
Приложение 1
к приказу МБУ СШ № 3
г. Ставрополя
от «___» _____2021 г. № ______
ИНСТРУКЦИЯ
ответственного за организацию обработки персональных данных
в МБУ СШ № 3г. Ставрополя
- Термины и определения
- Информационная система персональных данных– совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
- Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
- Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
- Средство защиты информации – программное обеспечение, программно-аппаратное обеспечение, аппаратное обеспечение, вещество или материал, предназначенное или используемое для защиты информации.
- Общие положения
- Настоящая Инструкция определяет функции, права и ответственность ответственного за организацию обработки персональных данных (далее – Ответственный) в МБУ СШ № 3г. Ставрополя (далее – Учреждение).
- Настоящая Инструкция является дополнением к действующим нормативным документам по вопросам обеспечения безопасности персональных данных (далее – ПДн), не исключает обязательного выполнения их требований.
- Ответственный назначается приказом Директора Учреждения.
- Ответственный непосредственно подчиняется Директору Учреждения.
- На время отсутствия (болезнь, отпуск, пр.) Ответственного его обязанности возлагаются на работника, назначенного и допущенного в установленном порядке.
- Функциональные обязанности
- Ответственный выполняет следующие функции:
- осуществляет внутренний контроль за соблюдением работниками, обрабатывающими ПДн в информационных системах персональных данных (далее – ИСПДн) и без использования средств автоматизации требований законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн;
- взаимодействует с уполномоченными органами государственной власти Российской Федерации, органами по аттестации, испытательными лабораториями по вопросам обработки и защиты ПДн (при проведении государственного контроля и надзора, аттестации, сертификации).
- актуализирует перечень должностей работников, имеющих доступ к обработке ПДн;
- актуализирует перечень работников, допущенных в помещения, в которых осуществляется обработка ПДн;
- доводит до сведения работников, обрабатывающих ПДн положения законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн, в том числе требований к защите ПДн;
- организовывает прием и обработку обращений и запросов субъектов ПДн или их представителей, чьи ПДн обрабатываются в Учреждении, или их представителей, и осуществляет контроль за приемом и обработкой таких обращений и запросов;
- разрабатывает и корректирует эксплуатационную документацию и организационно-распорядительные документы по защите ПДн.
- принимает участие в деятельности:
- по подготовке, пересмотру, уточнению локальных актов по защите информации;
- по аттестации объектов информатизации.
- Права
- Ответственный имеет право:
- требовать от работников, обрабатывающих ПДн, соблюдения установленной технологии обработки ПДн и выполнения инструкций по обеспечению безопасности информации;
- инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения защиты, несанкционированного доступа, утраты, уничтожения ПДн и технических средств, обрабатывающих ПДн;
- требовать прекращения обработки ПДн в случае нарушения установленного порядка работ или нарушения функционирования средств и систем защиты информации;
- участвовать в анализе ситуаций, касающихся функционирования средств защиты информации и расследования фактов несанкционированного доступа;
- подавать свои предложения по, совершенствованию организационных и технических мер по защите ПДн.
- Ответственность
- На Ответственного возлагается персональная ответственность за качество выполняемых им функций по обеспечению защиты ПДн.
- Ответственный несет ответственность по действующему законодательству Российской Федерации за разглашение сведений ограниченного доступа, ставших ему известными при выполнении служебных обязанностей, в том числе предусмотренных настоящей Инструкцией.
- Срок действия и порядок внесения изменений
- Настоящая Инструкция вступает в силу с момента ее утверждения и действует бессрочно.
- Настоящая Инструкция подлежит пересмотру не реже одного раза в три года.
- Изменения и дополнения в настоящую Инструкцию вносятся приказом Директора Учреждения.
Приложение № 2
к приказу МБУ СШ № 3
г. Ставрополя
от «___» ________ 2021 г. № ______
ИНСТРУКЦИЯ
ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных МБУ СШ № 3г. Ставрополя
- Термины и определения
- Доступность информации – свойство безопасности информации, при котором субъекты доступа, имеющие право доступа к информации в соответствии с локальными актами и законодательством Российской Федерации, могут беспрепятственно реализовывать данное право.
- Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
- Инцидент информационной безопасности – любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность. Инцидентами информационной безопасности являются:
- утрата услуг, оборудования или устройств;
- системные сбои или перегрузки;
- ошибки пользователей;
- несоблюдение политики или рекомендаций по информационной безопасности;
- нарушение физических мер защиты;
- неконтролируемые изменения систем;
- сбои программного обеспечения и отказы технических средств;
- нарушение правил доступа.
