятельность по предотвращению утечки информации, несанкционированных и непреднамеренных воздействий на информацию, то есть процесс, направленный на достижение информационной безопасности.

2.6. Информация - сведения (сообщения, данные) независимо от формы их представления (ст. 2 ФЗ РФ от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации»).

2.7. Информационная система персональных данных (ИСПДн) - совокупность

содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств (ст. 3 ФЗ РФ от 27.07.2006 г. N 152-ФЗ «О персональных данных»).

2.8. Компрометация пароля – раскрытие, обнаружение или утеря пароля.

2.9. Несанкционированный доступ (НСД) – доступ к информации, хранящейся на различных типах носителей (бумажных, магнитных, оптических и т. д.) в компьютерных базах данных, файловых хранилищах, архивах, секретных частях и т. д. различных организаций путём изменения (повышения, фальсификации) своих прав доступа.

2.10. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ст. 3 ФЗ РФ от 27.07.2006 г. N152-ФЗ «О персональных данных»).

2.11. Пароль - секретная комбинация цифр, знаков, слов, или осмысленное предложение, служащие для защиты информации от несанкционированного доступа к информационным ресурсам.

2.12. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 ФЗ РФ от 27.07.2006 г. N 152-ФЗ «О персональных данных»).

2.13. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц (ст. 3 ФЗ РФ от 27.07.2006 г. N 152-ФЗ «О персональных данных»).

2.14. Средство защиты информации (СЗИ) – техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации.

III. ОБЩИЕ ОБЯЗАННОСТИ СОТРУДНИКОВ

Каждый сотрудник МКУ «ЦБС», являющийся пользователем ИСПДн, обязан:

3.1. Строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами ИСПДн.

3.2. Знать и строго выполнять правила работы со средствами защиты информации, установленными на его автоматизированном рабочем месте (далее АРМ).

3.3. Соблюдать правила работы с паролем своей учётной записи.

3.4. Немедленно вызывать администратора безопасности ИСПДн и поставить в известность руководителя структурного подразделения при обнаружении:

3.4.1. нарушений целостности пломб (наклеек, нарушении или несоответствии номеров печатей) на аппаратных средствах АРМ или иных фактов совершения в его отсутствие попыток несанкционированного доступа к защищаемой АРМ;

3.4.2. несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств АРМ;

3.4.3. отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию АРМ, выхода из строя или неустойчивого функционирования узлов АРМ или периферийных устройств (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения;

3.4.4. некорректного функционирования установленных на АРМ технических средств защиты;

3.4.5. непредусмотренных отводов кабелей и подключенных к АРМ дополнительных устройств.

3.5. Всем работникам МКУ «ЦБС», являющимся пользователями ИСПДн, категорически запрещается:

3.5.1. использовать компоненты программного и аппаратного обеспечения ИСПДн МКУ «ЦБС» в неслужебных целях;

3.5.2. самовольно вносить какие-либо изменения в конфигурацию АРМ или устанавливать в АРМ любые программные и аппаратные средства, кроме выданных или разрешённых к использованию ответственным за обеспечение безопасности персональных данных;

3.5.3. оставлять без присмотра своё АРМ не активизировав блокировки доступа или оставлять своё АРМ включенным по окончании работы;

3.5.4. умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к нарушению безопасности персональных данных.

ОБЕСПЕЧЕНИЕ СОХРАННОСТИ ИНФОРМАЦИИ

4.1. Для обеспечения сохранности электронных информационных ресурсов МКУ «ЦБС» необходимо соблюдать следующие требования:

4.1.1. для копирования информации не должны использоваться непроверенные на наличие компьютерных вирусов и других вредоносных программ носители информации.

4.2. Субъектам доступа запрещается:

4.2.1. установка и использование при работе с электронно-вычислительными машинами вредоносных программ, ведущих к блокированию работы сети;

4.2.2. самовольное изменение сетевых адресов;

4.2.3. самовольное вскрытие блоков электронно-вычислительных машин, модернизация или модификация электронно-вычислительных машин и программного обеспечения;

4.2.4 несанкционированная передача компьютеров с прописанными сетевыми настройками. Передача компьютеров из одного подразделения в другое производится только администратором безопасности ИСПДн с предварительно удаленными сетевыми настройками.

4.3. Сведения, содержащиеся в электронных документах и базах данных МКУ «ЦБС», должны использоваться только в служебных целях в рамках полномочий сотрудника, работающего с соответствующими материалами.

ПАРОЛЬНАЯ ЗАЩИТА

5.1. Личные пароли выбираться пользователями информационной системы самостоятельно с учетом следующих требований:

5.1.1. длина пароля должна быть не менее 6 символов;

5.1.2.в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);

5.1.3. пароль не должен включать в себя имя пользователя, легко вычисляемые сочетания символов (имена, фамилии, известные названия, словарные и жаргонные слова ит.д.), последовательности символов и знаков (111, qwerty, абвгд и т.д.), общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.), аббревиатуры, клички домашних животных, номера автомобилей, телефонов и другие значимые сочетаний букв и знаков, которые можно угадать, основываясь на информации о пользователе;

5.1.4. при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6-ти позициях.

