Государственное образовательное учреждение
высшего профессионального образования
«САМАРСКИЙ ГОСУДАРСТВЕННЫЙ
ЭКОНОМИЧЕСКИЙ УНИВЕРСИТЕТ»
Инструкция о порядке обеспечения конфиденциальности
при обраЩЕНИИ С информациЕЙ, содержащей персональные данные
|
УТВЕРЖДЕНО
приказом ректора
ГОУ ВПО СГЭУ
от «____» _____________2011г.
№_______
|
-
Общие положения
Настоящая Инструкция устанавливает применяемые в Государственном образовательном учреждении высшего профессионального образования «Самарский государственный экономический университет» (далее - Университет) способы обеспечения безопасности при обработке, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, защиту, распространение (в том числе передачу), обезличивание, блокирование, уничтожение, персональных данных с целью соблюдения конфиденциальности сведений, содержащих персональные данные работников и обучающихся Университета.
Настоящая Инструкция разработана на основании Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 19.12.2005 г. №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных», постановлений Правительства Российской Федерации от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" и от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и иных нормативных правовых актов Российской Федерации, а также «Положения о персональных данных работников и обучающихся Государственного образовательного учреждения высшего профессионального образования «Самарский государственный экономический университет»».
В соответствии с законодательством РФ под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая Университету в связи с трудовыми отношениями и организацией образовательного процесса.
Требование обеспечения конфиденциальности при обработке персональных данных означает обязательное для соблюдения должностными лицами Университета, допущенными к обработке персональных данных, иными получившими доступ к персональным данным лицами требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
Обеспечение конфиденциальности персональных данных не требуется в случае:
обезличивания персональных данных;
для общедоступных персональных данных.
Перечни персональных данных и ответственных за хранение и обработку персональных данных указаны в "Положения о персональных данных работников и обучающихся" (пп. 4,6). Обработка и хранение конфиденциальных данных лицами, не указанными в "Положения о персональных данных работников и обучающихся" запрещается.
В целях обеспечения требований соблюдения конфиденциальности и безопасности при обработке персональных данных Университет предоставляет должностным лицам, работающим с персональными данными, необходимые условия для выполнения указанных требований:
знакомит работника под роспись с требованиями «Положения о персональных данных работников и обучающихся Государственного образовательного учреждения высшего профессионального образования «Самарский государственный экономический университет»», с настоящей Инструкцией, с должностной инструкцией и иными локальными нормативными актами Университета в сфере обеспечения конфиденциальности и безопасности персональных данных;
предоставляет хранилища для документов, средства для доступа к информационным ресурсам (ключи, пароли и т.п.);
обучает правилам эксплуатации средств защиты информации;
проводит иные необходимые мероприятия.
Должностным лицам Университета, работающим с персональными данными, запрещается сообщать их устно или письменно кому бы то ни было, если это не вызвано служебной необходимостью. После подготовки и передачи документа файлы черновиков и вариантов документа переносятся подготовившим их сотрудником на маркированные носители, предназначенные для хранения персональных данных.
Без согласования с руководителем структурного подразделения формирование и хранение баз данных (картотек, файловых архивов и др.), содержащих конфиденциальные данные, запрещается.
Должностные лица Университета, работающие с персональными данными, обязаны использовать информацию о персональных данных исключительно для целей, связанных с выполнением своих трудовых обязанностей.
При прекращении выполнения трудовой функции, связанной с обработкой персональных данных, все носители информации, содержащие персональные данные (оригиналы и копии документов, машинные и бумажные носители и пр.), которые находились в распоряжении должностного лица в связи с выполнением должностных обязанностей, данный работник должен передать своему непосредственному руководителю.
Передача персональных данных третьим лицам допускается только в случаях, установленных законодательством РФ, в соответствии с «Положением о персональных данных работников и обучающихся Государственного образовательного учреждения высшего профессионального образования «Самарский государственный экономический университет»», с настоящей Инструкцией, должностными инструкциями и иными локальными нормативными актами Университета.
Передача персональных данных осуществляется ответственным за обработку персональных данных должностным лицом Университета на основании письменного или устного поручения руководителя структурного подразделения.
Передача сведений и документов, содержащих персональные данные, оформляется путем составления акта по установленной настоящей Инструкцией форме (Приложение № 1).
Должностное лицо, предоставившее персональные данные третьим лицам, направляет письменное уведомление субъекту персональных данных о факте передачи его данных третьим лицам.
Запрещается передача персональных данных по телефону, факсу, электронной почте за исключением случаев, установленных законодательством и действующими в Университете локальными нормативными актами.
Ответы на запросы граждан и организаций даются в том объеме, который позволяет не разглашать в ответах персональные данные, за исключением данных, содержащихся в материалах заявителя или опубликованных в общедоступных источниках.
Должностные лица Университета, работающие с персональными данными, обязаны немедленно сообщать своему непосредственному руководителю и (или) проректору Университета по безопасности обо всех ставших им известными фактах получения третьими лицами несанкционированного доступа либо попытки получения доступа к персональным данным, об утрате или недостаче носителей информации, содержащих персональные данные, удостоверений, пропусков, ключей от сейфов (хранилищ), личных печатей, электронных ключей и других фактах, которые могут привести к несанкционированному доступу к персональным данным, а также о причинах и условиях возможной утечки этих сведений.
