|  |
Региональное законодательство / Иркутская область
РАСПОРЯЖЕНИЕ администрации г. Иркутска от 29.06.2009 № 031-10-701/9
"ОБ УТВЕРЖДЕНИИ ПОРЯДКА РАБОТЫ В АДМИНИСТРАЦИИ Г. ИРКУТСКА С ИНФОРМАЦИЕЙ, СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ГРАЖДАН, В АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ "УЧЕТ ИЗБИРАТЕЛЕЙ, УЧАСТНИКОВ РЕФЕРЕНДУМА"
Официальная публикация в СМИ:
публикаций не найдено
АДМИНИСТРАЦИЯ ГОРОДА ИРКУТСКА
РАСПОРЯЖЕНИЕ
от 29 июня 2009 г. № 031-10-701/9
ОБ УТВЕРЖДЕНИИ ПОРЯДКА РАБОТЫ В АДМИНИСТРАЦИИ
Г. ИРКУТСКА С ИНФОРМАЦИЕЙ, СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
ГРАЖДАН, В АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ
"УЧЕТ ИЗБИРАТЕЛЕЙ, УЧАСТНИКОВ РЕФЕРЕНДУМА"
Руководствуясь Федеральным законом "О персональных данных", ст. 16 Федерального закона "Об общих принципах организации местного самоуправления в Российской Федерации" от 06.10.2003 № 131-ФЗ, Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным постановлением Правительства Российской Федерации от 17.11.2007 № 781, ст.ст. 37, 38, 42 Устава города Иркутска, п. 12.2 постановления администрации г. Иркутска "Об организации и осуществлении регистрации (учета) избирателей, участников референдума на территории города Иркутска" от 13.04.2009 № 031-06-1291/9:
1. Утвердить Порядок работы в администрации г. Иркутска с информацией, содержащей персональные данные граждан, в автоматизированной информационной системе "Учет избирателей, участников референдума" (приложение № 1).
2. Руководителям структурных подразделений администрации г. Иркутска, работникам администрации г. Иркутска, осуществляющим эксплуатацию автоматизированной информационной системы "Учет избирателей, участников референдума" при обработке персональных данных руководствоваться Порядком работы в администрации г. Иркутска с информацией, содержащей персональные данные граждан, в автоматизированной информационной системе "Учет избирателей, участников референдума".
3. Контроль за исполнением настоящего распоряжения оставляю за собой.
Мэр города Иркутска
В.В.ЯКУБОВСКИЙ
Приложение № 1
к распоряжению
администрации города Иркутска
от 29 июня 2009 года
№ 031-10-701/9
ПОРЯДОК
РАБОТЫ В АДМИНИСТРАЦИИ Г. ИРКУТСКА С ИНФОРМАЦИЕЙ,
СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ГРАЖДАН,
В АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ
"УЧЕТ ИЗБИРАТЕЛЕЙ, УЧАСТНИКОВ РЕФЕРЕНДУМА"
1. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ
1.1. Информация - сведения (сообщения, данные) независимо от формы их представления.
1.2. Доступ к информации - возможность получения информации и ее использования.
1.3. Субъект доступа - лицо или процесс, действия которого регламентируются правилами разграничения доступа.
1.4. Объект доступа - единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.
1.5. Система разграничения доступа - совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах.
1.6. Комплекс средств защиты - совокупность программных и технических средств, создаваемых и поддерживаемых для обеспечения защиты средств вычислительной техники или автоматизированных систем от несанкционированного доступа к информации.
1.7. Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
1.8. Санкционированный доступ к информации - доступ к информации, не нарушающий правила разграничения доступа.
1.9. Автоматизированная система (АС) - система, состоящая из работников и комплекса средств автоматизации ее деятельности, реализующая информационную технологию выполнения установленных функций.
1.10. Несанкционированный доступ (НСД) - доступ к информации, нарушающий правила разграничения доступа, с использованием штатных средств (понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем), предоставляемых средствами вычислительной техники или автоматизированными системами.
1.11. Защита от несанкционированного доступа - предотвращение или существенное затруднение несанкционированного доступа.