5.2. Сотрудникам допускается использовать пароли, составленные из первых букв слов запоминающихся высказываний в разном регистре, смешанные в произвольном порядке со специальными символами (например Кожзгсф7!)

.5.3. Для обеспечения возможности использования имён и паролей некоторых сотрудников в их отсутствие (например, в случае возникновении нештатных ситуаций, форс-мажорных обстоятельств и т.п.), сотрудники обязаны сразу же после установки своих паролей передавать их на хранение вместе с именами своих учетных записей администратору безопасности ИСПДн в запечатанном конверте или опечатанном пенале.

5.4. При вводе пароля пользователю необходимо исключить произнесение его вслух, возможность его подсматривания посторонними лицами (человек за спиной, наблюдение человеком за движением пальцев в прямой видимости или в отраженном свете) и техническими средствами (стационарными и встроенными в мобильные телефоны видеокамерами и т.п.).

5.5. Смена паролей должна проводиться регулярно, не реже одного раза в 6 месяцев, самостоятельно каждым пользователем.

5.6. Запрещается записывать пароли на бумаге, в файле, электронной записной книжке, мобильном телефоне и любых других предметах и носителях информации.

5.7. Запрещается сообщать свой пароль полностью или частично другим пользователям, запрещается спрашивать или подсматривать пароль других пользователей.

5.8. Запрещается регистрировать других пользователей в ИСПДн со своим личным паролем, запрещается входить в ИСПДн под учётной записью и паролем другого пользователя.

5.9. В случае утери или компрометации (разглашения, утраты) или подозрения в компрометации пароля пользователя должна быть немедленно проведена внеплановая процедура смены пароля.

АНТИВИРУСНАЯ ЗАЩИТА

6.1. При возникновении подозрения на наличие вредоносного программного обеспечения (частые ошибки в работе программ, появление посторонних графических и звуковых эффектов, искажения данных, неконтролируемое пропадание файлов, появление сообщений о системных ошибках, замедление работы компьютера и т.п.) самостоятельно или вместе с администратором безопасности ИСПДн провести внеочередной антивирусный контроль своего АРМ. При самостоятельном проведении антивирусного контроля – уведомить о результатах администратора безопасности ИСПДн для определения им факта наличия или отсутствия вредоносного программного обеспечения.

6.2. В случае появления информационного окна средства антивирусной защиты, сигнализирующем об обнаружении вредоносного программного обеспечения:

6.2.1. приостановить обработку данных;

6.2.2. немедленно поставить в известность о факте обнаружения вредоносного программного обеспечения администратора безопасности ИСПДн, владельца заражённых файлов, а также смежные структурные подразделения, использующие эти файлы в работе;

6.2.3. совместно с владельцем файлов, заражённых вредоносным программным обеспечением, провести анализ необходимости дальнейшего их использования;

6.2.4. произвести лечение или уничтожение заражённых файлов (при необходимости для выполнения требований данного пункта привлечь администратора безопасности ИСПДн).

VII. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ПРАВИЛ РАБОТЫ

7.1. Каждый пользователь ИСПДн несёт персональную ответственность за соблюдение требований настоящей Инструкции и за все действия, совершенные от имени его учётной записи в ИСПДн, если с его стороны не было предпринято необходимых действий для предотвращения несанкционированного использования его учётной записи.

7.2. За разглашение персональных данных и нарушение порядка работы со средствами ИСПДн, содержащими персональные данные, сотрудники могут быть привлечены к гражданской, уголовной, административной, дисциплинарной и иной предусмотренной законодательством Российской Федерации ответственности.

7.3. Разглашение персональных данных субъекта (передача их посторонним лицам, в том числе другим сотрудникам, не имеющим к ним допуск), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные субъекта, а также иные нарушения обязанностей по их защите и обработке, влечет наложение на сотрудника, имеющего доступ к персональным данным, дисциплинарных взысканий в виде: замечания, выговора, увольнения.

7.4. Сотрудник МКУ «ЦБС», имеющий доступ к персональным данным субъекта и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба МКУ «ЦБС» (в соответствии с п.7 ст. 243 Трудового кодекса РФ).

7.5. В отдельных случаях, при разглашении персональных данных, сотрудник, совершивший указанный проступок, несет ответственность в соответствии со статьей 13.14Кодекса об административных правонарушениях РФ.

7.6. В случае незаконного сбора или публичного распространения информации о частной жизни лица (нарушения неприкосновенности частной жизни), предусмотрена ответственность в соответствии со ст. 137 Уголовного кодекса РФ.

Ознакомлен(а)___________________________________________ «___» ________20___г.

^{(подпись, расшифровка подписи)}

ЛИСТ ОЗНАКОМЛЕНИЯ

с «Инструкцией пользователя информационной системы персональных данных»

С приказом ознакомлены:

Ляхович С.Г.______________ Клименкова М.М._____________

Фролова И.А._____________ Каримова Р.Х.________________

Штыкова Т.А._____________ Мухамедсафина И.Р.__________

Бушуева И.А._____________ Быкова Г.И._________________

Сабат Г.А.________________ Агеева М.Н.________________

Фурманова Н.А.___________ Серазетдинова Ф.Т. _________

Азаренкова С.В.____________ Овсянникова Л.П. __________