Должностные лица, осуществляющие обработку персональных данных, за невыполнение требований конфиденциальности, защиты персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РФ.
Отсутствие контроля со стороны Университета за надлежащим исполнением работником своих обязанностей в области обеспечения конфиденциальности и безопасности персональных данных не освобождает работника от таких обязанностей и предусмотренной законодательством РФ ответственности.
-
Порядок обеспечения безопасности при обработке персональных данных, осуществляемой без использования средств автоматизации
Обработка персональных данных, в том числе содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такая обработка осуществляется при непосредственном участии человека.
Руководитель структурного подразделения, осуществляющего обработку персональных данных без использования средств автоматизации:
определяет места хранения персональных данных (материальных носителей);
осуществляет контроль наличия в структурном подразделении условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;
информирует лиц, осуществляющих обработку персональных данных без использования средств автоматизации, о перечне обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки;
организует раздельное, т.е. не допускающее смешение, хранение материальных носителей персональных данных (документов, дисков, дискет, USB флеш-накопителей, пр.), обработка которых осуществляется в различных целях.
-
При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, руководитель структурного подразделения должен обеспечить раздельную обработку персональных данных, исключающую одновременное копирование иных персональных данных, не подлежащих распространению и использованию.
Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, должно производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.
-
Порядок обеспечения безопасности при обработке персональных данных, осуществляемой с использованием средств автоматизации
Обработка персональных данных с использованием средств автоматизации означает совершение действий (операций) с такими данными с помощью объектов вычислительной техники в Корпоративной компьютерной сети Университета (далее - ККС).
Безопасность персональных данных при их обработке в ККС обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в ККС информационные технологии.
Технические и программные средства защиты информации должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации. Средства защиты информации, применяемые в ККС, в установленном порядке проходят процедуру оценки соответствия.
Допуск лиц к обработке персональных данных с использованием средств автоматизации осуществляется на основании "Положения о персональных данных работников и обучающихся" (п. 6) при наличии ключей (паролей) доступа.
Работа с персональными данными, содержащимися в ККС, осуществляется в соответствии с «Положением о корпоративной компьютерной сети», «Инструкцией пользователя при работе в корпоративной компьютерной сети», «Инструкцией пользователя при обработке конфиденциальной информации на объектах вычислительной техники», с которыми работник, в должностные обязанности которого входит обработка персональных данных, знакомится под роспись.
Работа с персональными данными в ККС должна быть организована таким образом, чтобы обеспечивалась сохранность носителей персональных данных и средств защиты информации, а также исключалась возможность неконтролируемого пребывания в этих помещениях посторонних лиц.
Компьютеры и (или) электронные папки, в которых содержатся файлы с персональными данными, для каждого пользователя должны быть защищены индивидуальными паролями доступа, состоящими из 6 и более символов. Работа на компьютерах с персональными данными без паролей доступа, или под чужими или общими (одинаковыми) паролями, запрещается.
Пересылка персональных данных без использования специальных средств защиты по общедоступным сетям связи, в том числе Интернет, запрещается.
При обработке персональных данных в ККС пользователями должно быть обеспечено:
использование предназначенных для этого разделов (каталогов) носителей информации, встроенных в технические средства, или съемных маркированных носителей;
недопущение физического воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
постоянное использование антивирусного обеспечения для обнаружения зараженных файлов и незамедлительное восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
недопущение несанкционированных выноса из помещений, установки, подключения оборудования, а также удаления, инсталляции или настройки программного обеспечения.
При обработке персональных данных в ККС разработчиками и администраторами систем должны обеспечиваться:
обучение лиц, использующих средства защиты информации, применяемые в ККС, правилам работы с ними;
учет лиц, допущенных к работе с персональными данными в ККС, прав и паролей доступа;
учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;
контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
описание системы защиты персональных данных.
Специфические требования по защите персональных данных в отдельных автоматизированных системах Университета определяются утвержденными в установленном порядке инструкциями по их использованию и эксплуатации.
Порядок учета, хранения и обращения со съемными носителями персональных данных, твердыми копиями и их утилизации
Все находящиеся на хранении и в обращении в Университете съемные носители (диски, дискеты, USB флеш-накопители, пр.), содержащие персональные данные, подлежат учёту. Каждый съемный носитель с записанными на нем персональными данными должен иметь этикетку, на которой указывается его уникальный учетный номер.
Учет и выдачу съемных носителей персональных данных осуществляет руководитель структурного подразделения.
Работники Университета получают учтенный съемный носитель от руководителя подразделения для выполнения работ на конкретный срок.
При получении делаются соответствующие записи в журнале персонального учета съемных носителей персональных данных (далее - журнал учета), который ведется в каждом структурном подразделении Университета, осуществляющем работу со съемными носителями персональных данных (Приложение № 2).