1.12. Персональные данные (ПДн) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
1.13. Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
1.14. Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
1.15. Использование персональных данных - действия (операции) с персональными данными, совершаемые администрацией г. Иркутска в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
1.16. Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
1.17. Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
1.18. Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
1.19. Информационная система персональных данных (ИСПДн) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
1.20. Конфиденциальность персональных данных - обязательное для соблюдения администрацией г. Иркутска или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
2. ОСНОВНЫЕ ПОЛОЖЕНИЯ
2.1. Порядок работы в администрации г. Иркутска с информацией, содержащей персональные данные граждан, в автоматизированной информационной системе "Учет избирателей, участников референдума" (далее - АИС УИУР) разработан в соответствии с Конституцией Российской Федерации, Федеральным законом "Об информации, информационных технологиях и о защите информации", Федеральным законом "О персональных данных", Федеральным законом "Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации", Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным постановлением Правительства Российской Федерации от 17.11.2007 № 781, Законом Иркутской области "О муниципальных выборах в Иркутской области" от 11.12.2003 № 72-оз, постановлением администрации г. Иркутска "Об организации и осуществлении регистрации (учета) избирателей, участников референдума на территории города Иркутска" от 13.04.2009 № 031-06-1291/9 и определяет содержание, порядок работы с информацией, содержащей персональные данные граждан в АИС УИУР.
2.2. Хранение ПДн субъектов в АИС УИУР в форме, позволяющей определять субъектов ПДн, должно осуществляться не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
2.3. Обработка ПДн может осуществляться без согласия субъектов ПДн на основании Федерального закона "Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации" от 12.06.2002 № 67-ФЗ.
2.4. Проведение любых мероприятий и работ с ПДн без принятия необходимых мер по защите ПДн в соответствии с действующим законодательством не допускается.
2.5. Безопасность ПДн достигается путем исключения НСД, в том числе случайного, доступа к ПДн, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иных несанкционированных действий.
2.6. Безопасность ПДн при их обработке в АИС УИУР должна обеспечиваться с помощью системы защиты ПДн, включающей организационные меры и средства защиты информации, средства предотвращения НСД, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки ПДн, а также используемые в АИС УИУР информационные технологии.
2.7. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту ПДн.
2.8. Работы по обеспечению безопасности ПДн при их обработке в АИС УИУР являются неотъемлемой частью работ при создании и эксплуатации АИС УИУР.
2.9. Специальное оборудование и охрана помещения (помещений), в которых ведется работа с ПДн, организация режима обеспечения безопасности в этом помещении (помещениях) должны обеспечивать сохранность носителей ПДн и средств защиты ПДн, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
2.10. При обработке ПДн в АИС УИУР должно быть обеспечено:
- проведение мероприятий, направленных на предотвращение НСД к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
- своевременное обнаружение фактов НСД к ПДн;
- недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
- возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие НСД к ним;
- постоянный контроль за обеспечением уровня защищенности ПДн.
2.11. Ответственность за проведение необходимых организационных и технических мероприятий по обеспечению безопасности ПДн при их обработке в АИС УИУР от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также иных неправомерных действий с ними возлагается на департамент информатизации аппарата администрации г. Иркутска согласно п. 8.9 постановления администрации г. Иркутска от 13.04.2009 № 031-06-1291/9 "Об организации и осуществлении регистрации (учета) избирателей, участников референдума на территории города Иркутска".
2.12. Нарушение требований действующего законодательства при обработке ПДн в АИС УИУР влечет за собой дисциплинарную, гражданско-правовую, административную, уголовную и иную предусмотренную законодательством РФ ответственность.
3. ОБЯЗАННОСТИ И ПРАВА ДОЛЖНОСТНЫХ ЛИЦ ПРИ
ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В АИС УИУР
3.1. Лицами, ответственными за организацию, обеспечение и выполнение мероприятий по защите информации в АИС УИУР, являются:
- заместитель руководителя аппарата - начальник департамента информатизации аппарата администрации г. Иркутска;
- лица, допущенные к обработке ПДн в АИС УИУР, согласно п. 3.2 настоящего Порядка.
