Положение об обработке персональных данных в Администрации города Обнинска
|
Скачать 0.78 Mb.
|
|
6. Порядок уничтожения информации, содержащей персональные данные, при достижении целей обработки или при наступлении иных законных оснований 6.1. Документы, дела, книги и журналы учета при достижении целей обработки, содержащие обезличенные данные, или при наступлении иных законных оснований, содержащие персональные данные (например утратившие практическое значение, а также с истекшим сроком хранения), подлежат уничтожению в соответствии с действующим законодательством. 6.2. Уничтожение информации на электронных, магнитных и оптических носителях информации носителях необходимо осуществлять путем стирания информации с использованием программного обеспечения, установленного на ПЭВМ с гарантированным уничтожением (в соответствии с заданными характеристиками для установленного программного обеспечения с гарантированным уничтожением). 6.3. Информация, содержащая персональные данные при достижении целей обработки или при наступлении иных законных оснований (например утратившие практическое значение, с истекшим сроком хранения) в электронном виде, подлежит уничтожению в соответствии с действующим законодательством. 6.4. Перед уничтожением информации исполнитель сообщает ответственному за организацию обработки обезличенных данных. 6.5. Ответственность за полноту, защищенность от уничтожения, изменение, блокирование, а также за совершение иных несанкционированных действий в отношении обезличенных данных несут сотрудники, допущенные к этой работе в соответствии со своим должностным регламентом. Контроль за выполнением этой работы осуществляют руководители структурных подразделений, а также сотрудник ответственный за организацию обработки персональных данных. Приложение №4 к распоряжению Администрации города Обнинска № ___________от ____________ Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований в Администрации города Обнинска 1. Общие положения Настоящий документ устанавливает порядок уничтожения информации, содержащей персональные данные, при достижении целей обработки или при наступлении иных законных оснований в Администрацию города Обнинска, в целях реализации: Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановления Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правыми актами, операторами, являющимися государственными или муниципальными органами». 2. Порядок уничтожения информации, содержащей персональные данные, при достижении целей обработки или при наступлении иных законных оснований 2.1. Документы, дела, книги и журналы учета, содержащие персональные данные, при достижении целей обработки, или при наступлении иных законных оснований, (например, утратившие практическое значение, а также с истекшим сроком хранения), подлежат уничтожению в соответствии с законодательством. Уничтожение документов производится в присутствии всех членов комиссии, которые несут персональную ответственность за правильность и полноту уничтожения перечисленных в акте документов (состав комиссии утверждается распоряжением). Отобранные к уничтожению материалы измельчаются механическим способом до степени, исключающей возможность прочтения текста или сжигаются. После уничтожения материальных носителей членами комиссии подписывается акт в трех экземплярах (Приложение 1) делается запись в журналах их учета и регистрации, а также в номенклатурах и описях дел проставляется отметка «Уничтожено. Акт № ________ (дата)». 2.2. Уничтожение информации на носителях необходимо осуществлять путем стирания информации с использованием сертифицированного программного обеспечения, установленного на ПЭВМ с гарантированным уничтожением (в соответствии с заданными характеристиками для установленного программного обеспечения с гарантированным уничтожением). 2.3. Информация, содержащая персональные данные при достижении целей обработки или при наступлении иных законных оснований (например, утратившие практическое значение, с истекшим сроком хранения) в электронном виде, подлежит уничтожению в соответствии с действующим законодательством. Перед уничтожением информации исполнитель сообщает ответственному за организацию обработки персональных данных. Об уничтожении файлов делаются соответствующие отметки в Журнале уничтожения носителей персональных данных (Приложение 2). Приложение №1 к Порядку уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований в Администрации города Обнинска Типовая форма акта об уничтожении носителей, содержащих персональные данные Акт № _____ об уничтожении носителей, содержащих персональные данные Комиссия в составе: Председатель – ____________________________________________________ Члены комиссии – __________________________________________________ провела отбор бумажных, электронных, магнитных и оптических носителей персональных данных и другой конфиденциальной информации (далее носители) и установила, что в соответствии с требованиями руководящих документов по защите информации указанные носители и информация, записанная на них в процессе эксплуатации, в соответствии с действующим законодательством Российской Федерации, подлежит гарантированному уничтожению и составила настоящий акт о том, что произведено уничтожение носителей персональных данных в составе:
