МИНИСТЕРСТВО ТРАНСПОРТА ТВЕРСКОЙ ОБЛАСТИ
ПРИКАЗ
от 4 апреля 2012 г. № 52
ОБ ОРГАНИЗАЦИИ РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
В соответствии с распоряжением
администрации Тверской области от 16.03.2011 № 231-ра "Об отдельных вопросах обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных" и в целях обеспечения безопасности персональных данных при их обработке в информационных системах приказываю:
1. Утвердить Положение
о работе с персональными данными в Министерстве транспорта Тверской области (приложение 1).
В официальном тексте документа приложения 2, 3, 4 не приводятся.
2. Утвердить перечень помещений, в которых осуществляется обработка персональных данных, с указанием лиц, имеющих доступ в данные помещения (приложение 2).
3. Утвердить список лиц, имеющих доступ к персональным данным (приложение 3).
4. Утвердить состав комиссии по квалификации информационных систем персональных данных (приложение 4).
5, Приказ довести до сотрудников Министерства транспорта Тверской области под роспись (по списку).
6. Контроль за исполнением настоящего Приказа оставляю за собой.
Министр
А.В.СУЯЗОВ
Приложение 1
к Приказу Министерства транспорта
Тверской области
от 4 апреля 2012 г. № 52
ПОЛОЖЕНИЕ
о работе с персональными данными
Раздел I. Общие положения
1. Настоящее Положение устанавливает порядок обработки документов, содержащих сведения, отнесенные к персональным данным, с использованием средств автоматизации или без использования таких средств, а также исследования и оценки информационных систем персональных данных (далее - ИСПДн) и систем защиты персональных данных (далее - СЗПДн), на которых будет происходить обработка персональных данных в Министерстве транспорта Тверской области (далее - оператор).
2. Обработка персональных данных физических лиц осуществляется должностными лицами оператора в соответствии с полномочиями, определенными их должностными регламентами.
3. Должностные лица оператора осуществляют обработку персональных данных следующих категорий субъектов персональных данных:
а) государственные гражданские служащие, служащие и работники оператора;
б) физические лица, обращающиеся к оператору с письменными предложениями, заявлениями или жалобами, а также устными обращениями;
в) руководители, уполномоченные представители юридических лиц, а также физические лица, состоящие в гражданско-правовых отношениях с оператором;
г) иные физические лица, сведения о персональных данных которых имеются у оператора в связи с реализацией им своих полномочий.
4. Категории субъектов персональных данных, чьи персональные данные обрабатываются в структурных подразделениях оператора, определяются исходя из решаемых структурным подразделением оператора задач и полномочий, установленных соответствующими положениями о структурных подразделениях оператора и должностными регламентами сотрудников структурных подразделений оператора.
5. Объем обрабатываемых персональных данных вышеуказанных категорий субъектов персональных данных определяется оператором самостоятельно исходя из решаемых задач и полномочий в соответствии с законодательством и нормативными правовыми актами, регулирующими его деятельность.
Раздел II. Принципы обработки персональных данных
6. Обработка персональных данных должна осуществляться на основе принципов:
│ ИСПДн) │ └────────────┘ │ │ │ │ \/ ├─>│ Технический │
│ ┌──────────────────┐ │ │ │ │ │ ┌──────────────┐ │ │ проект │
└───┤ Отчет об ├─┘ ┌─────────┼───────┘ │ │ │ Приобретение │ │ └───────────────┘
/\ │ обследовании, │ \/ │ │ │ │ компонентов │ │
│ │ характеристика │ ┌─ ─ ─ ─ ─ ─ ─┐ │ │ │ │системы защиты│ │
│ │текущего состояния│ Процессы │ \/ │ └───────┬──────┘ │ ┌───────────────┐
│ │ защиты ПДн │ обработки │ ┌───────────────┐ │ \/ ├─>│ Спецификации │
│ └──────────────────┘ ПДн, │ │ Разработка │ │ ┌──────────────┐ │ │средств защиты/│
│ выполняемые │ ┌─┤ документации │ │ │ Внедрение ├─┼──┐ │ │ сметы работ │
│ оптимальным и │ │ по защите ПДн│ │ │системы защиты│ │ │ └───────────────┘
│ безопасным │ └───────────────┘ │ └───────┬──────┘ │ │
│ образом │ /\ │ │ │ │
│ └ ─ ─ ─ ─ ─ ─ ┘ │ │ │ │ │ │ ┌───────────────┐
│ │ \/ │ │ │ └─>│ Рабочая │
│ ┌ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┼ ┘ ┌──────────────┐ │ │ │ │ документации │
│ │ │ Создание │ │ │ │ └───────────────┘
│ └───>┤ системы │<┘ │ │
│ │ защиты ПДн │ │ │
│ \/ └───┬──────────┘ \/ │ ┌───────────────┐
│ ┌───────────────────┐ ┌─ ─ ─ ─ ─ ─ ─┐ /\ ┌─────────────┐ └───>│ План │
│ │ Пакет необходимой │<─┘ Система │ │ Тестирование│ │пусконаладочных│
│ │ для обработки ПДн │ защиты ПДн <─ ─ ─ ─ ┘ │ │ системы │ │ работ │
│ │ документации │ │ │ защиты, │ └───────────────┘
│ └───────────────────┘ ┌───────────┴─┐ │ │ контроль ├───────────────┐
│ ┌───────────────────┐ └─┤Документация │ │ │ выполнения │ \/
│ │ Контроль │ │ на систему │ │ │ требований │ ┌───────────────┐
└──┤ эффективности │ │ защиты ПДн │ │ └──────┬──────┘ │ Программа и │
│системы защиты ПДн │<──┐ └─────────────┘ │ │ │ методика │
└───────────────────┘ │ │ │ │ испытаний/ │
│ \/ │ │ опытной │
│ ┌───────────────┐ │ │ эксплуатации │
│ ┌─────────────┐ │ Получение │ \/ └───────────────┘
│ │Эксплуатация │ │ лицензий ФСТЭК│ ┌──────────────┐
└──>│ системы │<────┤ и/или ФСБ │ │ Аттестация │ ┌───────────────┐
│ защиты ПДн │ │ России либо │ │(сертификация)├┼──────>│ Аттестат │
└─────────────┘ │ заключение │ │ систем │ │ соответствия/ │
│ договора с │ │обработки ПДн │ │ Сертификат │
│организациями- │ └──────────────┘ └───────────────┘
│ лицензиантами │ └ ─ ─ ─ ─ ─ ─ ─ ─ ─┘
│ (по │
│ необходимости)│
└───────────────┘
--------------------------------
Примечание:
<*> ПДн - персональные данные.
<**> ИСПДн - информационные системы персональных данных.
