О назначении ответственных

Приложение 1

к приказу МБУ СШ № 3

г. Ставрополя

от «___» _____2021 г. № ______

ИНСТРУКЦИЯ

ответственного за организацию обработки персональных данных

в МБУ СШ № 3г. Ставрополя

1. Термины и определения
2. Информационная система персональных данных– совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
4. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
5. Средство защиты информации – программное обеспечение, программно-аппаратное обеспечение, аппаратное обеспечение, вещество или материал, предназначенное или используемое для защиты информации.
6. Общие положения
7. Настоящая Инструкция определяет функции, права и ответственность ответственного за организацию обработки персональных данных (далее – Ответственный) в МБУ СШ № 3г. Ставрополя (далее – Учреждение).
8. Настоящая Инструкция является дополнением к действующим нормативным документам по вопросам обеспечения безопасности персональных данных (далее – ПДн), не исключает обязательного выполнения их требований.
9. Ответственный назначается приказом Директора Учреждения.
10. Ответственный непосредственно подчиняется Директору Учреждения.
11. На время отсутствия (болезнь, отпуск, пр.) Ответственного его обязанности возлагаются на работника, назначенного и допущенного в установленном порядке.
12. Функциональные обязанности
13. Ответственный выполняет следующие функции:
14. осуществляет внутренний контроль за соблюдением работниками, обрабатывающими ПДн в информационных системах персональных данных (далее – ИСПДн) и без использования средств автоматизации требований законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн;
15. взаимодействует с уполномоченными органами государственной власти Российской Федерации, органами по аттестации, испытательными лабораториями по вопросам обработки и защиты ПДн (при проведении государственного контроля и надзора, аттестации, сертификации).
16. актуализирует перечень должностей работников, имеющих доступ к обработке ПДн;
17. актуализирует перечень работников, допущенных в помещения, в которых осуществляется обработка ПДн;
18. доводит до сведения работников, обрабатывающих ПДн положения законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн, в том числе требований к защите ПДн;
19. организовывает прием и обработку обращений и запросов субъектов ПДн или их представителей, чьи ПДн обрабатываются в Учреждении, или их представителей, и осуществляет контроль за приемом и обработкой таких обращений и запросов;
20. разрабатывает и корректирует эксплуатационную документацию и организационно-распорядительные документы по защите ПДн.
21. принимает участие в деятельности:
22. по подготовке, пересмотру, уточнению локальных актов по защите информации;
23. по аттестации объектов информатизации.
24. Права
25. Ответственный имеет право:
26. требовать от работников, обрабатывающих ПДн, соблюдения установленной технологии обработки ПДн и выполнения инструкций по обеспечению безопасности информации;
27. инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения защиты, несанкционированного доступа, утраты, уничтожения ПДн и технических средств, обрабатывающих ПДн;
28. требовать прекращения обработки ПДн в случае нарушения установленного порядка работ или нарушения функционирования средств и систем защиты информации;
29. участвовать в анализе ситуаций, касающихся функционирования средств защиты информации и расследования фактов несанкционированного доступа;
30. подавать свои предложения по, совершенствованию организационных и технических мер по защите ПДн.
31. Ответственность
32. На Ответственного возлагается персональная ответственность за качество выполняемых им функций по обеспечению защиты ПДн.
33. Ответственный несет ответственность по действующему законодательству Российской Федерации за разглашение сведений ограниченного доступа, ставших ему известными при выполнении служебных обязанностей, в том числе предусмотренных настоящей Инструкцией.
34. Срок действия и порядок внесения изменений
35. Настоящая Инструкция вступает в силу с момента ее утверждения и действует бессрочно.
36. Настоящая Инструкция подлежит пересмотру не реже одного раза в три года.
37. Изменения и дополнения в настоящую Инструкцию вносятся приказом Директора Учреждения.