По окончании работ пользователь сдает съемный носитель для хранения руководителю подразделения, о чем делается соответствующая запись в журнале учета.
При работе со съемными носителями, содержащими персональные данные, запрещается:
хранить съемные носители с персональными данными вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;
выносить съемные носители с персональными данными из служебных помещений для работы с ними на дому, в гостиницах и т. д.
При отправке или передаче персональных данных адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка персональных данных адресатам на съемных носителях осуществляется в порядке, установленном для документов для служебного пользования. Вынос съемных носителей персональных данных для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя структурного подразделения Университета.
О фактах утраты съемных носителей, содержащих персональные данные, либо разглашения содержащихся в них сведений должно быть немедленно сообщено руководителю соответствующего структурного подразделения Университета и (или) проректору по безопасности.
На утраченные носители составляется акт. Соответствующие отметки вносятся в журналы учета.
Съемные носители персональных данных, пришедшие в негодность или отслужившие установленный срок, подлежат уничтожению. Уничтожение съемных носителей с конфиденциальной информацией осуществляется комиссией, созданной приказом ректора Университета.
По результатам уничтожения носителей составляется акт по прилагаемой форме (Приложение № 3).
-
Заключительные положения
С положениями настоящей Инструкции должны быть ознакомлены под роспись все работники структурных подразделений Университета и лица, выполняющие работы по договорам и контрактам, имеющие отношение к обработке персональных данных работников, обучающихся Университета и третьих лиц.
Проректор по правовым вопросам
и управлению имуществом
|
(подпись)
|
Ф.Ф. Шпанагель
|
Проректор по безопасности
|
(подпись)
|
П.А. Усанов
|
Начальник Управления информатизации
|
(подпись)
|
А.Г. Абросимов
|
СОГЛАСОВАНО:
Начальник Управления кадров
|
(подпись)
|
Г.Н. Полстьянова
|
Начальник Отдела менеджмента качества
|
(подпись)
|
Л.А. Илюхина
|
Юридический отдел
|
(подпись)
|
О.Е. Девяткина
|
С Инструкцией ознакомлены:
__________________ ____________________ ____________________
должность ФИО дата
__________________ ____________________ ____________________
должность ФИО дата
__________________ ____________________ ____________________
должность ФИО дата
__________________ ____________________ ____________________
должность ФИО дата
__________________ ____________________ ____________________
должность ФИО дата
Приложение 1
«УТВЕРЖДАЮ»
_________________________
руководитель структурного подразделения
« »__________ 200 г.
АКТ
передачи персональных данных третьим лицам
(должность, ФИО)
передал(а) следующие документы, содержащие персональные данные______________________________________________________________________:
(ФИО работника, обучающегося)
_____________________________________________________________________________
(перечислить наименования передаваемых документов, содержащих персональные данные)
по запросу____________________________________________________________________
(ФИО, должность)
с целью___________________________________________________________________________________.
____________________ ______________________________
подпись расшифровка подписи
Документы, содержащие персональные данные принял(а), экземпляр акта получил(а):
____________________ ______________________________
подпись расшифровка подписи
« »__________ 20 г.
Приложение 2
ЖУРНАЛ
учета съемных носителей персональных данных
наименование структурного подразделения
Начат «__» _____________ 200_ г.
Окончен «__» _____________ 200_ г.
На ______листах
____________________________________________ _______
Должность и ФИО ответственного за хранение Подпись
№ п/п
|
Метка съемного носителя (учетный номер)
|
Фамилия пользователя
|
(Получил, вернул)
|
Подпись ответственного за хранение съемного носителя
|
Примечание*
|
1
|
|
|
|
|
|
2
|
|
|
|
|
|
3
|
|
|
|
|
|
4
|
|
|
|
|
|
5
|
|
|
|
|
|
* Причина и основание окончания использования (№ и дата отправки адресату или распоряжения о передаче, № и дата акта утраты, неисправность, заполнение подлежащими хранению данными)
Приложение 3
«УТВЕРЖДАЮ»
_________________________
« »__________ 200 г.
АКТ
уничтожения съемных носителей персональных данных
Комиссия, наделенная полномочиями приказом ректора ГОУ ВПО СГЭУ от «___»___________ 200_г. № ____ в составе:
(должности, ФИО)
провела отбор съемных носителей персональных данных, не подлежащих дальнейшему хранению:
№
п/п
|
Дата
|
Учетный номер съемного носителя
|
Пояснения
|
|
2
|
3
|
4
|
|
|
|
|
Всего съемных носителей_________________________________________________
(цифрами и прописью)
На съемных носителях уничтожена конфиденциальная информация путем стирания ее на устройстве гарантированного уничтожения информации (механического уничтожения, сжигания и т.п.).
Перечисленные съемные носители уничтожены
________________________________________________________________________
путем (разрезания, демонтажа и т.п.),
_______________________________________________________________________
измельчены и сданы для уничтожения по утилизации вторичного сырья.
Председатель комиссии Подпись Дата
Члены комиссии
(ФИО) Подпись Дата
|