МИНИСТЕРСТВО ПРИРОДНЫХ РЕСУРСОВ И ЭКОЛОГИИ
РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ВОДНЫХ РЕСУРСОВ
ПРИКАЗ
от 16 сентября 2024 г. N 250
ОБ ОРГАНИЗАЦИИ
РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ В ФЕДЕРАЛЬНОМ АГЕНТСТВЕ
ВОДНЫХ РЕСУРСОВ
В соответствии со статьей 18.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", во исполнение подпункта "б" пункта 1 перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211, в соответствии с Положением о Федеральном агентстве водных ресурсов, утвержденным постановлением Правительства Российской Федерации от 16 июня 2004 г. N 282, и в целях организации работы с персональными данными в Федеральном агентстве водных ресурсов приказываю:
1. Утвердить:
Правила обработки персональных данных в Федеральном агентстве водных ресурсов согласно приложению N 1 к настоящему приказу;
Правила рассмотрения запросов субъектов персональных данных или их представителей в Федеральном агентстве водных ресурсов согласно приложению N 2 к настоящему приказу;
Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Федерального агентства водных ресурсов, согласно приложению N 3 к настоящему приказу;
Правила работы с обезличенными персональными данными в случае обезличивания персональных данных в Федеральном агентстве водных ресурсов согласно приложению N 4 к настоящему приказу;
перечень персональных данных, обрабатываемых в Федеральном агентстве водных ресурсов в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных услуг и осуществлением государственных функций, согласно приложению N 5 к настоящему приказу;
типовую форму обязательства федерального государственного гражданского служащего Федерального агентства водных ресурсов, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, согласно приложению N 6 к настоящему приказу;
типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные согласно приложению N 7 к настоящему приказу;
Порядок доступа федеральных государственных гражданских служащих Федерального агентства водных ресурсов в помещения, в которых ведется обработка персональных данных, согласно приложению N 8 к настоящему приказу;
должностную инструкцию (регламент) ответственного за организацию обработки персональных данных в Федеральном агентстве водных ресурсов согласно приложению N 9 к настоящему приказу;
перечень информационных систем персональных данных в Федеральном агентстве водных ресурсов согласно приложению N 10 к настоящему приказу;
состав комиссии по уничтожению документов, содержащих персональные данные согласно приложению N 11 к настоящему приказу;
форму акта уничтожения персональных данных согласно приложению N 12 к настоящему приказу;
Положение о разграничении прав доступа к обрабатываемым персональным данным в государственной информационной системе "Цифровая платформа "Водные данные" согласно приложению N 13 к настоящему приказу;
инструкцию ответственного за организацию обработки персональных данных в Федеральном агентстве водных ресурсов согласно приложению N 14 к настоящему приказу;
перечень должностей сотрудников Федерального агентства водных ресурсов, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, согласно приложению N 15 к настоящему приказу;
Положение об организации и проведении работ по обеспечению безопасности персональных данных при их обработке в информационных системах Федерального агентства водных ресурсов согласно приложению N 16 к настоящему приказу;
Положение об обработке персональных данных в Федеральном агентстве водных ресурсов согласно приложению N 17 к настоящему приказу;
перечень должностей сотрудников Федерального агентства водных ресурсов, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, согласно приложению N 18 к настоящему приказу;
Регламент управления доступом к машинным носителям информации согласно приложению N 19 к настоящему приказу.
2. Руководителям территориальных органов Федерального агентства водных ресурсов обеспечить создание комиссий по уничтожению персональных данных и назначение ответственных должностных лиц.
3. Признать утратившим силу приказ Федерального агентства водных ресурсов от 3 июля 2014 г. N 186 "Об утверждении организационно-распорядительных документов по обеспечению защиты информации и безопасности персональных данных при их обработке в Федеральном агентстве водных ресурсов".
4. Контроль за исполнением настоящего приказа возложить на заместителей руководителя в соответствии с распределением обязанностей.
Руководитель
Д.М.КИРИЛЛОВ
Приложение N 1
к приказу Федерального агентства
водных ресурсов
от 16.09.2024 N 250
ПРАВИЛА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ФЕДЕРАЛЬНОМ АГЕНТСТВЕ
ВОДНЫХ РЕСУРСОВ
Общие положения
1. Правила обработки персональных данных в Федеральном агентстве водных ресурсов (далее - Правила) определяют политику Федерального агентства водных ресурсов (далее - Росводресурсы) как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.
