1. Общие положения
Настоящая политика информационной безопасности при работе с персональными данными в администрации Нефтекумского муниципального округа Ставропольского края (далее - политика) составлена в соответствии с требованиями Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» (далее - Закон о персональных данных) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые администрацией Нефтекумского муниципального округа Ставропольского края (далее – Администрация).
Администрация ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Настоящая политика Администрации в отношении обработки персональных данных применяется ко всей информации, которую Администрация может получить о посетителях веб-сайта https://anmosk.gosuslugi.ru.
Политика разработана в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных изложенных в Положении информационной безопасности ИСПДн Администрации.
В Политике определены требования к персоналу ИСПДн, степень ответственности персонала, структура и необходимый уровень защищенности, статус и должностные обязанности работников, ответственных за обеспечение безопасности персональных данных в ИСПДн Администрации.
Целью настоящей Политики, является обеспечение безопасности объектов защиты от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн (УБПДн).
Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Требования настоящей Политики распространяются на всех работников Администрации (штатных, временных, работающих по контракту и т.п.), а также всех прочих лиц (подрядчики, аудиторы и т.п.).
2. Основные понятия, используемые в Политике
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://anmosk.gosuslugi.ru/.
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта https://anmosk.gosuslugi.ru.
Персональные данные, разрешенные субъектом персональных данных для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее – персональные данные, разрешенные для распространения).
Пользователь – любой посетитель веб-сайта https://anmosk.gosuslugi.ru.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.
3. Система защиты персональных данных
Система защиты персональных данных (СЗПДн), строится на основании:
отчета о результатах проведения внутренней проверки обеспечения защиты персональных данных в администрации Нефтекумского муниципального округа Ставропольского края (приложение 1);
акта классификации информационной системы персональных данных (приложение 2);
модели угроз безопасности персональных данных (приложение 3);
матрицы доступа пользователей к защищаемым информационным ресурсам ИСПДН (приложение 4);
руководящих документов ФСТЭК и ФСБ России.
На основании этих документов определяется необходимый уровень защищенности ПДн каждой ИСПДн. На основании анализа актуальных угроз безопасности ПДн описанного в Модели угроз, делается заключение о необходимости использования технических средств и организационных мероприятий для обеспечения безопасности ПДн. Выбранные необходимые мероприятия отражаются в "Плане мероприятий по обеспечению защиты ПДн".
Для ИСПДн должен быть составлен список используемых технических средств защиты (далее - Список), а также программного обеспечения участвующего в обработке ПДн, на всех элементах ИСПДн:
АРМ пользователей;
сервера приложений;
СУБД;
граница ЛВС;
каналов передачи в сети общего пользования и (или) международного обмена, если по ним передаются ПДн.
В зависимости от уровня защищенности ИСПДн и актуальных угроз, СЗПДн может включать следующие технические средства:
антивирусные средства для рабочих станций пользователей и серверов;
средства межсетевого экранирования;
средства защиты от несанкционированного доступа;
сканер уязвимостей;
средства криптографической защиты информации, при передаче защищаемой информации по каналам связи.
Также в список должны быть включены функции защиты, обеспечиваемые штатными средствами обработки ПДн операционными системами (ОС), прикладным ПО и специальными комплексами, реализующими средства защиты. Список функций защиты может включать:
управление и разграничение доступа пользователей;
регистрацию и учет действий с информацией;
обеспечивать целостность данных;
производить обнаружений вторжений.
Список используемых технических средств отражается в "Плане мероприятий по обеспечению защиты персональных данных". Список используемых средств должен поддерживаться в актуальном состоянии. При изменении состава технических средств защиты или элементов ИСПДн, соответствующие изменения должны быть внесены в Список и утверждены руководителем Администрации или лицом, ответственным за обеспечение защиты ПДн.
4. Пользователи ИСПДн
В Положении информационной безопасности определены основные категории пользователей. На основании этих категории должна быть произведена типизация пользователей ИСПДн, определен их уровень доступа и возможности.
