Положение по обработке и защите персональных данных комитета социального обеспечения Курской области

Оглавление

1. Аннотация. 7

2. Положение о персональных данных. 7

2.1. Назначение Положения. 7

2.2. Порядок утверждения Положения. 7

2.3. Идентификация Положения. 7

2.4. Публикация Положения. 7

2.5. Ознакомление должностных лиц комитета социального обеспечения Курской области с Положением. 7

2.6. Нормативно-правовое обоснование и статус Положения. 7

2.7. Срок действия Положения. 8

2.8. Толкование Положения и порядок его применения. 8

3. Общие требования по обработке персональных данных. 8

3.1. Понятия и определения. 8

3.2. Принципы обработки персональных данных. 10

3.3. Цель обработки персональных данных. 11

3.4. Способы обработки персональных данных в информационных системах персональных данных в зависимости от применения средств автоматизации. 11

3.4.1. Правила обработки персональных данных без использования средств автоматизации. 12

3.4.2. Правила обработки персональных данных средствами автоматизации 13

3.4.3. Правила исключительно автоматизированной обработки персональных данных 13

3.4.4. Правила смешенной обработки персональных данных. 14

3.5. Особые правила обработки персональных данных в информационных системах персональных данных в зависимости от категории обрабатываемых персональных данных 14

3.5.1. Правила обработки специальных категорий персональных данных. 14

3.5.2. Правила обработки общедоступных персональных данных. 14

3.6. Особые правила обработки персональных данных в информационных системах персональных данных в зависимости от цели обработки персональных данных 15

3.6.1. Правила при поручении обработки персональных данных другому лицу 15

3.6.2. Обезличивание персональных данных. 15

3.7. Необходимость обработки персональных данных. 15

3.8. Перечни идентификаторов персональных данных, используемые для решения задач и функций структурными подразделениями. 16

3.9. Правовое основание обработки персональных данных. 16

3.9.1. Определение законности целей обработки персональных данных. 16

3.9.2. Юридические последствия, порождаемые в результате действий (операций) с персональными данными, в отношении субъекта персональных данных либо иным образом затрагивающих права и свободы субъекта персональных данных 17

3.9.3. Заданные характеристики безопасности персональных данных. 17

3.9.4. Определение сроков обработки, в том числе хранения персональных данных 18

3.9.5. Контроль за соблюдением сроков обработки персональных данных и фактов достижения целей обработки персональных данных. 19

3.10. Действия (операции) с персональными данными; 19

3.10.1. Способы сбора персональных данных и источники их получения 20

3.10.2. Способы и правила систематизации, накопления, уточнения и использования персональных данных. 21

3.10.3. Способы обозначения документов содержащих персональные данные 22

3.10.4. Способы передачи персональных данных и их получатели. 22

3.10.5. Хранение персональных данных. 23

3.10.6. Способы и порядок блокирования персональных данных. 24

3.10.7. Способы и порядок уничтожения персональных данных. 24

3.11. Круг субъектов, персональные данные которых подлежат обработке. 25

3.12. Перечень должностных лиц, осуществляющих обработку персональных данных 25

3.13. Права и обязанности при обработке персональных данных. 26

3.13.1. Права и обязанности субъекта персональных данных. 26

3.13.2. Права и обязанности комитета социального обеспечения Курской области при обработке персональных данных субъектов персональных данных.. 27

3.14. Порядок взаимодействия с субъектами персональных данных. 28

3.14.1. Сроки выполнения действий. 28

3.14.2. Порядок предоставления сведений субъекту персональных данных 29

3.14.3. Оповещения субъектов персональных данных. 29

3.14.4. Возможные варианты ответов и действий персонала при обращениях субъектов персональных данных. 29

3.14.5. Порядок и форма запроса на предоставления персональных данных и сведений об операторе субъектом персональных данных. 30

3.14.6. Порядок и основание отказа в предоставлении сведений о персональных данных и сведений об операторе субъекту ПДн. 30

3.14.7. Действия в случае выявления фактов нарушения законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных. 30

3.14.8. Право на обжалование действий или бездействия оператора. 31

3.14.9. Порядок действий при достижении целей обработки ПДн или истечении сроков обработки (хранения) ПДн. 31

3.14.10. Согласие субъекта персональных данных. 31

3.14.11. Согласие субъекта персональных данных на обработку его персональных данных 32

3.15. Уведомление об обработке персональных данных. 33

4. Организация обработки персональных данных в комитете социального обеспечения Курской области. 34

4.1. Организационная структура и функции комитета социального обеспечения Курской области. 34

4.2. Направления обработки персональных данных в комитете социального обеспечения Курской области. 34

4.2.1. Обработка персональных данных в рамках предоставления государственной услуги в сфере социальной защиты населения. 34