Приложение № 2

к приказу МБУ СШ № 3

г. Ставрополя

от «___» ________ 2021 г. № ______

ИНСТРУКЦИЯ

ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных МБУ СШ № 3г. Ставрополя

1. Термины и определения
2. Доступность информации – свойство безопасности информации, при котором субъекты доступа, имеющие право доступа к информации в соответствии с локальными актами и законодательством Российской Федерации, могут беспрепятственно реализовывать данное право.
3. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
4. Инцидент информационной безопасности – любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность. Инцидентами информационной безопасности являются:
   1. утрата услуг, оборудования или устройств;
   1. системные сбои или перегрузки;
   1. ошибки пользователей;
   1. несоблюдение политики или рекомендаций по информационной безопасности;
   1. нарушение физических мер защиты;
   1. неконтролируемые изменения систем;
   1. сбои программного обеспечения и отказы технических средств;
   1. нарушение правил доступа.
5. Конфиденциальность информации – свойство безопасности информации, при котором доступ к информации осуществляют только те субъекты доступа, которые имеют на это право в соответствии с локальными актами и законодательством Российской Федерации.
6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
7. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
8. Средство защиты информации – программное обеспечение, программно-аппаратное обеспечение, аппаратное обеспечение, вещество или материал, предназначенное или используемое для защиты информации.
9. Целостность информации – свойство безопасности информации, при котором изменение информации осуществляют только те субъекты доступа, которые имеют на это право в соответствии с локальными актами и законодательством Российской Федерации.
10. Общие положения
11. Настоящая Инструкция определяет функции, обязанности права ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных (далее – Ответственный) МБУ СШ № 3г. Ставрополя (далее – Учреждение).
12. Настоящая Инструкция является дополнением к действующим нормативным документам по вопросам обеспечения безопасности персональных данных (далее – ПДн), не исключает обязательного выполнения их требований.
13. Ответственный назначается приказом Директора Учреждения.
14. На время отсутствия (болезнь, отпуск, пр.) Ответственного его обязанности возлагаются на работника, назначенного и допущенного в установленном порядке.
15. Функциональные обязанности
16. Ответственный выполняет следующие функции:
    1. Управляет доступом пользователей в ИСПДн;
    1. Управляет полномочиями пользователей в ИСПДн;
    1. Поддерживает установленные правила разграничения доступав ИСПДн;
    1. Управляет (администрирует) системой защиты информации (далее – СиЗИ)ИСПДн:
    1. управляет средствами защиты информации (далее – СЗИ)
    1. управляет программным обеспечением СЗИ;
    1. восстанавливает работоспособность СЗИ;
    1. устанавливает обновления программного обеспечения СЗИ, выпускаемых разработчиками (производителями) СЗИ;
    1. анализирует события в ИСПДн, связанные с защитой информации (события безопасности);
    1. информирует пользователей об угрозах безопасности информации;
    1. информирует пользователей о правилах эксплуатации СЗИ;
    1. обучает пользователей работе со СЗИ;
    1. управляет доступом к съемным машинным носителям информации, используемым в ИСПДн (определяет должностных лиц, имеющих доступ к съемным машинным носителям информации);
    1. сопровождает функционирование СиЗИ в ходе ее эксплуатации;
    1. поддерживает конфигурацию СиЗИ (структуру СиЗИ, состав, места установки и параметры настройки СЗИ, программного обеспечения и технических средств) в соответствии с эксплуатационной документацией на СиЗИ (поддержание базовой конфигурации СиЗИ);
    1. определяет лиц, которым разрешены действия по внесению изменений в базовую конфигурацию СиЗИ;
    1. управляет изменениями базовой конфигурации СиЗИ, в том числе:
    1. определяет типы возможных изменений;
    1. разрешает или отказывает во внесении изменений;
    1. документирует действия по внесению изменений;
    1. хранит данные об изменениях.
    1. Поддерживает конфигурацию ИСПДн (структуру ИСПДн, состав, места установки и параметры программного обеспечения и технических средств) в соответствии с эксплуатационной документацией на ИСПДн;
    1. Анализирует потенциальные воздействия планируемых изменений в базовой конфигурации СиЗИ на обеспечение защиты информации, возникновение дополнительных угроз безопасности информации и работоспособность ИСПДн;
    1. Определяет параметры настройки программного обеспечения, включая программное обеспечение СЗИ, состава и конфигурации технических средств и программного обеспечения до внесения изменений в базовую конфигурацию ИСПДн и СиЗИ;