- Конфиденциальность информации – свойство безопасности информации, при котором доступ к информации осуществляют только те субъекты доступа, которые имеют на это право в соответствии с локальными актами и законодательством Российской Федерации.
- Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
- Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
- Средство защиты информации – программное обеспечение, программно-аппаратное обеспечение, аппаратное обеспечение, вещество или материал, предназначенное или используемое для защиты информации.
- Целостность информации – свойство безопасности информации, при котором изменение информации осуществляют только те субъекты доступа, которые имеют на это право в соответствии с локальными актами и законодательством Российской Федерации.
- Общие положения
- Настоящая Инструкция определяет функции, обязанности права ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных (далее – Ответственный) МБУ СШ № 3г. Ставрополя (далее – Учреждение).
- Настоящая Инструкция является дополнением к действующим нормативным документам по вопросам обеспечения безопасности персональных данных (далее – ПДн), не исключает обязательного выполнения их требований.
- Ответственный назначается приказом Директора Учреждения.
- На время отсутствия (болезнь, отпуск, пр.) Ответственного его обязанности возлагаются на работника, назначенного и допущенного в установленном порядке.
- Функциональные обязанности
- Ответственный выполняет следующие функции:
- Управляет доступом пользователей в ИСПДн;
- Управляет полномочиями пользователей в ИСПДн;
- Поддерживает установленные правила разграничения доступав ИСПДн;
- Управляет (администрирует) системой защиты информации (далее – СиЗИ)ИСПДн:
- управляет средствами защиты информации (далее – СЗИ)
- управляет программным обеспечением СЗИ;
- восстанавливает работоспособность СЗИ;
- устанавливает обновления программного обеспечения СЗИ, выпускаемых разработчиками (производителями) СЗИ;
- анализирует события в ИСПДн, связанные с защитой информации (события безопасности);
- информирует пользователей об угрозах безопасности информации;
- информирует пользователей о правилах эксплуатации СЗИ;
- обучает пользователей работе со СЗИ;
- управляет доступом к съемным машинным носителям информации, используемым в ИСПДн (определяет должностных лиц, имеющих доступ к съемным машинным носителям информации);
- сопровождает функционирование СиЗИ в ходе ее эксплуатации;
- поддерживает конфигурацию СиЗИ (структуру СиЗИ, состав, места установки и параметры настройки СЗИ, программного обеспечения и технических средств) в соответствии с эксплуатационной документацией на СиЗИ (поддержание базовой конфигурации СиЗИ);
- определяет лиц, которым разрешены действия по внесению изменений в базовую конфигурацию СиЗИ;
- управляет изменениями базовой конфигурации СиЗИ, в том числе:
- определяет типы возможных изменений;
- разрешает или отказывает во внесении изменений;
- документирует действия по внесению изменений;
- хранит данные об изменениях.
- Поддерживает конфигурацию ИСПДн (структуру ИСПДн, состав, места установки и параметры программного обеспечения и технических средств) в соответствии с эксплуатационной документацией на ИСПДн;
- Анализирует потенциальные воздействия планируемых изменений в базовой конфигурации СиЗИ на обеспечение защиты информации, возникновение дополнительных угроз безопасности информации и работоспособность ИСПДн;
- Определяет параметры настройки программного обеспечения, включая программное обеспечение СЗИ, состава и конфигурации технических средств и программного обеспечения до внесения изменений в базовую конфигурацию ИСПДн и СиЗИ;
- Выявляет инциденты (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования ИСПДн и (или) к возникновению угроз безопасности информации (далее– Инциденты), и реагирует на них.
- Обнаруживает и идентифицирует Инциденты, в том числе:
- отказы в обслуживании;
- сбои (перезагрузки) в работе СЗИ;
- нарушения правил разграничения доступа;
- неправомерные действия по сбору информации;
- иные события, приводящие к возникновению Инцидентов.
- Анализирует Инциденты, в том числе определяет источники и причины возникновения Инцидентов, а также оценивает их последствия;
- Планирует меры по устранению Инцидентов, в том числе:
- по восстановлению ИСПДн и ее сегментов в случае отказа в обслуживании или после сбоев;
- устранению последствий нарушения правил разграничения доступа, неправомерных действий по сбору информации, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению Инцидентов.
- Планирует и принимает меры по предотвращению повторного возникновения Инцидентов.