Всего носителей ____________________________________________ (цифрами и прописью На указанных носителях персональные данные уничтожены путем _________________________________________________________________________ (стирания на устройстве гарантированного уничтожения информации и т.п.) Перечисленные носители ПДн уничтожены путем __________________________________________________________________________ (разрезания/сжигания/размагничивания/физического уничтожения/ механического уничтожения / иного способа) Председатель комиссии: _________________ /____________/ Члены комиссии: _________________ /_____________/ _________________ /____________/ Приложение №1 к Порядку уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований в Администрации города Обнинска Типовая форма журнала уничтожения носителей персональных данных Журнал уничтожения носителей персональных данных Журнал начат ____ ___________ Журнал завершен ____ __________ Ответственный _________ (Ф.И.О.) На _____ листах
Приложение №5 к распоряжению Администрации города Обнинска от _______________ № ___________ Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных законодательством и локальными актами Администрации города Обнинска 1. Общие положения Настоящий документ определяет правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами Администрации, осуществления планирования и проведения проверок информационной безопасности от несанкционированного доступа, распространения, искажения и утраты в информационной системе персональных данных – Приказом ФСТЭК России от 05.02.2010 № 58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных». Проверка информационной безопасности осуществляется не реже двух раз в год. В ходе проверки осуществляется контроль эффективности внедренных на объекте защитных мер и средств защиты информации, в соответствии с требованиями предписаний на эксплуатацию технических средств и средств защиты информации. Обязательным является контроль: - при вводе информационной системы персональных данных (далее – ИСПДн) в эксплуатацию; - после ремонта технических средств, входящих в состав ИСПДн и средств защиты информации; - при изменении условий эксплуатации ИСПДн и размещения технических средств. При проведении мероприятий отметки о результатах работы ставятся в журнале по учету и обслуживанию установленных средств защиты информации. 1. Контроль аппаратного обеспечения Контроль работоспособности аппаратных компонент ИСПДн, обрабатывающих персональные данные, осуществляется в процессе их администрирования и при проведении работ по техническому обслуживанию оборудования. Наиболее существенные компоненты системы, имеющие встроенные средства контроля работоспособности должны контролироваться постоянно в рамках работы администраторов соответствующих систем. 2. Контроль парольной защиты Контроль парольной защиты и контроль надежности пользовательских паролей проводится на основе «Инструкции по организации парольной защиты» и предусматривает: - установление сроков действия паролей; - периодическую проверку пользовательских паролей на количество символов и очевидность с целью выявления слабых паролей, которые легко угадать или дешифровать с помощью специализированных программных средств (взломщиков паролей). 3. Контроль целостности Контроль целостности программного обеспечения включает следующие действия: - проверка контрольных сумм и цифровых подписей каталогов и файлов сертифицированных программных средств при загрузке операционной системы; - обнаружение дубликатов идентификаторов пользователей; - восстановление системных файлов администраторами систем с резервных копий при несовпадении контрольных сумм. 4. Контроль попыток несанкционированного доступа Предупреждение и своевременное выявление попыток несанкционированного доступа осуществляется с использованием средств операционной системы и специальных программных средств, и предусматривает: - фиксацию неудачных попыток входа в систему в системном журнале; - протоколирование работы сетевых сервисов; - выявление фактов сканирования определенного диапазона сетевых портов, в короткие промежутки времени с целью обнаружения сетевых анализаторов, изучающих систему и выявляющих ее уязвимости. 5. Контроль производительности Контроль производительности ИСПДн, производится по обращениям пользователей, в ходе администрирования системы и проведения профилактических работ для выявления попыток несанкционированного доступа, повлекших существенное уменьшение производительности системы. 