2. Обработка персональных данных в Росводресурсах осуществляется с использованием средств автоматизации или без использования таких средств, с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных, и Правил.
Цели обработки персональных данных, содержание
обрабатываемых персональных данных, категории субъектов,
персональные данные которых обрабатываются
3. В Росводресурсах персональные данные обрабатываются в целях:
1) обеспечения задач кадровой работы, в том числе кадрового учета, делопроизводства, содействия в осуществлении служебной (трудовой) деятельности, формирования кадрового резерва, обучения и должностного роста, учета результатов исполнения должностных обязанностей, обеспечения установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, а также в целях противодействия коррупции;
2) осуществления и выполнения возложенных на Росводресурсы полномочий.
4. В целях, указанных в пункте 3 Правил, в Росводресурсах обрабатываются следующие персональные данные:
1) фамилия, имя и отчество (при наличии), в том числе прежние фамилии, имена и отчества (при наличии) в случае их изменения, дата, место и причины изменения;
2) число, месяц и год рождения;
3) место рождения;
4) вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, наименование органа и код подразделения органа (при наличии), выдавшего его, дата выдачи;
5) фотография;
6) сведения о гражданстве (в том числе о прежних гражданствах, иных гражданствах);
7) адрес и дата регистрации по месту жительства (месту пребывания);
8) адрес фактического проживания;
9) сведения о семейном положении;
10) реквизиты свидетельств о государственной регистрации актов гражданского состояния;
11) сведения об образовании (наименование образовательной и (или) иной организации, год окончания, уровень профессионального образования, реквизиты документов об образовании, направление подготовки, специальность и квалификация по документу об образовании, ученая степень, ученое звание (дата присвоения, реквизиты диплома, аттестата), в том числе о послевузовском профессиональном образовании, а также о профессиональной переподготовке, повышении квалификации (наименование образовательной и (или) научной организации, год окончания, реквизиты документа о переподготовке (повышении квалификации), квалификация и специальность по документу о переподготовке (повышении квалификации), наименование программы обучения, количество часов обучения);
12) сведения о владении иностранными языками и языками народов Российской Федерации;
13) сведения о трудовой деятельности, включая работу по совместительству, предпринимательскую и иную деятельность, военную службу;
14) сведения о классном чине федеральной государственной гражданской службы (далее - гражданская служба), и (или) гражданской службы субъекта Российской Федерации, и (или) муниципальной службы, дипломатическом ранге, воинском и (или) специальном звании, классном чине правоохранительной службы, классном чине юстиции, квалификационном разряде гражданской службы, а также сведения о том, кем и когда они присвоены;
15) сведения о составе семьи: родителях, детях, сестрах, братьях, супруге (бывшем или бывшей супруге), супругах братьев и сестер, братьях и сестрах супругов (степень родства, фамилия, имя и отчество (при наличии), дата рождения, место рождения, адрес регистрации (фактического проживания), гражданство, место работы (наименование и адрес организации), должность;
16) сведения о форме и дате оформления допуска к государственной тайне, ранее имевшегося и (или) имеющегося;
17) сведения о государственных наградах, об иных наградах и о знаках отличия;
18) сведения о пребывании за границей (когда, где, с какой целью);
19) сведения о близких родственниках (родителях, братьях, сестрах, детях), а также о супругах, в том числе бывших, постоянно проживающих за границей и (или) оформляющих документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество (при наличии), с какого времени проживают за границей);
20) реквизиты документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета;
21) идентификационный номер налогоплательщика;
22) реквизиты полиса обязательного медицинского страхования;
23) сведения о воинском учете, реквизиты документов воинского учета;
24) сведения о наличии (отсутствии) судимости;
25) сведения о доходах, расходах, об имуществе и обязательствах имущественного характера, а также о доходах, расходах, об имуществе и обязательствах имущественного характера супруги (супруга) и несовершеннолетних детей;
26) номера телефонов или сведения о других способах связи;
27) сведения, содержащиеся в заключении о наличии (отсутствии) у гражданина заболевания, препятствующего поступлению на гражданскую службу или ее прохождению, по учетной форме N 001-ГС/у "Заключение медицинского учреждения о наличии (отсутствии) заболевания, препятствующего поступлению на государственную гражданскую службу Российской Федерации и муниципальную службу или ее прохождению", утвержденной приказом Минздравсоцразвития России от 14 декабря 2009 г. N 984н (зарегистрирован Минюстом России 29 декабря 2009 г., регистрационный N 15878);
28) сведения об отсутствии медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну;
29) сведения об инвалидности, о сроке действия установленной инвалидности;
30) информация о ежегодных оплачиваемых отпусках, об учебных отпусках и отпусках без сохранения денежного содержания;
31) сведения о прохождении гражданской службы, в том числе:
дата, основания поступления на гражданскую службу и назначения на должность гражданской службы;
дата, основания назначения, перевода, перемещения на иную должность гражданской службы;
наименования замещаемых должностей гражданской службы с указанием структурных подразделений Росводресурсов;
размер денежного содержания;
результаты аттестации на соответствие замещаемой должности гражданской службы;
сведения о прежнем месте работы;
32) иные сведения, которые субъект персональных данных пожелал сообщить о себе, а также обработка которых соответствует целям обработки.