- Контролирует обеспечение уровня защищенности ПДн, обрабатываемых в ИСПДн:
- контролирует события безопасности и действия пользователей в ИСПДн;
- контролирует (анализирует) уровень защищенности ПДн;
- контролирует перемещение съемных машинных носителей информации за пределы контролируемой зоны лицами, которым оно необходимо для выполнения своих должностных обязанностей (функции);
- анализирует и оценивает функционирование СиЗИИСПДн, включая выявление, анализ и устранение недостатков в функционировании СиЗИИСПДн;
- выполняет периодический анализ изменения угроз безопасности ПДн в ИСПДн, возникающих в ходе ее эксплуатации, и принятие мер защиты информации в случае возникновения новых угроз безопасности ПДн;
- документирует процедуры и результаты контроля (мониторинга) за обеспечением уровня защищенности ПДн, содержащихся в ИСПДн;
- принимает решения по результатам контроля (мониторинга) за обеспечением уровня защищенности ПДн о доработке (модернизации) СиЗИИСПДн.
- Ведет учет:
- используемых шифровальных (криптографических) СЗИ в ИСПДн, эксплуатационной и технической документации к ним;
- съемных машинных носителей (при их наличии), используемых в ИСПДн для хранения и обработки ПДн.
- Обеспечивает защиту информации при выводе из эксплуатации ИСПДн или после принятия решения об окончании обработки информации:
- обеспечивает архивирование информации, содержащейся в ИСПДн (архивирование должно осуществляться при необходимости дальнейшего использования);
- обеспечивает уничтожение (стирание) данных и остаточной информации со съемных машинных носителей информации, при необходимости передачи съемного машинного носителя информации другому пользователю ИСПДн или в сторонние организации для ремонта, технического обслуживания или дальнейшего уничтожения;
- при выводе из эксплуатации съемных машинных носителей информации, на которых осуществлялись хранение и обработка ПДн, осуществляет физическое уничтожение этих съемных машинных носителей информации.
- Права
- Ответственный имеет право:
- требовать от работников – пользователей ИСПДн соблюдения установленной технологии обработки ПДн и выполнения требований локальных нормативных актов и иной организационно-распорядительной документации по обеспечению безопасности ПДн;
- инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения защиты, несанкционированного доступа, утраты, порчи информации ограниченного доступа и технических средств, входящих в состав ИСПДн;
- требовать прекращения обработки ПДн в случае нарушения установленного порядка работ или нарушения функционирования СиЗИ;
- участвовать в анализе ситуаций, касающихся функционирования СЗИ и расследования фактов несанкционированного доступа к ПДн;
- подавать свои предложения по совершенствованию организационных и технических мер по защите ПДн.
- Ответственность
- Ответственному категорически запрещается:
- использовать компоненты программного и аппаратного обеспечения ИСПДн в неслужебных (личных) целях;
- умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках СЗИ, которые могут привести к инцидентам информационной безопасности.
- На Ответственного возлагается персональная ответственность за качество проводимых им работ по обеспечению защиты ПДн.
- Ответственный несет ответственность по действующему законодательству за разглашение сведений ограниченного доступа, ставших ему известными при выполнении служебных обязанностей, в том числе предусмотренных настоящей Инструкцией.
- Срок действия и порядок внесения изменений
- Настоящая Инструкция вступает в силу с момента ее утверждения и действует бессрочно.
- Настоящая Инструкция подлежит пересмотру не реже одного раза в три года.
- Изменения и дополнения в настоящую Инструкцию вносятся приказом Директора Учреждения.
Приложение № 3
к приказу МБУ СШ № 3
г. Ставрополя
от «___» _______ 2021 г. № ______
ИНСТРУКЦИЯ
администратора информационных систем персональных данных МБУ СШ № 3
г. Ставрополя
- Термины и определения
- Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
- Инцидент информационной безопасности– любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность. Инцидентами информационной безопасности являются:
- утрата услуг, оборудования или устройств;
- системные сбои или перегрузки;
- ошибки пользователей;
- несоблюдение политики или рекомендаций по информационной безопасности;
- нарушение физических мер защиты;
- неконтролируемые изменения систем;
- сбои программного обеспечения и отказы технических средств;
- нарушение правил доступа.
- Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
- Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
- Средство защиты информации – программное обеспечение, программно-аппаратное обеспечение, аппаратное обеспечение, вещество или материал, предназначенное или используемое для защиты информации.
- Общие положения
- Настоящая Инструкция определяет функции, обязанности и права администратора информационных систем персональных данных(далее – Администратор ИСПДн) ГБУ ДО «КЦЭТК»(далее – Учреждение).