3.2. К ПДн, обрабатываемым в АИС УИУР для выполнения служебных (трудовых) обязанностей, допускаются работники администрации г. Иркутска на основании списка, утвержденного заместителем мэра - руководителем аппарата администрации г. Иркутска, по согласованию с начальником управления по мобилизационной подготовке и гражданской обороне администрации г. Иркутска (далее - управление по МП и ГО) и заместителем руководителя аппарата - начальником департамента информатизации аппарата администрации г. Иркутска.
3.3. Начальник управления по МП и ГО осуществляет контроль за состоянием защиты ПДн в АИС УИУР согласно гл. 4 настоящего Порядка.
3.4. Права субъекта ПДн определяются действующим законодательством.
3.5. Иные права и обязанности структурных подразделений и работников администрации г. Иркутска приведены в соответствующих положениях о структурных подразделениях администрации г. Иркутска и должностных инструкциях работников.
4. КОНТРОЛЬ ЗА СОСТОЯНИЕМ ЗАЩИТЫ ПДн в АИС УИУР
4.1. Контроль за состоянием защиты ПДн в АИС УИУР осуществляется с целью своевременного выявления и предотвращения утечки информации, содержащей ПДн, по техническим каналам, НСД к ней, преднамеренных программно-технических воздействий на такую информацию и оценки защиты ее от технических разведок (далее - контроль).
4.2. Контроль заключается в проверке выполнения требований нормативных правовых актов по вопросам защиты ПДн, в оценке обоснованности и эффективности принятых мер защиты ПДн, в том числе с применением контрольно-измерительной аппаратуры и сертифицированных программных средств контроля.
4.3. Контроль эффективности внедренных в АИС УИУР мер и средств защиты ПДн должен проводиться в соответствии с требованиями действующего законодательства.
4.4. Для проведения некоторых мероприятий контроля (измерение сопротивления защитного заземления, выявление опасных каналов утечки информации, проверка исправности и работоспособности средств защиты информации, оценка эффективности защищенности информации и т.п.) могут привлекаться сторонние организации.
4.5. Организация привлечения сторонних организаций для проведения контроля возлагается на заведующего сектором защиты информации отдела мобилизационной подготовки управления по МП и ГО.
4.6. Должностные лица и работники, эксплуатирующие АИС УИУР, обязаны принять все необходимые меры по немедленному устранению выявленных нарушений. При невозможности их немедленного устранения они обязаны прекратить обработку ПДн и организовать работы по устранению выявленных нарушений.
4.7. Работники, проводящие обработку ПДн в АИС УИУР, обязаны выполнять требования по защите ПДн и несут персональную ответственность за соблюдение требований по защите ПДн в ходе проведения работ.
4.8. Сопровождение системы защиты ПДн от НСД на стадии эксплуатации АИС УИУР, включая ведение служебной информации (генерацию и смену паролей, ключей, сопровождение правил разграничения доступа), оперативный контроль за функционированием системы защиты ПДн от НСД, контроль соответствия общесистемной программной среды эталону (контроль целостности программного обеспечения) и приемку включаемых в АИС УИУР новых программных средств, а также контроль за ходом технологического процесса обработки ПДн путем регистрации и анализа действий работников (пользователей) по системному журналу осуществляется администратором безопасности АИС УИУР (назначенным работником департамента информатизации аппарата администрации г. Иркутска).
4.9. Учет, хранение и выдача работникам паролей и ключей для системы защиты ПДн от НСД, оперативный контроль за действиями работников, использующих АИС УИУР, осуществляют работники департамента информатизации аппарата администрации г. Иркутска.
Начальник управления по
мобилизационной подготовке и
гражданской обороне
администрации г. Иркутска
В.И.ТЕРНОВСКИЙ
Начальник отдела мобилизационной
подготовки управления по
мобилизационной подготовке и
гражданской обороне
администрации г. Иркутска
Б.В.КУРЧИНСКИЙ
------------------------------------------------------------------
--------------------
| | |
|