5. В Росводресурсах обрабатываются персональные данные субъектов персональных данных, к которым относятся:
1) гражданские служащие Росводресурсов (далее - гражданские служащие) и работники, замещающие в Росводресурсах должности, не являющиеся должностями гражданской службы (далее - работники), и члены их семей;
2) граждане, претендующие на замещение должностей гражданской службы в Росводресурсах, а также члены их семей;
3) лица, замещающие должности руководителей подведомственных Росводресурсам организаций, и члены их семей;
4) граждане, претендующие на замещение должностей руководителей подведомственных Росводресурсам организаций, и члены их семей;
5) граждане, обратившиеся в соответствии с Федеральным законом от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";
6) пользователи государственной информационной системы "Цифровая платформа "Водные данные";
7) лица, представляемые к награждению, наградные материалы по которым представлены в Росводресурсы.
6. Обработка персональных данных гражданских служащих, работников и членов их семей, а также граждан, претендующих на замещение должностей гражданской службы в Росводресурсах, лиц, замещающих должности руководителей подведомственных Росводресурсам организаций, граждан, претендующих на замещение должностей руководителей подведомственных Росводресурсам организаций, а также персональных данных, необходимых в связи с рассмотрением обращений граждан, осуществляется без согласия указанных лиц, в соответствии с пунктом 2 части 1 статьи 6 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных").
7. Согласие субъекта персональных данных на обработку персональных данных необходимо получить при передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных законодательством Российской Федерации о гражданской службе и о противодействии коррупции. Согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом "О персональных данных".
8. Обработка персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 3 Правил, осуществляется гражданскими служащими структурного подразделения Росводресурсов, на которое возложены функции по кадровому обеспечению (далее - гражданские служащие, уполномоченные на обработку персональных данных), и включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
9. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 3 Правил, осуществляются путем:
1) получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые гражданскому служащему, уполномоченному на обработку персональных данных);
2) копирования оригиналов документов;
3) внесения сведений в учетные формы (на бумажных и электронных носителях);
4) формирования персональных данных в ходе кадровой работы;
5) внесения персональных данных в автоматизированные информационные системы, оператором которых являются Росводресурсы и подведомственные Росводресурсам организации, и федеральную государственную информационную систему "Единая информационная система управления кадровым составом государственной гражданской службы Российской Федерации", используемые в целях кадровой работы.
10. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляются путем получения персональных данных непосредственно от субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 3 Правил.
11. В случае возникновения необходимости получения персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 3 Правил, у третьей стороны следует известить об этом субъектов персональных данных, заранее получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.
12. Запрещается получать, обрабатывать и приобщать к личным делам гражданских служащих, руководителей подведомственных Росводресурсам организаций персональные данные, не предусмотренные пунктом 4 Правил, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, членства в общественных объединениях.
13. При сборе персональных данных гражданские служащие, уполномоченные на обработку персональных данных, осуществляющие сбор персональных данных непосредственно от субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 3 Правил, обязаны разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить свои персональные данные.
14. Передача (распространение, предоставление) и использование персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 3 Правил, осуществляются в случаях и в порядке, предусмотренных законодательством Российской Федерации в области персональных данных.