В ИСПДн Администрации можно выделить следующие группы пользователей, участвующих в обработке и хранении ПДн:
Администратор ИСПДн;
Администратор безопасности;
Оператор АРМ.
Данные о группах пользователях, уровне их доступа и информированности должен быть отражен в Матрице доступа пользователей к защищаемым информационным ресурсам.
Администратор ИСПДн - работник Администрации, ответственный за настройку, внедрение и сопровождение ИСПДн, обеспечивает функционирование подсистемы управления доступом ИСПДн и уполномочен осуществлять предоставление и разграничение доступа конечного пользователя (Оператора АРМ) к элементам хранящим персональные данные.
Администратор ИСПДн обладает следующим уровнем доступа и знаний:
полной информацией о системном и прикладном программном обеспечении ИСПДн;
полной информацией о технических средствах и конфигурации ИСПДн;
правами конфигурирования и административной настройки технических средств ИСПДн;
имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн.
Администратор безопасности - работник Администрации, ответственный за функционирование СЗПДн, включая обслуживание и настройку административной, серверной и клиентской компонент.
Администратор безопасности обладает следующим уровнем доступа и знаний:
правами Администратора ИСПДн;
полной информацией об ИСПДн;
правами конфигурирования и административной настройки технических средств ИСПДн.
имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн;
Администратор безопасности уполномочен:
реализовывать политики безопасности в части настройки СКЗИ, межсетевых экранов и систем обнаружения атак, в соответствии с которыми пользователь (Оператор АРМ) получает возможность работать с элементами ИСПДн;
осуществлять аудит средств защиты;
Администратор ИСПДн и администратор безопасности несут ответственность за все действия, совершенные от имени их учетных записей или системных учетных записей, если не доказан факт несанкционированного использования учетных записей.
Оператор АРМ - работник Администрации, осуществляющий обработку ПДн, которая включает возможность просмотра ПДн, ручной ввод ПДн в систему ИСПДн, формирование справок и отчетов по информации, полученной из ИСПД. Оператор не имеет полномочий для управления подсистемами обработки данных и СЗПДн.
Оператор ИСПДн обладает следующим уровнем доступа и знаний:
необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;
имеет доступ конфиденциальным данным.
5. Требования к персоналу по обеспечению защиты ПДн
Все работники Администрации, являющиеся пользователями ИСПДн, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн.
При вступлении в должность нового работника непосредственный начальник отдела, в которое он поступает, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн.
Работник должен быть ознакомлен со сведениями настоящей Политики, принятых процедур работы с элементами ИСПДн и СЗПДн.
Работники Администрации, использующие технические средства аутентификации, должны:
обеспечивать сохранность идентификаторов (электронных ключей) и не допускать НСД к ним, а также возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов;
обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты;
следовать установленным процедурам поддержания режима безопасности ПДн при выборе и использовании паролей (если не используются технические средства аутентификации).
Работникам запрещается:
устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а также записывать на них защищаемую информацию;
разглашать защищаемую информацию, которая стала им известна при работе с информационными системами Администрации, третьим лицам.
Работники Администрации обязаны:
при работе с ПДн в ИСПДн обеспечить отсутствие возможности просмотра ПДн третьими лицами с мониторов АРМ или терминалов;
при завершении работы с ИСПДн защитить АРМ или терминалы с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты;
без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы ИСПДн, могущих повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководству подразделения и лицу, отвечающему за немедленное реагирование на угрозы безопасности ПДн.
Работники Администрации должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение.
Ответственность работников ИСПДн Администрации:
В соответствии со ст. 24 Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных" лица, виновные в нарушении требований данного Федерального закона несут предусмотренную Законодательство Российской Федерации ответственность.
Действующее законодательство РФ позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению работы ЭВМ или сетей (статьи 272, 273 и 274 УК РФ).
6. Основные права и обязанности Администрации
Администрация имеет право:
получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
в случае отзыва субъектом персональных данных согласия на обработку персональных данных Администрация вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных;
самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.
