Об утверждении должностного регламента оператора по обеспечению безопасности персональных данных по администрации Углицкого сельского поселения Чесменского муниципального района Челябинской области

Администрация Углицкого сельского поселения

Чесменского муниципального района

Челябинской области

ПОСТАНОВЛЕНИЕ

от «06» декабря 2012г. № 72а

п. Углицкий

Об утверждении должностного регламента оператора

по обеспечению безопасности персональных данных

по администрации Углицкого сельского поселения

Чесменского муниципального района Челябинской области».

В соответствии с Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации, с федеральными законами Российской Федерации от 27.07. 2007 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных ", иными нормативно-правовыми актами, действующими на территории Российской Федерации

ПОСТАНОВЛЯЮ:

1. Утвердить должностной регламент оператора по обеспечению безопасности персональных данных по администрации Углицкого сельского поселения Чесменского муниципального района Челябинской области (прилагается).

2. Назначить оператором по обеспечению безопасности персональных данных специалиста администрации (Ключинская Любовь Петровна).

3. Установить, что оператор проводит свою работу согласно нормативным методическим документам Федеральной службы по техническому и экспортному контролю России, Федеральной службы безопасности России и иных уполномоченных законодательством органов в области обеспечения безопасности персональных данных.

4. Утвердить план мероприятий по защите персональных данных (прилагается).

5. Контроль за исполнением Постановления оставляю за собой.

Глава поселения

Т.В.Сычева

Утверждаю

Глава Администрации Углицкого

сельского поселения Чесменского

муниципального района

Челябинской области

_________________ Т.В.Сычева.

"06"декабря"2012 "г.

Должностной регламент оператора по обеспечению безопасности персональных данных

п. Углицкий

2012 год

Должностной регламент оператора по обеспечению безопасности персональных данных

I. Общие положения

1.1. Настоящий должностной регламент оператора по обеспечению безопасности персональных данных (далее - Регламент) определяет основные цели, функции и права оператора по обеспечению безопасности персональных данных (далее - оператор) в соответствующем муниципальном образовании.

1.2. Оператор назначается постановлением (или иным документом) главы администрации Углицкого сельского поселения на основании Положения о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам, утвержденного постановлением Совета Министров - Правительства Российской Федерации от 15 сентября 1993 г. № 912-51, во исполнение Федерального Закона «О персональных данных» №152-ФЗ от 27.07.2006г.

1.3. Оператор проводит свою работу согласно нормативным методическим документам Федеральной службы по техническому и экспортному контролю России, Федеральной службы безопасности России и иных уполномоченных законодательством органов в области обеспечения безопасности персональных данных.

1.4. Непосредственное руководство работой оператора осуществляет глава муниципального образования, курирующий вопросы защиты информации.

Назначение и освобождение от должности оператора производится главой муниципального образования.

1.5. Оператор назначается из числа сотрудников соответствующего муниципального образования, имеющих опыт работы по основной деятельности соответствующего муниципального образования или в области защиты.

1.6. Оператор приравнивается по оплате труда, льготам и премированию к соответствующим категориям работников основных подразделений соответствующем муниципальном образовании.

1.7. Работа оператора проводится в соответствии с планами работ, утверждаемыми непосредственно главой муниципального образования.

1.8. В своей работе оператор руководствуется законодательными и иными нормативными актами Российской Федерации в области обеспечения безопасности персональных данных, приказами и указаниям главы муниципального образования и другими руководящими документами по обеспечению безопасности персональных данных.

II. Основные функции оператора

2.1. Проведение единой технической политики, организация и координация работ по обеспечению безопасности персональных данных в соответствующем муниципальном образовании.

2.2. Проведение мероприятий по организации обеспечения безопасности персональных данных, включая классификацию информационных систем персональных данных.

2.3. Проведение мероприятий по техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, в том числе

- мероприятия по размещению, охране, организации режима допуска в помещения, где ведется обработка персональных данных;

- мероприятия по закрытию технических каналов утечки персональных данных при их обработке;

- мероприятия по защите от несанкционированного доступа к персональным данным

- мероприятия по выбору средств защиты персональных данных при их обработке.

2.4. Проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным или передачи их лицам, не имеющим права доступа к такой информации.

2.5. Своевременное обнаружение фактов несанкционированного доступа к персональным данным.

2.6. Недопущение воздействия на технические средства обработки персональных данных, в результате которого может быть нарушено их функционирование.

2.7. Обеспечение возможности восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

2.8. Постоянный контроль за обеспечением уровня защищенности персональных данных.

2.9. Участие в подготовке объектов соответствующей организации к аттестации по выполнению требований обеспечения безопасности персональных данных.

2.10. Разработка организационных распорядительных документов по обеспечению безопасности персональных данных в соответствующем муниципальном образовании.

2.11. Муниципальное образование в установленном порядке расследования причин и условий появления нарушений в безопасности персональных данных и разработка предложений по устранению недостатков и предупреждению подобного рода нарушений, а также осуществление контроля за устранением этих нарушений.

2.12. Разработка предложений, участие в проводимых работах по совершенствованию системы безопасности персональных данных в соответствующем муниципальном образовании.

2.13. Проведение периодического контроля эффективности мер защиты персональных данных в соответствующем муниципальном образовании. Учет и анализ результатов контроля.