Процедуры, направленные на выявление
и предотвращение нарушений законодательства Российской
Федерации в сфере персональных данных
15. Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных, в Росводресурсах выполняются следующие процедуры:
1) осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
2) ознакомление гражданских служащих, уполномоченных на обработку персональных данных, с законодательством Российской Федерации в области персональных данных, в том числе с требованиями к защите персональных данных и Правилами;
3) ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;
4) осуществление обработки персональных данных в соответствии с принципами и условиями обработки персональных данных, установленными законодательством Российской Федерации в области персональных данных;
5) исключение возможности осуществления обработки персональных данных, несовместимых с целями сбора персональных данных;
6) обеспечение соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
7) обеспечение при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных.
Сроки обработки и хранения персональных данных,
порядок их уничтожения при достижении целей обработки
или при наступлении иных законных оснований
16. Сроки обработки персональных данных в Росводресурсах определяются в соответствии с Федеральным законом "О персональных данных".
Обработка персональных данных субъектов персональных данных, указанных в подпунктах 1 и 3 пункта 5 Правил, осуществляется в течение всего периода прохождения ими гражданской службы или их работы.
Обработка персональных данных субъектов персональных данных, указанных в подпункте 2 пункта 5 Правил, осуществляется в соответствии с Указом Президента Российской Федерации от 1 февраля 2005 г. N 112 "О конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации".
17. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
Сроки хранения персональных данных в Росводресурсах определяются в соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденным приказом Федерального архивного агентства от 20 декабря 2019 г. N 236 (зарегистрирован Министерством юстиции Российской Федерации 6 февраля 2020 г., регистрационный N 57449).
18. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях, в специальных разделах или на полях форм (бланков).
Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в целях, определенных пунктом 3 Правил.
19. Контроль за хранением и использованием материальных носителей, не допускающий несанкционированного использования, уточнения, распространения и уничтожения персональных данных, находящихся на этих носителях, осуществляется руководителями структурных подразделений Росводресурсов.
20. Структурным подразделением Росводресурсов, ответственным за документационное обеспечение, осуществляются систематический контроль и выделение документов, содержащих персональные данные с истекшими сроками хранения, подлежащих уничтожению.
Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании комиссии по уничтожению документов, содержащих персональные данные, состав которой приведен в приложении N 11 к настоящему приказу.
По итогам заседания экспертной комиссии Росводресурсов составляются протокол и акт о выделении для уничтожения документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается членами экспертной комиссии Росводресурсов и утверждается председателем экспертной комиссии.
21. Уничтожению подлежат обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации,
Уничтожение документов, содержащих персональные данные, производится путем сжигания или с помощью уничтожителя бумаги.
Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
Приложение N 2
к приказу Федерального агентства
водных ресурсов
от 16.09.2024 N 250
ПРАВИЛА
РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ИЛИ ИХ
ПРЕДСТАВИТЕЛЕЙ В ФЕДЕРАЛЬНОМ АГЕНТСТВЕ ВОДНЫХ РЕСУРСОВ
1. Субъекты персональных данных, указанные в пункте 5 Правил обработки персональных данных в Федеральном агентстве водных ресурсов (далее - субъекты персональных данных), предусмотренных приложением N 1 к настоящему приказу, имеют право на получение информации, касающейся обработки их персональных данных, содержащей:
1) подтверждение факта обработки персональных данных в Федеральном агентстве водных ресурсов (далее - Росводресурсы);
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые в Росводресурсах способы обработки персональных данных;
4) наименование и место нахождения Росводресурсов, сведения о лицах (за исключением федеральных государственных гражданских служащих Росводресурсов и работников, замещающих в Росводресурсах должности, не являющиеся должностями гражданской службы), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Росводресурсами или в соответствии с законодательством Российской Федерации в области персональных данных;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления персональных данных не предусмотрен Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных");
6) сроки обработки персональных данных, в том числе сроки их хранения в Росводресурсах;
7) порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;
8) наименование организации или фамилию, имя, отчество (при наличии) и адрес лица, осуществляющего обработку персональных данных по поручению Росводресурсов, если обработка поручена или будет поручена такой организации или лицу;
9) иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.
