- •Перечень используемых сокращений
- •Постановка задачи
- •Перечень использованных нормативных и нормативно-методических документов
- •Описание организации, владельца информационной системы
- •Описание информационной системы персональных данных
- •1. Наименование организации
- •2. Наименование испДн
- •3. Физическое расположение испДн
- •4. Логическая структура испДн
- •Акт предварительной классификации информационной системы персональных данных
- •Акт предварительной классификации информационной системы персональных данных «Хранилище»
- •Перечень персональных данных, обрабатываемый организацией
- •Положение об обработке персональных данных субъектов
- •1. Общие требования при обработке персональных данных
- •2. Получение персональных данных
- •3. Хранение персональных данных
- •4. Передача персональных данных
- •5. Уничтожение персональных данных
- •Регламент по работе с носителями персональных данных
- •Регламент по работе с носителями персональных данных
- •Регламент реагирования на запросы субъектов
- •Регламент реагирования на запросы субъектов
- •План внутренних проверок обработки пДн
- •План внутренних проверок обработки пДн
- •Регламент по порядку обезличивания пДн в испДн
- •Регламент по порядку обезличивания пДн в испДн
- •Положение о защите персональных данных
- •Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных
- •Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных
- •Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обработке персональных данных
- •Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обработке персональных данных
- •Приказ о назначении и закреплении функциональных обязанностей ответственного за организацию обработки персональных данных
- •Политика обработки персональных данных
- •Политика обработки персональных данных
- •Описание доверенных пользователей информационной системы персональных данных с обоснованием
- •Оценка возможности сговора нарушителей
- •Оценка исходной защищенности информационной системы персональных данных
- •Модель нарушителя для информационной системы персональных данных
- •Модель нарушителя в соответствии с требованиями нормативных документов фсб России
- •Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных
- •Модель атак для испДн
- •Перечень актуальных угроз, атак и меры противодействия
- •Классы используемых средств защиты информации
- •Частное техническое задание на выполнение работ по созданию системы защиты персональных данных
- •Пояснительная записка к техническому проекту на создание системы защиты персональных данных
- •4.5 Система контроля защищенности «Сканер вс»
- •4.6 Система Secret Disk
3. Хранение персональных данных
3.1. Хранение персональных данных субъектов осуществляется на бумажных и электронных носителях с ограниченным доступом.
3.2. Личные дела хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела хранятся в специально отведенной секции сейфа, обеспечивающего защиту от несанкционированного доступа.
3.3. Подразделения, хранящие персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному постановлением правительства РФ 15 сентября 2008 г. N 687.
3.4. Хранение персональных данных в автоматизированной базе данных обеспечивается защитой согласно Постановлению Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
4. Передача персональных данных
4.1. При передаче персональных данных субъекта оператор обязан соблюдать следующие требования:
- передача персональных данных субъектов не допускается без письменного согласия субъекта, за исключением случаев, установленных федеральными законами. В случае, если лицо, обратившееся с запросом, не обладает соответствующими полномочиями на получение персональных данных субъекта, либо отсутствует письменное согласие субъекта на передачу его персональных данных, Министерство вправе отказать в предоставлении персональных данных. В этом случае лицу, обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации;
- предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать требования конфиденциальности;
- все сведения о передаче персональных данных субъекта регистрируются в целях контроля правомерности использования данной информации лицами, ее получившими. Регистрации подлежат сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается, какая именно информация была передана.
4.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
4.3. Внутренний доступ (доступ внутри организации) к персональным данным субъекта. Право доступа к персональным данным субъекта имеют работники в соответствии с разграничением прав доступа к обрабатываемым персональным данным.
4.4. Все сотрудники, имеющие доступ к персональным данным субъектов, обязаны подписать соглашение о неразглашении персональных данных.
4.5. К числу массовых потребителей персональных данных вне учреждения относятся государственные и негосударственные функциональные структуры: налоговые инспекции; правоохранительные органы; органы статистики; страховые агентства; военкоматы; органы социального страхования; пенсионные фонды; подразделения федеральных, областных и муниципальных органов управления. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.
4.6. Организации, в которые субъект может осуществлять перечисления денежных средств (страховые Общества, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения) могут получить доступ к персональным данным субъекта только в случае его письменного разрешения.