ИНСТРУКЦИЯ
ответственного за обеспечение безопасности и обработку персональных данных
МБОУ СОШ № 70
г. Краснодар
2016 г.
Содержание
1.Общие положения 3
2.Обязанности Ответственного за обеспечение безопасности и обработку персональных данных 4
3.Права Ответственного за обеспечение безопасности и обработку персональных данных 8
4.Ответственность Ответственного за обеспечение безопасности и обработку персональных данных 9
5.Порядок пересмотра инструкции 10
6.Ответственные за контроль выполнения инструкции 11
Приложение 1 – Лист регистрации изменений 12
Приложение 2 – Лист ознакомления 13
-
Общие положения
Ответственный за обеспечение безопасности и обработку персональных данных назначается и функционально подчиняется директору муниципального бюджетного общеобразовательного учреждения муниципального образования город Краснодар средней общеобразовательной школы № 70 (далее – МБОУ СОШ № 70). Он руководствуется требованиями нормативных документов Российской Федерации, организационно-распорядительных документов, настоящей Инструкцией, а также другими распорядительными документами в части, его касающейся.
Ответственный за обеспечение безопасности и обработку персональных данных должен осуществлять организацию работы и общий контроль информационной безопасности в МБОУ СОШ № 70 и контролировать выполнения требований нормативных документов Администратором ИБ ИС, Администратором ИС, Руководителями структурных подразделений.
Сотрудники МБОУ СОШ № 70, задействованные в обеспечении функционирования ИС, могут быть ознакомлены с основными положениями и приложениями Инструкции в части, их касающейся, по мере необходимости
-
Обязанности Ответственного за обеспечение безопасности и обработку персональных данных
Ответственный за обеспечение безопасности и обработку персональных данных обязан:
- руководствоваться в своей деятельности Федеральным законом от 27 июля 2006 г. № 152 ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», Постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», другими нормативными правовыми актами и настоящей должностной инструкцией;
- осуществлять внутренний контроль за соблюдением требований законодательства РФ при обработке персональных объекта автоматизации, в том числе требований к защите персональных данных;
- на основании имеющихся проектов документов, должен подготовить и передать директора МБОУ СОШ № 70 на подпись для ввода в действие следующие организационно-распорядительные документы:
Согласие субъекта персональных данных на обработку персональных данных и информационных системах персональных данных МБОУ СОШ № 70;
Инструкция Пользователя информационных систем персональных данных;
Инструкция Администратора информационной безопасности информационных систем персональных данных;
Инструкция Администратора информационных систем персональных данных;
Инструкция Ответственного за обеспечение безопасности и обработку персональных данных;
Инструкция по организации резервного копирования и восстановления защищаемой информации в информационных системах персональных данных;
Инструкция по организации антивирусной защиты;
Инструкция по внесению изменений в списки пользователей и населению их полномочиями доступа к ресурсам информационных систем;
Инструкция по действиям пользователей информационных систем персональных данных в нештатных ситуациях;
Инструкция по проведению проверок состояния защиты персональных данных;
Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств информационных систем персональных данных;
Положение о порядке организации и проведении работ по обработке и защите персональных данных, обрабатываемых в информационных системах персональных данных;
Политика обработки персональных данных;
Регламент учета средств защиты, документации и электронных носителей персональных данных;
Перечень персональных данных;
Перечень информационных систем персональных данных;
Перечень должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным
Порядок парольной защиты в информационных системах персональных данных;
Порядок доступа сотрудников МБОУ СОШ № 70 в помещения, в которых ведется обработка персональных данных;
План мероприятий по защите персональных данных;
План внутренних проверок состояния защиты персональных данных;
Правила рассмотрения запросов субъектов персональных данных или их представителей;
Правила работы с обезличенными персональными данными;
Журнал учета проведения инструктажей по вопросам защиты информации;
Журнал учета электронных носителей персональных данных;
Журнал учета выдачи электронных носителей персональных данных;
Журнал учета нештатных ситуаций;
Журнал учета проведения полного резервного копирования;
Журнал учета восстановлений персональных данных вследствие несанкционированного доступа ним;
Журнал учета технических средств, участвующих в обработке конфиденциальной информации;
Журнал регистрации письменных запросов граждан на доступ к своим персональным данным;
Журнал журнала учета посетителей;
Журнал учета проведения проверок, проводимых органами государственного контроля (надзора), органами муниципального контроля;
Приказ о назначении Ответственного за обеспечение и обработку персональных данных;
Приказ о назначении Администратора информационной безопасности информационных систем персональных данных;
Приказ о назначении Администратора информационных систем персональных данных;
Приказ о назначении комиссии по классификации информационной системы персональных данных;
Приказ о назначении комиссии по контролю защищенности информации;
Приказ о назначении комиссии по уничтожению персональных данных;
Приказ о допуске сотрудников к обработке персональных данных;
Приказ об утверждении мест хранения материальных носителей персональных данных.
- осуществить сбор согласий на обработку персональных данных с сотрудников объекта автоматизации в соответствии с предлагающимся проектом «Согласия на обработку персональных данных».