2.14. Муниципальное образование повышения осведомленности руководства и сотрудников в соответствующем муниципальном образовании по вопросам обеспечения безопасности персональных данных, сотрудников подведомственных предприятий, учреждений и организаций.

2.15. Подготовка отчетов о состоянии работ по обеспечению безопасности персональных данных в соответствующем муниципальном образовании.

III. Права оператора

Оператор имеет право:

3.1. Запрашивать и получать необходимые материалы для организации и проведения работ по вопросам обеспечения безопасности персональных данных.

3.2. Разрабатывать проекты организационных и распорядительных документов по обеспечению безопасности персональных данных.

3.3. Готовить предложения о привлечении к проведению работ по защите информации на договорной основе организаций, имеющих лицензии на право проведения работ в области защиты информации.

3.4. Контролировать деятельность структурных подразделений соответствующей организации в части выполнения ими требований по обеспечению безопасности персональных данных.

3.5. Вносить предложения главе муниципального образования о приостановке работ в случае обнаружения несанкционированного доступа, утечки (или предпосылок для утечки) персональных данных.

3.6. Привлекать в установленном порядке необходимых операторов из числа сотрудников соответствующем муниципальном образовании для проведения исследований, разработки решений, мероприятий и организационно-распорядительных документов по вопросам обеспечения безопасности персональных данных.

IV. Ответственность оператора

4.1. Оператор несет персональную ответственность за:

правильность и объективность принимаемых решений;

правильное и своевременное выполнение постановлений, распоряжений, указаний главы соответствующем муниципальном образовании по вопросам, входящим в возложенные на него функции;

выполнение возложенных на него обязанностей, предусмотренных настоящим Регламентом;

соблюдение трудовой дисциплины, охраны труда;

качество проводимых работ по обеспечению безопасности персональных данных в соответствии с функциональными обязанностями.

согласно действующему законодательству Российской Федерации за разглашение сведений ограниченного распространения, ставших известными ему по роду работы.

[1] План утверждается приказом руководителя организации

№ п\п	Наименование мероприятия	Срок выполнения	Ответственный за выполнение	Примечание
1.	Оформление правового основания обработки персональных данных	При вводе информационной системы персональных данных (ИСПДн) в эксплуатацию		При создании ИСПДн необходимо оформить приказ о вводе ее в эксплуатацию. Приказ оформляется руководителем организации.
2.	Направление в уполномоченный орган (Роскомнадзор) уведомления о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации	При необходимости		Уведомление направляется при ввводе в эксплуатацию новых информационных систем персональных данных, либо при внесении изменений в существующие
3.	Документальное регламентирование работы с ПД	При необходимости		Разработка положения по обработке и защите персональных данных, регламента специалиста ответственного за безопасность персональных данных, либо внесение изменений в существующие
4.	Получение письменного согласия субъектов ПД (физических лиц) на обработку ПД в случаях, когда этого требует законодательство	Постоянно		Письменное согласие получается при передаче ПД субъектами для обработки в ИСПДн, либо для обработки без использования средств автоматизации. Форма согласия приведена в Положении об обработке и защите ПД.
5.	Пересмотр договора с субъектами ПД в части обработки ПД	При необходимости		(например, в договор может быть включено согласие субъекта на обработку и передачу его ПД). Пересмотр договоров проводится при необходимости и оставляется на усмотрение организации – оператора ПД
6.	Установка сроков обработки ПД и процедуры их уничтожения по окончании срока обработки	При необходимости		Для каждой ИСПДн организацией - оператором ПД должны быть установлены сроки обработки ПД, что должно быть документально подтверждено в паспорте на ИСПДн. При пересмотре сроков – необходимые изменения должны быть внесены в паспорт ИСПДн
7.	Ограничение доступа работников к ПД	При необходимости (при создании ИСПДн)		В случае создания ИСПДн, а также приведения имеющихся ИСПДн в соответствии с требованиями закона необходимо разграничить доступ к ПД сотрудников организации согласно матрице доступа(сотрудники наделяются минимальными полномочиями доступа, необходимыми для выполнения ими своих обязанностей, например, могут иметь права только на просмотр ПД) Матрица доступа утверждается руководителем организации. При необходимости пересматривается (увольнение, прием новых сотрудников и прочее), подшивается в паспорт ИСПДн
8.	Повышение квалификации сотрудников в области защиты персональных данных	Постоянно		Ответственных за выполнение работ – не менее раз в два года, повышение осведомленности сотрудников – постоянно (данное обучение проводит ответственный за выполнение работ по ИБ)
9.	Инвентаризация информационных ресурсов с целью выявления присутствия и обработки в них ПД	Раз в полгода
10.	Классификация информационных систем персональных данных (ИСПД)	При необходимости		Классификация проводится при создании ИСПДн, при выявлении в информационных системах ПД, при изменении состава, структуры самой ИСПДн или технических особенностей ее построения (изменилось ПО, топология и прочее)
11.	Выявление угроз безопасности и разработка моделей угроз и нарушителя	При необходимости		Разрабатывается при создании системы защиты ИСПДн
12.	Аттестация (сертификация) СЗПД или декларирование соответствия по требованиям безопасности ПД	При необходимости		Проводится совместно с лицензиатами ФСТЭК
13.	Эксплуатация ИСПД и контроль безопасности ПД	Постоянно