2. Субъект персональных данных вправе требовать от Росводресурсов уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3. Сведения, указанные в пункте 1 настоящих Правил, должны быть предоставлены субъекту персональных данных Росводресурсами в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных в соответствии с частью 2 статьи 14 Федерального закона "О персональных данных".
4. Сведения, указанные в пункте 1 настоящих Правил, предоставляются субъекту персональных данных или его представителю уполномоченным должностным лицом Росводресурсов, осуществляющим обработку персональных данных, при обращении либо при получении запроса субъекта персональных данных или его представителя (далее - запрос).
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Росводресурсами (документ, подтверждающий прием документов на замещение вакантных должностей федеральной государственной гражданской службы в Росводресурсах, и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных в Росводресурсах, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
5. В случае, если сведения, указанные в пункте 1 настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Росводресурсы или направить повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законом "О персональных данных", принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
6. Субъект персональных данных вправе обратиться повторно в Росводресурсы или направить повторный запрос в целях получения сведений, указанных в пункте 1 настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 5 настоящих Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 4 настоящих Правил, должен содержать обоснование направления повторного запроса.
7. Росводресурсы вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 5 и 6 настоящих Правил. Такой отказ должен быть мотивированным.
Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Росводресурсах.
8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
Приложение N 3
к приказу Федерального агентства
водных ресурсов
от 16.09.2024 N 250
ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ "О ПЕРСОНАЛЬНЫХ
ДАННЫХ", ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ
ПРАВОВЫМИ АКТАМИ И ЛОКАЛЬНЫМИ АКТАМИ ФЕДЕРАЛЬНОГО
АГЕНТСТВА ВОДНЫХ РЕСУРСОВ
1. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Федеральном агентстве водных ресурсов (далее - Росводресурсы) организуется проведение плановых и внеплановых проверок условий обработки персональных данных на предмет соответствия Федеральному закону от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее соответственно - плановые проверки, внеплановые проверки, Федеральный закон "О персональных данных").
2. Плановые и внеплановые проверки проводятся Комиссией Федерального агентства водных ресурсов по осуществлению внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - Комиссия), образованной приказом Росводресурсов.
3. В проведении плановых и внеплановых проверок не может участвовать федеральный государственный гражданский служащий Росводресурсов, прямо или косвенно заинтересованный в ее результатах.
4. Плановые проверки проводятся в Росводресурсах на основании ежегодного плана, который разрабатывается и утверждается Комиссией.
В ежегодном плане по каждой плановой проверке устанавливаются объект внутреннего контроля, проверяемый период, срок проведения плановой проверки, ответственные исполнители. Срок проведения плановой проверки не может превышать один месяц с даты принятия решения о ее проведении.
5. Основанием для проведения внеплановой проверки является поступившее в Росводресурсы письменное обращение субъекта персональных данных или его представителя (далее соответственно - обращение, заявитель) о нарушении правил обработки персональных данных. Внеплановая проверка проводится Комиссией в течение одного месяца со дня поступления обращения.
6. Члены Комиссии, получившие доступ к персональным данным субъекта персональных данных в ходе проведения плановых и внеплановых проверок, обеспечивают конфиденциальность персональных данных субъекта персональных данных, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных.
7. По результатам каждой плановой и внеплановой проверки Комиссией проводится заседание. Решения, принятые на заседаниях Комиссии, оформляются протоколом.
8. В случае выявления нарушений по результатам плановых и внеплановых проверок Комиссией определяется перечень мер, необходимых для устранения выявленных нарушений.
9. По существу поставленных в обращении вопросов Комиссия в течение 5 рабочих дней со дня окончания плановых и внеплановых проверок дает письменный ответ заявителю по результатам проверки.
Приложение N 4
к приказу Федерального агентства
водных ресурсов
от 16.09.2024 N 250
ПРАВИЛА
РАБОТЫ С ОБЕЗЛИЧЕННЫМИ ПЕРСОНАЛЬНЫМИ ДАННЫМИ В СЛУЧАЕ
ОБЕЗЛИЧИВАНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ В ФЕДЕРАЛЬНОМ АГЕНТСТВЕ
ВОДНЫХ РЕСУРСОВ
1. Обезличивание персональных данных проводится с целью ведения статистического учета и отчетности, снижения уровня защищенности информационных систем Федерального агентства водных ресурсов (далее - Росводресурсы), если иное не предусмотрено законодательством Российской Федерации.
2. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации и не подлежат разглашению.
3. Обезличивание персональных данных осуществляется в соответствии с приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (зарегистрирован Министерством юстиции Российской Федерации 10 сентября 2013 г., регистрационный N 29935).
4. При обработке обезличенных персональных данных должны соблюдаться требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, а также осуществляться организационно-технические меры по обеспечению безопасности персональных данных, определенные Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17 (зарегистрирован Министерством юстиции Российской Федерации 31 мая 2013 г., регистрационный N 28608), с изменениями, внесенными приказами Федеральной службы по техническому и экспортному контролю от 15 февраля 2017 г. N 27 (зарегистрирован Министерством юстиции Российской Федерации 14 марта 2017 г., регистрационный N 45933), от 28 мая 2019 г. N 106 (зарегистрирован Министерством юстиции Российской Федерации 13 сентября 2019 г., регистрационный N 55924).
5. При обработке обезличенных персональных данных без использования средств автоматизации должны быть обеспечены сохранность содержащих их материальных носителей и порядок доступа работников Росводресурсов в помещения, в которых они хранятся, в целях исключения несанкционированного доступа к обезличенным персональным данным, возможности их несанкционированного уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий в отношении обезличенных персональных данных.
6. При хранении обезличенных данных следует:
1) организовать раздельное хранение обезличенных данных и дополнительной (служебной) информации о выбранном методе обезличивания персональных данных и параметрах процедуры обезличивания персональных данных;
2) обеспечивать конфиденциальность дополнительной (служебной) информации о выбранном методе обезличивания персональных данных и параметрах процедуры обезличивания персональных данных.
Приложение N 5
к приказу Федерального агентства
водных ресурсов
от 16.09.2024 N 250
ПЕРЕЧЕНЬ
ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ФЕДЕРАЛЬНОМ АГЕНТСТВЕ
ВОДНЫХ РЕСУРСОВ В СВЯЗИ С РЕАЛИЗАЦИЕЙ СЛУЖЕБНЫХ ИЛИ ТРУДОВЫХ
ОТНОШЕНИЙ, А ТАКЖЕ В СВЯЗИ С ОКАЗАНИЕМ ГОСУДАРСТВЕННЫХ УСЛУГ
И ОСУЩЕСТВЛЕНИЕМ ГОСУДАРСТВЕННЫХ ФУНКЦИЙ
1. Фамилия, имя и отчество (при наличии), в том числе прежние фамилии, имена и отчества (при наличии) в случае их изменения, дата, место и причины изменения.
2. Число, месяц и год рождения.
3. Место рождения.
4. Вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, наименование органа и код подразделения органа (при наличии), выдавшего его, дата выдачи.
5. Фотография.
6. Сведения о гражданстве (в том числе о прежних гражданствах, иных гражданствах).
7. Адрес и дата регистрации по месту жительства (месту пребывания).
8. Адрес фактического проживания.
9. Сведения о семейном положении.
10. Реквизиты свидетельств о государственной регистрации актов гражданского состояния.
11. Сведения об образовании (наименование образовательной и (или) иной организации, год окончания, уровень профессионального образования, реквизиты документов об образовании, направление подготовки, специальность и квалификация по документу об образовании, ученая степень, ученое звание (дата присвоения, реквизиты диплома, аттестата), в том числе о послевузовском профессиональном образовании, а также о профессиональной переподготовке, повышении квалификации (наименование образовательной и (или) научной организации, год окончания, реквизиты документа о переподготовке (повышении квалификации), квалификация и специальность по документу о переподготовке (повышении квалификации), наименование программы обучения, количество часов обучения).
12. Сведения о владении иностранными языками и языками народов Российской Федерации.
13. Сведения о трудовой деятельности, включая работу по совместительству, предпринимательскую и иную деятельность, военную службу.
14. Сведения о классном чине федеральной государственной гражданской службы, и (или) гражданской службы субъекта Российской Федерации, и (или) муниципальной службы, дипломатическом ранге, воинском и (или) специальном звании, классном чине правоохранительной службы, классном чине юстиции, квалификационном разряде государственной службы, а также сведения о том, кем и когда они присвоены.