- ознакомится под подпись со всеми нормативными МБОУ СОШ № 70, регламентирующими процессы обработки и обеспечения безопасности персональных данных;
- осуществить ознакомление под подпись с нормативными документами МБОУ СОШ № 70 ответственных и прочих лиц, в части их касающихся;
- ознакомить Администратора ИБ ИС под подпись с «Инструкцией Администратора информационной безопасности информационных систем персональных данных»;
- ознакомить Администратора ИС и Администратора ИБ ИС под подпись с «Инструкцией Администратора информационных систем»;
- осуществлять доведение до сведения сотрудников МБОУ СОШ № 70 законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
- осуществлять организацию приема и обработки обращений и запросов субъектов персональных данных или их представителей и (или) осуществление контроля за приемом и обработкой таких обращений и запросов;
- осуществлять предоставление субъекту персональных данных по его просьбе информацию;
- осуществлять разъяснения субъекту персональных данных юридических последствий отказа предоставления его персональных данных;
- определить перечень фактически функционирующих ИС на объекте автоматизации и заполнить «Перечень информационных ресурсов персональных данных;
- провести классификацию информационных систем персональных данных и участвовать в качестве Председателя комиссии по проведению классификации информационных систем персональных данных МБОУ СОШ № 70;
- проводить инструктаж пользователей ИС по следующим темам:
«Порядок организации и проведению работ по обработке и защите персональных данных, обрабатываемых в информационных системах»;
«Действия пользователей информационных систем персональных данных в нештатных ситуациях»;
«Обработка персональных данных без использования средств автоматизации» (на основании Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 –для сотрудников, ответственных за обеспечение сохранности материальных носителей ПДн);
- осуществлять периодические проверки состояния защиты персональных данных (в соответствии с утвержденным «Планом внутренних проверок состояния защиты персональных данных» и «Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных»);
- участвовать в качестве Председателя комиссии по уничтожению персональных данных;
- участвовать в качестве Председателя комиссии по контролю защищенности персональных данных МБОУ СОШ № 70;
- осуществлять пересмотр и актуализацию «Перечня персональных данных» при изменениях законодательства РФ/внутренних нормативных актов МБОУ СОШ № 70 /ведомственных приказов/ и пр., затрагивающих процессы обработки персональных данных субъектов;
- вести «Журнал учета проверок юридического лица, проводимых органами государственного контроля (надзора), органами муниципального контроля»;
- осуществлять пересмотр, при необходимости, нормативных документов, регламентирующих процессы обработки и обеспечения безопасности персональных данных;
Ответственный за обеспечение безопасности ПДн является ответственным лицом при проведении проверок МБОУ СОШ № 70 регулирующими органами по вопросам обеспечения безопасности персональных данных.
-
Права Ответственного за обеспечение безопасности и обработку персональных данных
Ответственный за обеспечение безопасности и обработку персональных данных имеет право:
- требовать от пользователей безусловного соблюдения установленной технологии обработки защищаемой информации и выполнения требований внутренних документов объекта автоматизации, регламентирующих вопросы обеспечения безопасности и защиты информации;
- инициировать проведение служебных расследований по фактам нарушения установленных требований;
- привлекать для выполнения требований по обеспечению безопасности персональных данных любых сотрудников МБОУ СОШ № 70.
-
Ответственность Ответственного за обеспечение безопасности и обработку персональных данных
Ответственный за обеспечение безопасности и обработку персональных данных несет ответственность:
- за ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей инструкцией, другими инструктивными документами в соответствии с действующим законодательством Российской Федерации, трудовым законодательством Российской Федерации, за полноту и качество проводимых им работ по обеспечению защиты информации;
- за правонарушения, совершенные в процессе своей деятельности в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации;
- за разглашение сведений конфиденциального характера и другой защищаемой информации объекта автоматизации в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации;
- на Ответственного за обеспечение безопасности и обработку персональных данных возлагается персональная ответственность за выполнение требований к обработке и обеспечение безопасности персональных данных в МБОУ СОШ № 70.
-
Порядок пересмотра инструкции
Инструкция подлежит полному пересмотру при изменении перечня решаемых задач, приводящих к существенным изменениям технологии обработки информации или при значительном изменении законодательства Российской Федерации, регламентирующего требования к обработке и обеспечению безопасности персональных данных.
Инструкция подлежит частичному пересмотру в остальных случаях.
Полный пересмотр данного документа проводится директором МБОУ СОШ № 70.
Все изменения вносятся в лист регистрации изменений в Инструкции, форма которого представлена в Приложении 1.
Вносимые изменения не должны противоречить другим положениям Инструкции.
-
Ответственные за контроль выполнения инструкции
Ответственным за контроль выполнения требований данной Инструкции является директор МБОУ СОШ № 70.
Приложение 1 – Лист регистрации изменений
Лист регистрации изменений
№ п/п
|
Внесенное изменение
|
Основание (наименование, номер и дата документа)
|
Лицо, внесшее изменения
|
Дата внесения изменения
|
Фамилия, инициалы
|
Подпись
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение 2 – Лист ознакомления
Лист ознакомления
№ п/п
|
Фамилия, инициалы сотрудника
|
Должность
|
Дата ознакомления
|
Подпись сотрудника
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|