    1. Выявляет инциденты (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования ИСПДн и (или) к возникновению угроз безопасности информации (далее– Инциденты), и реагирует на них.
    1. Обнаруживает и идентифицирует Инциденты, в том числе:
    1. отказы в обслуживании;
    1. сбои (перезагрузки) в работе СЗИ;
    1. нарушения правил разграничения доступа;
    1. неправомерные действия по сбору информации;
    1. иные события, приводящие к возникновению Инцидентов.
    1. Анализирует Инциденты, в том числе определяет источники и причины возникновения Инцидентов, а также оценивает их последствия;
    1. Планирует меры по устранению Инцидентов, в том числе:
    1. по восстановлению ИСПДн и ее сегментов в случае отказа в обслуживании или после сбоев;
    1. устранению последствий нарушения правил разграничения доступа, неправомерных действий по сбору информации, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению Инцидентов.
    1. Планирует и принимает меры по предотвращению повторного возникновения Инцидентов.
    1. Контролирует обеспечение уровня защищенности ПДн, обрабатываемых в ИСПДн:
    1. контролирует события безопасности и действия пользователей в ИСПДн;
    1. контролирует (анализирует) уровень защищенности ПДн;
    1. контролирует перемещение съемных машинных носителей информации за пределы контролируемой зоны лицами, которым оно необходимо для выполнения своих должностных обязанностей (функции);
    1. анализирует и оценивает функционирование СиЗИИСПДн, включая выявление, анализ и устранение недостатков в функционировании СиЗИИСПДн;
    1. выполняет периодический анализ изменения угроз безопасности ПДн в ИСПДн, возникающих в ходе ее эксплуатации, и принятие мер защиты информации в случае возникновения новых угроз безопасности ПДн;
    1. документирует процедуры и результаты контроля (мониторинга) за обеспечением уровня защищенности ПДн, содержащихся в ИСПДн;
    1. принимает решения по результатам контроля (мониторинга) за обеспечением уровня защищенности ПДн о доработке (модернизации) СиЗИИСПДн.
    1. Ведет учет:
    1. используемых шифровальных (криптографических) СЗИ в ИСПДн, эксплуатационной и технической документации к ним;
    1. съемных машинных носителей (при их наличии), используемых в ИСПДн для хранения и обработки ПДн.
    1. Обеспечивает защиту информации при выводе из эксплуатации ИСПДн или после принятия решения об окончании обработки информации:
    1. обеспечивает архивирование информации, содержащейся в ИСПДн (архивирование должно осуществляться при необходимости дальнейшего использования);
    1. обеспечивает уничтожение (стирание) данных и остаточной информации со съемных машинных носителей информации, при необходимости передачи съемного машинного носителя информации другому пользователю ИСПДн или в сторонние организации для ремонта, технического обслуживания или дальнейшего уничтожения;
    1. при выводе из эксплуатации съемных машинных носителей информации, на которых осуществлялись хранение и обработка ПДн, осуществляет физическое уничтожение этих съемных машинных носителей информации.
17. Права
18. Ответственный имеет право:
    1. требовать от работников – пользователей ИСПДн соблюдения установленной технологии обработки ПДн и выполнения требований локальных нормативных актов и иной организационно-распорядительной документации по обеспечению безопасности ПДн;
    1. инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения защиты, несанкционированного доступа, утраты, порчи информации ограниченного доступа и технических средств, входящих в состав ИСПДн;
    1. требовать прекращения обработки ПДн в случае нарушения установленного порядка работ или нарушения функционирования СиЗИ;
    1. участвовать в анализе ситуаций, касающихся функционирования СЗИ и расследования фактов несанкционированного доступа к ПДн;
    1. подавать свои предложения по совершенствованию организационных и технических мер по защите ПДн.
19. Ответственность
20. Ответственному категорически запрещается:
    1. использовать компоненты программного и аппаратного обеспечения ИСПДн в неслужебных (личных) целях;
    1. умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках СЗИ, которые могут привести к инцидентам информационной безопасности.
21. На Ответственного возлагается персональная ответственность за качество проводимых им работ по обеспечению защиты ПДн.
22. Ответственный несет ответственность по действующему законодательству за разглашение сведений ограниченного доступа, ставших ему известными при выполнении служебных обязанностей, в том числе предусмотренных настоящей Инструкцией.
23. Срок действия и порядок внесения изменений
24. Настоящая Инструкция вступает в силу с момента ее утверждения и действует бессрочно.
25. Настоящая Инструкция подлежит пересмотру не реже одного раза в три года.
26. Изменения и дополнения в настоящую Инструкцию вносятся приказом Директора Учреждения.