6. Контроль защищённости системного и прикладного программного обеспечения Контроль защищённости системного и прикладного программного обеспечения (далее ПО) производится ежеквартально и в особых ситуациях. Он включает проведение обзоров безопасности, тестирование системы, контроль внесения изменений в системное программное обеспечение. Обзоры безопасности проводятся с целью проверки соответствия текущего состояния ИСПДн уровню безопасности, удовлетворяющему требованиям политики безопасности. Обзоры безопасности имеют целью выявление всех несоответствий между текущим состоянием ИСПДн и состоянием, соответствующим специально составленному списку для проверки. Обзоры безопасности должны включать: - отчеты о безопасности пользовательских ресурсов, включающие наличие повторяющихся пользовательских имен и идентификаторов, неправильных форматов регистрационных записей, пользователей без пароля, неправильной установки домашних каталогов пользователей и уязвимостей пользовательских окружений; - проверку содержимого файлов конфигурации на соответствие списку для проверки; - обнаружение изменений системных файлов со времени проведения последней проверки (контроль целостности системных файлов); - проверку прав доступа и других атрибутов системных файлов (команд, утилит и таблиц); - проверку правильности настройки механизмов аутентификации и авторизации сетевых сервисов; - проверку корректности конфигурации системных и активных сетевых устройств (мостов, маршрутизаторов, концентраторов и сетевых экранов). Активное тестирование надежности механизмов контроля доступа производится путем осуществления попыток проникновения в систему (с помощью автоматического инструментария или вручную). Пассивное тестирование механизмов контроля доступа осуществляется путем анализа конфигурационных файлов системы. Информация об известных уязвимостях извлекается из документации и внешних источников. Затем осуществляется проверка конфигурации системы с целью выявления опасных состояний системы, т.е. таких состояний, в которых могут проявлять себя известные уязвимости. Если система находится в опасном состоянии, то, с целью нейтрализации уязвимостей, необходимо либо изменить конфигурацию системы (для ликвидации условий проявления уязвимости), либо установить программные коррекции, либо установить другие версии программ, в которых данная уязвимость отсутствует, либо отказаться от использования системного сервиса, содержащего данную уязвимость. Внесение изменений в системное программное обеспечение осуществляется системным администратором, с обязательным документированием изменений в соответствующем журнале, уведомлением каждого сотрудника, кого касается изменение, получением претензий в случае, если это изменение причинило кому-нибудь вред, разработкой планов действий в аварийных ситуациях для восстановления работоспособности системы, если внесенное в нее изменение вывело ее из строя. Приложение №6 к распоряжению Администрации города Обнинска № ____________ от ____________ |
Похожие:
 |
Положение по организации и проведению работ по обеспечению безопасности... Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных... |
 |
Руководство пользователя по обеспечению безопасности информационной... Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке... |
|
Овсянниковского сельского поселения распоряжени е Российской федерации от 01. 11. 2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных... |
|
Об организации и проведении работ по обеспечению безопасности персональных... Х обеспечения безопасности персональных данных при обработке в информационных системах Управления Министерства юстиции Российской... |
|
Мероприятия и документы по защите персональных данных Фз «О персональных данных» и Постановления Правительства Российской Федерации от 17. 11. 2007 №781 «Об утверждении Положения об обеспечении... |
|
Положение по организации и проведению работ по обеспечению безопасности... Структура организационной системы обеспечения безопасности персональных данных 27 |
|
Регламент обеспечения безопасности персональных данных при их обработке... Защита персональных данных от несанкционированного и непреднамеренного воздействия 12 |
|
Инструкция по использованию ресурсов сети Интернет в информационной... Об утверждении Инструкции по использованию ресурсов сети Интернет в информационной сети Администрации города Обнинска |
|
Инструкция администратора безопасности в Муниципальном учреждении... Ава и обязанности администратора безопасности по вопросам обеспечения информационной безопасности при обработке персональных данных... |
|
Положение об организации работы с персональными данными работников... Ности, не отнесенные к должностям муниципальной службы (далее работники), обеспечение защиты прав работников при обработке их персональных... |
|
Соглашение об обработке персональных данных В настоящем соглашении об обработке персональных данных (далее – Соглашение) нижеприведенные термины имеют следующие определения |
|
Приказ о назначении ответственного лица в области обработки и защиты... Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных... |
|
Администрация Егорлыкского района Ростовской области постановление Фз «О персональных данных», постановлением Правительства РФ от 01. 11. 2012 №119 «Об утверждении требований к защите персональных... |
|
Методические рекомендации исполнительным органам государственной... Приказ о назначении сотрудников, ответственных за обеспечение безопасности персональных данных при их обработке в информационных... |
|
Приказ фстэк россии от 18 февраля 2013 г. №21 «Об утверждении состава... Муниципальном казенном учреждении муниципального образования город-курорт Пятигорск «Многофункциональный центр предоставления государственных... |
|
Приказ Об обработке персональных данных в Аппарате Администрации Ненецкого автономного округа |