Приказ Депинформтехнологий Югры №164 от 26 июня 2017 года «Об организации работы с персональными данными в Департаменте информационных технологий Ханты-Мансийского автономного округа – Югры»
В соответствии с требованиями Федерального закона Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных, Постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»,
п р и к а з ы в а ю:
1. Возложить обязанности по защите информации:
1.1. Назначить ответственным за организацию обработки персональных данных в информационных системах персональных данных начальника Административного управления Тарасенко Оксану Сергеевну.
1.2. Назначить ответственным за обеспечение безопасности персональных данных в информационных системах персональных данных консультанта отдела телекоммуникаций и технической экспертизы Управления телекоммуникаций, связи и телерадиовещания Косенка Алексея Сергеевича.
1.3. Назначить ответственным за контроль выполнения требований по обработке персональных данных в структурных подразделениях ИСПДн «Бухгалтерский учет» начальника финансово-экономического отдела Административного управления Гурину Ольгу Александровну; ИСПДн «Кодекс: Управление персоналом» консультанта отдела правовой и кадровой работы Административного управления Пинигину Светлану Анатольевну; ИС «ССТУ» главного специалиста-эксперта отдела организационного обеспечения и торгов Административного управления Старикову Наталью Александровну; ИС «ТИС и СЭД «Дело» начальника Управления развития Территориальной информационной системы Югры и электронного правительства Михайлова Владимира Александровича.
2. Утвердить перечень должностей в Департаменте информационных технологий Ханты-Мансийского автономного округа - Югры, доступ которых к персональным данным, в том числе обрабатываемым в информационных системах персональных данных, необходим для выполнения ими служебных (трудовых) обязанностей согласно приложению 1 к настоящему приказу.
3. Утвердить перечень должностей в Департаменте информационных технологий Ханты-Мансийского автономного округа - Югры, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных, согласно приложению 2 к настоящему приказу.
4. Создать комиссию по защите информации:
4.1. Утвердить состав комиссии по защите информации согласно приложению 3 к настоящему приказу.
4.2. Утвердить положение о комиссии по защите информации согласно приложению 4 к настоящему приказу.
5. Утвердить типовые формы документов по защите информации:
5.1. Согласие на обработку персональных данных согласно приложению 5 к настоящему приказу.
5.2. Разъяснение субъекту персональных данных согласно приложению 6 к настоящему приказу.
5.3. Обязательство о неразглашении информации, содержащей персональные данные, согласно приложению 7 к настоящему приказу.
5.4. Журналы по защите информации согласно приложению 8 к настоящему приказу.
5.5. Протокол заседания комиссии по защите информации согласно приложению 9 к настоящему приказу.
5.6. Акт определения уровня защищенности персональных данных при их обработке в информационных системах персональных данных и класса защищенности информационных систем согласно приложению 10 к настоящему приказу.
5.7. Акт об уничтожении персональных данных субъектов персональных данных согласно приложению 11 к настоящему приказу.
6. Утвердить перечень информационных систем персональных данных согласно приложению 12 к настоящему приказу.
7. Утвердить перечень обрабатываемых персональных данных согласно приложению 13 к настоящему приказу.
8. Утвердить положение об организации режима обеспечения безопасности помещений, в которых размещены информационные системы персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения, согласно приложению 14 к настоящему приказу.
9. Утвердить политику в отношении обработки персональных данных согласно приложению 15 к настоящему приказу.
10. Утвердить инструкции и правила по защите информации:
− Инструкцию ответственного за организацию обработки персональных данных согласно приложению 16 к настоящему приказу;
− Инструкцию ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных согласно приложению 17 к настоящему приказу;
− Инструкцию ответственного за контроль выполнения требований по обработке персональных данных в структурных подразделениях согласно приложению 18 к настоящему приказу;
− Инструкция пользователя информационной системы персональных данных согласно приложению 19 к настоящему приказу;
− Инструкцию по организации резервирования и восстановления программного обеспечения и баз персональных данных в информационных системах персональных данных согласно приложению 20 к настоящему приказу;
− Инструкцию по идентификации и аутентификации пользователей информационных систем персональных данных согласно приложению 21 к настоящему приказу;
− Инструкцию по организации антивирусной защиты в информационных системах персональных данных согласно приложению 22 к настоящему приказу;
− Инструкцию по проверке электронного журнала обращений к информационным системам персональных данных согласно приложению 23 к настоящему приказу;
− Инструкцию о пропускном и внутриобъектовом режимах согласно приложению 24 к настоящему приказу;
− Инструкцию по обработке персональных данных без использования средств автоматизации согласно приложению 25 к настоящему приказу;
− Инструкцию по работе с инцидентами информационной безопасности согласно приложению 26 к настоящему приказу;
− Инструкцию по обращению с криптографическими средствами защиты информации согласно приложению 27 к настоящему приказу;
− Правила рассмотрения запросов субъектов персональных данных или их представителей согласно приложению 28 к настоящему приказу;
− Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных согласно приложению 29 к настоящему приказу;
− Правила работы с обезличенными данными в случае обезличивания персональных данных согласно приложению30 к настоящему приказу;
− Порядок уничтожения персональных данных при достижении целей обработки и (или) при наступлении законных оснований согласно приложению 31 к настоящему приказу.
11. Утвердить перечень программного обеспечения, разрешенного для установки в информационных системах персональных данных Департамента информационных технологий Ханты-Мансийского автономного округа - Югры согласно приложению 32 к настоящему приказу.
12. Утвердить перечень интерфейсов средств вычислительной техники, которые могут использоваться для ввода (вывода) информации, разрешенных к использованию в ИСПДн, и должности пользователей, которым предоставлен доступ к разрешенным к использованию интерфейсов ввода (вывода) согласно приложению 33 к настоящему приказу.
13. Утвердить перечень периферийных устройств, для которых допускается возможность удаленной активации, согласно приложению 34 к настоящему приказу.
14. Утвердить перечень периферийных устройств, для которых допускается возможность удаленной активации, согласно приложению 35 к настоящему приказу.
15. Утвердить перечень мобильного кода и технологий мобильного кода, разрешенных для использования в информационных системах персональных данных, согласно приложению 36 к настоящему приказу
|
Директор Департамента |
П.И.Ципорин |