4.2.2. Обработка персональных данных в рамках деятельности в качестве работодателя. 35

4.3. Информационные системы персональных данных. 37

4.3.1. Критерии определения информационных систем персональных данных в комитете социального обеспечения Курской области. 37

4.3.2. Наименование ИСПДн. 38

4.3.3. Цели создания или эксплуатации ИСПДн. 38

4.3.4. Параметры, характеризующие информационную систему персональных данных 39

4.3.5. Порядок создания или модернизации информационных систем персональных данных в комитете социального обеспечения Курской области.... 39

4.3.6. Порядок ликвидации информационных систем персональных данных в комитете социального обеспечения Курской области. 40

4.4. Места обработки персональных данных. 40

4.5. Перечень баз данных и иных массивов информации, содержащих персональные данные 40

4.6. Функциональные и технологические связи. 41

4.7. Функциональные и технологические связи ИСПДн с другими ИСПДн. 42

4.7.1. Перечень информационных систем персональных данных в комитете социального обеспечения Курской области. 42

4.7.2. Паспорт информационной системы персональных данных. 43

4.7.2.1. Порядок заполнения паспорта ИСПДн и требования к его заполнению и оформлению.. 43

4.7.2.2. Кто разрабатывает паспорт ИСПДн. 44

5. Конфиденциальность персональных данных. 44

5.1. Режим ограниченного доступа. 44

5.2. Типы информации, не являющейся конфиденциальной. 44

5.3. Перечень идентификаторов ПДн, для которых имеется необходимость обеспечения конфиденциальности. 44

5.4. Порядок учета и маркирования материальных носителей информации, образующихся в процессе обработки персональных данных. 71

5.5. Сроки сохранения режима конфиденциальности. 71

5.6. Порядок снятия режима конфиденциальности. 71

6. Обеспечение безопасности персональных данных при их обработке. 71

6.1. Состав мероприятий по обеспечению безопасности. 72

6.2. Определение защищаемой информации. 72

6.3. Требования по уровню обеспечения безопасности. 72

6.4. Модели угроз и нарушителя. 73

6.5. Требования по обеспечению безопасности персональных данных при обработке 74

6.6. Требования к помещениям. 81

6.7. Требования к входным дверям. 81

6.8. Требования к окнам помещений. 81

6.9. Рекомендации к наличию охранной сигнализации. 81

6.10. Требования к наличию металлических хранилищ.. 81

6.11. Требования к содержанию организационных мероприятий по обеспечению безопасности. 81

6.12. Требования к организационным мероприятиям по контролю доступа в помещения 82

6.13. Требования к персоналу, задействованному в работе с персональными данными 82

6.14. Требования к порядку передачи (пересылки) отчуждаемых носителей информации 82

6.15. Требования к составу, содержанию организационно-распорядительной и эксплуатационной документации, порядку их оформления и утверждения. 83

6.16. Требования по оформлению организационно-распорядительной и эксплуатационной документации. 83

6.17. Порядок разработки, изменения и утверждения организационно-распорядительной и эксплуатационной документации. 83

6.18. Перечень организационно-распорядительной и эксплуатационной документации разрабатываемой на объектах информатизации. 83

6.19. Рекомендации по хранению документации на объектах. 83

6.20. Способы обеспечения безопасности ПДн. 83

6.21. Физическая. 83

6.22. В каналах связи. 84

6.23. НСД.. 84

6.24. Резервирование информации. 84

6.25. Требования к техническим средствам, системному программному обеспечению 84

6.26. Требования к техническим средствам и системному программному обеспечению, телекоммуникационному оборудованию и каналам связи. 85

6.27. Проведение профилактических мероприятий. 85

6.28. Требования к настройкам системного программного обеспечения и средств защиты информации. 85

6.29. Регламент оценки соответствия требованиям по безопасности информации 85

6.30. Условия и порядок проведения контроля выполнения требований по безопасности 86

7. Порядок контроля за соблюдением требований по обработке и обеспечению безопасности персональных данных. 87

7.1. Порядок внутреннего контроля за соблюдением требований по обращению и обеспечению безопасности данных. 87

7.2. Порядок внешнего контроля за соблюдением требований по обращению и обеспечению безопасности данных. 87

8. Мероприятия при нарушении безопасности персональных данных. 89

9. Ответственность за нарушение норм, регулирующих обработку персональных данных. 89

10. Мероприятия при возникновении обстоятельств непреодолимой силы (форс-мажор) 89

11. Мероприятия по обработке ПДн при прекращении деятельности. 90

12. Приложения. 91

Приложение 1. Перечень документов по разработке Положения о. 92

Приложение 1. 92

Приложение 2. 98

Приложение 3. 106

Полностью с Положением можно ознакомиться в прикрепленных файлах