- Настоящая Инструкция является дополнением к действующим нормативным документам по вопросам обеспечения безопасности персональных данных (далее – ПДн), не исключает обязательного выполнения их требований.
- Администратор ИСПДн назначается приказом Директора Учреждения.
- На время отсутствия (болезнь, отпуск, пр.) Администратора ИСПДн, его обязанности возлагаются на работника, назначенного и допущенного в установленном порядке.
- Функциональные обязанности
- Администратор ИСПДн выполняет следующие функции:
- Управляет параметрами ИСПДн:
- управляет заведением и удалением учетных записей пользователей;
- управляет полномочиями пользователей;
- поддерживает правила разграничения доступа;
- управляет параметрами настройки программного обеспечения;
- управляет учетными записями пользователей программных средств обработки ПДн;
- оказывает помощь в смене и восстановлению паролей;
- управляет установкой обновлений программного обеспечения;
- регистрирует события в ИСПДн, связанные с защитой ПДн (события безопасности);
- поддерживает конфигурацию ИСПДн (структуру ИСПДн, состава, мест установки и параметров программного обеспечения и технических средств) в соответствии с эксплуатационной документацией на ИСПДн;
- восстанавливает работоспособность программного обеспечения и технических средств ИСПДн.
- Выявляет инциденты (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования ИСПДн и (или) к возникновению угроз безопасности ПДн:
- отказы в обслуживании;
- сбои (перезагрузки) в работе технических средств и программного обеспечения;
- нарушения правил разграничения доступа;
- неправомерные действия по сбору ПДн;
- иные события, приводящие к возникновению инцидентов.
- Своевременно информирует ответственного за обеспечение безопасности ПДн в ИСПДн, о возникновении инцидентов в ИСПДн;
- Принимает меры по устранению инцидентов, в том числе:
- по восстановлению ИСПДн и ее сегментов в случае отказа в обслуживании или после сбоев;
- по устранению последствий нарушения правил разграничения доступа, несанкционированного доступа к ПДн, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов.
- Ведет учет пользователей ИСПДн;
- Принимает участие в деятельности по:
- подготовке, пересмотру, уточнению локальных актов по защите ПДн;
- аттестации объектов информатизации.
- Права
- АдминистраторИСПДн имеет право:
- требовать от работников – пользователей ИСПДн соблюдения установленной технологии обработки ПДн и выполнения требований инструкций по обеспечению безопасности ПДн;
- инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения защиты, несанкционированного доступа, утраты, порчи защищаемых ПДн и технических средств, входящих в состав ИСПДн;
- требовать прекращения обработки ПДн в случае нарушения установленного порядка работ или нарушения функционирования системы защиты ПДн;
- участвовать в анализе ситуаций, касающихся функционирования средств защиты информации и расследования фактов несанкционированного доступа;
- подавать свои предложения по совершенствованию организационных и технических мер по защите ПДн.
- Ответственность
- Администратору ИСПДн категорически запрещается:
- использовать компоненты программного и аппаратного обеспечения ИСПДн в неслужебных (личных) целях;
- умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к инцидентам информационной безопасности.
- На Администратора ИСПДн возлагается персональная ответственность за качество проводимых им работ по обеспечению бесперебойного и стабильного функционирования ИСПДн.
- Администратор несет ответственность по действующему законодательству за разглашение сведений ограниченного доступа, ставших ему известными при выполнении служебных обязанностей, в том числе предусмотренных настоящей Инструкцией.
- Срок действия и порядок внесения изменений
- Настоящая Инструкция вступает в силу с момента ее утверждения и действует бессрочно.
- Настоящая Инструкция подлежит пересмотру не реже одного раза в три года.
- Изменения и дополнения в настоящую Инструкцию вносятся приказом Директора Учреждения.
ЛИСТ ОЗНАКОМЛЕНИЯ
с приказом МБУ СШ № 3 г. Ставрополя»
от «___» ____________ 2021 г. № ______
«О назначении ответственных»
№ п/п | Фамилия имя отчество | Должность | Дата ознакомления | Подпись |
1 | Деркачева Ольга Юрьевна | Заместитель директора | «___» ___ 202__ г. | |
2 | Мартиросова Нина Алексеевна | Инструктор-методист физкультурно-спортивной организации | «___» ___ 202__ г. | |
3 | Крыжановская Валентина Алексеевна | Тренер | «___» ___ 202__ г. | |
4 | Крыжановский Алексей Анатольевич | Заместитель директора | «___» ___ 202__ г. |