                                                                                   Приложение № 3

к приказу МБУ СШ № 3

г. Ставрополя

                                                                      от «___» _______ 2021 г. № ______

ИНСТРУКЦИЯ

администратора информационных систем персональных данных МБУ СШ № 3

г. Ставрополя

1. Термины и определения
2. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
3. Инцидент информационной безопасности– любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность. Инцидентами информационной безопасности являются:
   1. утрата услуг, оборудования или устройств;
   1. системные сбои или перегрузки;
   1. ошибки пользователей;
   1. несоблюдение политики или рекомендаций по информационной безопасности;
   1. нарушение физических мер защиты;
   1. неконтролируемые изменения систем;
   1. сбои программного обеспечения и отказы технических средств;
   1. нарушение правил доступа.
4. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
5. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
6. Средство защиты информации – программное обеспечение, программно-аппаратное обеспечение, аппаратное обеспечение, вещество или материал, предназначенное или используемое для защиты информации.
7. Общие положения
8. Настоящая Инструкция определяет функции, обязанности и права администратора информационных систем персональных данных(далее – Администратор ИСПДн) ГБУ ДО «КЦЭТК»(далее – Учреждение).
9. Настоящая Инструкция является дополнением к действующим нормативным документам по вопросам обеспечения безопасности персональных данных (далее – ПДн), не исключает обязательного выполнения их требований.
10. Администратор ИСПДн назначается приказом Директора Учреждения.
11. На время отсутствия (болезнь, отпуск, пр.) Администратора ИСПДн, его обязанности возлагаются на работника, назначенного и допущенного в установленном порядке.
12. Функциональные обязанности
13. Администратор ИСПДн выполняет следующие функции:
14. Управляет параметрами ИСПДн:
    1. управляет заведением и удалением учетных записей пользователей;
    1. управляет полномочиями пользователей;
    1. поддерживает правила разграничения доступа;
    1. управляет параметрами настройки программного обеспечения;
    1. управляет учетными записями пользователей программных средств обработки ПДн;
    1. оказывает помощь в смене и восстановлению паролей;
    1. управляет установкой обновлений программного обеспечения;
    1. регистрирует события в ИСПДн, связанные с защитой ПДн (события безопасности);
    1. поддерживает конфигурацию ИСПДн (структуру ИСПДн, состава, мест установки и параметров программного обеспечения и технических средств) в соответствии с эксплуатационной документацией на ИСПДн;
    1. восстанавливает работоспособность программного обеспечения и технических средств ИСПДн.
15. Выявляет инциденты (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования ИСПДн и (или) к возникновению угроз безопасности ПДн:
    1. отказы в обслуживании;
    1. сбои (перезагрузки) в работе технических средств и программного обеспечения;
    1. нарушения правил разграничения доступа;
    1. неправомерные действия по сбору ПДн;
    1. иные события, приводящие к возникновению инцидентов.
16. Своевременно информирует ответственного за обеспечение безопасности ПДн в ИСПДн, о возникновении инцидентов в ИСПДн;
17. Принимает меры по устранению инцидентов, в том числе:
    1. по восстановлению ИСПДн и ее сегментов в случае отказа в обслуживании или после сбоев;
    1. по устранению последствий нарушения правил разграничения доступа, несанкционированного доступа к ПДн, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов.
18. Ведет учет пользователей ИСПДн;
19. Принимает участие в деятельности по:
    1. подготовке, пересмотру, уточнению локальных актов по защите ПДн;
    1. аттестации объектов информатизации.
20. Права
21. АдминистраторИСПДн имеет право:
    1. требовать от работников – пользователей ИСПДн соблюдения установленной технологии обработки ПДн и выполнения требований инструкций по обеспечению безопасности ПДн;
    1. инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения защиты, несанкционированного доступа, утраты, порчи защищаемых ПДн и технических средств, входящих в состав ИСПДн;
    1. требовать прекращения обработки ПДн в случае нарушения установленного порядка работ или нарушения функционирования системы защиты ПДн;
    1. участвовать в анализе ситуаций, касающихся функционирования средств защиты информации и расследования фактов несанкционированного доступа;
    1. подавать свои предложения по совершенствованию организационных и технических мер по защите ПДн.
22. Ответственность
23. Администратору ИСПДн категорически запрещается:
    1. использовать компоненты программного и аппаратного обеспечения ИСПДн в неслужебных (личных) целях;
    1. умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к инцидентам информационной безопасности.
24. На Администратора ИСПДн возлагается персональная ответственность за качество проводимых им работ по обеспечению бесперебойного и стабильного функционирования ИСПДн.
25. Администратор несет ответственность по действующему законодательству за разглашение сведений ограниченного доступа, ставших ему известными при выполнении служебных обязанностей, в том числе предусмотренных настоящей Инструкцией.
26. Срок действия и порядок внесения изменений
27. Настоящая Инструкция вступает в силу с момента ее утверждения и действует бессрочно.
28. Настоящая Инструкция подлежит пересмотру не реже одного раза в три года.
29. Изменения и дополнения в настоящую Инструкцию вносятся приказом Директора Учреждения.

ЛИСТ ОЗНАКОМЛЕНИЯ

с приказом МБУ СШ № 3 г. Ставрополя»

от «___» ____________ 2021 г. № ______

«О назначении ответственных»

№ п/п	Фамилия имя отчество	Должность	Дата ознакомления	Подпись
1	Деркачева Ольга Юрьевна	Заместитель директора	«___» ___ 202__ г.
2	Мартиросова Нина Алексеевна	Инструктор-методист физкультурно-спортивной организации	«___» ___ 202__ г.
3	Крыжановская Валентина Алексеевна	Тренер	«___» ___ 202__ г.
4	Крыжановский Алексей Анатольевич	Заместитель директора	«___» ___ 202__ г.