Администрация обязана:
предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ;
отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую в соответствии с требованиями Закона о персональных данных;
публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки персональных данных;
принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных;
исполнять иные обязанности, предусмотренные Законом о персональных данных.
7. Основные права и обязанности субъектов персональных данных
Субъекты персональных данных имеют право:
получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
требовать от Администрации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг;
на отзыв согласия на обработку персональных данных;
обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Администрации при обработке его персональных данных;
на осуществление иных прав, предусмотренных законодательством РФ.
Субъекты персональных данных обязаны:
предоставлять Оператору достоверные данные о себе;
сообщать Администрации об уточнении (обновлении, изменении) своих персональных данных.
Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.
8. Администрация может обрабатывать следующие персональные данные Пользователя
фамилия, имя, отчество;
год рождения;
месяц рождения;
дата рождения;
место рождения;
семейное положение;
социальное положение;
имущественное положение;
доходы;
пол;
адрес электронной почты;
адрес места жительства;
адрес регистрации;
номер телефона;
СНИЛС;
ИНН,
гражданство;
данные документа, удостоверяющего личность;
данные водительского удостоверения;
данные документа, удостоверяющего личность за пределами Российской Федерации;
данные документа, содержащиеся в свидетельстве о рождении;
реквизиты банковской карты;
номер расчетного счета;
номер лицевого счета;
профессия;
должность;
сведения о трудовой деятельности (в том числе стаж работы данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);
отношение к воинской обязанности, сведения о воинском учете, сведения об образовании;
сведения об образовании;
сведения о судимости;
иные персональные данные.
Также на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и других).
Вышеперечисленные данные далее по тексту Политики объединены общим понятием Персональные данные.
9. Принципы обработки персональных данных
Обработка персональных данных осуществляется на законной и справедливой основе.
Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Обработке подлежат только персональные данные, которые отвечают целям их обработки.
Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.
При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Администрация принимает необходимые меры и/или обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
10. Цели обработки персональных данных
Информирование Пользователя посредством отправки электронных писем;
Предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на веб-сайте https://anmosk.gosuslugi.ru/.
Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.
11. Условия обработки персональных данных
Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Обработка персональных данных необходима для осуществления прав и законных интересов Администрации или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
12. Порядок сбора, хранения, передачи и других видов обработки персональных данных
Безопасность персональных данных, которые обрабатываются Администрацией, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.
Администрация обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.
Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства либо в случае, если субъектом персональных данных дано согласие Администрации на передачу данных третьему лицу для исполнения обязательств по гражданско-правовому договору.
В случае выявления неточностей в персональных данных, Пользователь может актуализировать их самостоятельно, путем направления Администрации уведомление на адрес электронной почты angosk@angosk.ru с пометкой «Актуализация персональных данных».
Срок обработки персональных данных определяется достижением целей, для которых были собраны персональные данные, если иной срок не предусмотрен договором или действующим законодательством.
Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Администрации уведомление посредством электронной почты на электронный адрес angosk@angosk.ru с пометкой «Отзыв согласия на обработку персональных данных».
Вся информация, которая собирается сторонними сервисами, в том числе средствами связи и другими поставщиками услуг, хранится и обрабатывается указанными лицами (Операторами) в соответствии с их Пользовательским соглашением и Политикой конфиденциальности. Субъект персональных данных и/или Пользователь обязан самостоятельно своевременно ознакомиться с указанными документами. Администрация не несет ответственность за действия третьих лиц, в том числе указанных в настоящем пункте поставщиков услуг.
Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных для распространения, не действуют в случаях обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством РФ.
13. Перечень действий, производимых Администрацией с полученными персональными данными
Администрация осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
Администрация осуществляет автоматизированную обработку персональных данных с получением и/или передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.
14. Конфиденциальность персональных данных
Администрация и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
15. Заключительные положения
Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись в Администрацию с помощью электронной почты angosk@angosk.ru.
В данном документе будут отражены любые изменения политики обработки персональных данных. Политика действует бессрочно до замены ее новой версией.
Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу https://anmosk.gosuslugi.ru/policy/.