15. Сведения о составе семьи: родителях, детях, сестрах, братьях, супруге (бывшем или бывшей супруге), супругах братьев и сестер, братьях и сестрах супругов (степень родства, фамилия, имя и отчество (при наличии), дата рождения, место рождения, адрес регистрации (фактического проживания), гражданство, место работы (наименование и адрес организации), должность.
16. Сведения о форме и дате оформления допуска к государственной тайне, ранее имевшегося и (или) имеющегося.
17. Сведения о государственных наградах, об иных наградах и о знаках отличия.
18. Сведения о пребывании за границей (когда, где, с какой целью).
19. Сведения о близких родственниках (родителях, братьях, сестрах, детях), а также о супругах, в том числе бывших, постоянно проживающих за границей и (или) оформляющих документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество (при наличии), с какого времени проживают за границей).
20. Реквизиты документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета.
21. Идентификационный номер налогоплательщика.
22. Реквизиты полиса обязательного медицинского страхования.
23. Сведения о воинском учете, реквизиты документов воинского учета.
24. Сведения о наличии (отсутствии) судимости.
25. Сведения о доходах, расходах, об имуществе и обязательствах имущественного характера, а также о доходах, расходах, об имуществе и обязательствах имущественного характера супруги (супруга) и несовершеннолетних детей.
26. Номера телефонов или сведения о других способах связи.
27. Сведения, содержащиеся в заключении о наличии (отсутствии) у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу Российской Федерации или ее прохождению, по учетной форме N 001-ГС/у "Заключение медицинского учреждения о наличии (отсутствии) заболевания, препятствующего поступлению на государственную гражданскую службу Российской Федерации и муниципальную службу или ее прохождению", утвержденной приказом Минздравсоцразвития России от 14 декабря 2009 г. N 984н (зарегистрирован Минюстом России 29 декабря 2009 г., регистрационный N 15878).
28. Сведения об отсутствии медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну.
29. Сведения об инвалидности, о сроке действия установленной инвалидности.
30. Информация о ежегодных оплачиваемых отпусках, об учебных отпусках и отпусках без сохранения денежного содержания.
31. Сведения о прохождении федеральной государственной гражданской службы, в том числе дата, основания поступления на федеральную государственную гражданскую службу и назначения на должность федеральной государственной гражданской службы, дата, основания назначения, перевода, перемещения на иную должность федеральной государственной гражданской службы, наименования замещаемых должностей федеральной государственной гражданской службы с указанием структурных подразделений Росводресурсов, размера денежного содержания, результатов аттестации на соответствие замещаемой должности федеральной государственной гражданской службы, а также сведения о прежнем месте работы.
32. Иные сведения, которые субъект персональных данных пожелал сообщить о себе, а также обработка которых соответствует целям обработки.
Приложение N 6
к приказу Федерального агентства
водных ресурсов
от 16.09.2024 N 250
(типовая форма)
| ОБЯЗАТЕЛЬСТВО федерального государственного гражданского служащего Федерального агентства водных ресурсов, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей |
| Я, | , |
| (должность, фамилия, имя, отчество (при наличии) | |
| обязуюсь прекратить обработку персональных данных, ставших известными мне в связи с исполнением должностных обязанностей, в случае расторжения со мной служебного контракта, освобождения меня от замещаемой должности и увольнения с федеральной государственной гражданской службы. В соответствии со статьей 7 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" я уведомлен(а) о том, что персональные данные являются конфиденциальной информацией и я обязан(а) не раскрывать третьим лицам и не распространять персональные данные, ставшие известными мне в связи с исполнением должностных обязанностей, без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных, о государственной гражданской службе и противодействии коррупции. Положения законодательства Российской Федерации, предусматривающие ответственность за нарушение требований Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", мне разъяснены. | |
| (дата) | (подпись) |
Приложение N 7
к приказу Федерального агентства
водных ресурсов
от 16.09.2024 N 250
(типовая форма)
| РАЗЪЯСНЕНИЕ субъекту персональных данных юридических последствий отказа предоставить свои персональные данные |
| г. Москва | "__" ________ 20__ г. | |
| Мне, | ||
| , | ||
| (фамилия, имя, отчество (при наличии) | ||
| разъяснены юридические последствия отказа предоставить свои персональные данные уполномоченным лицам Федерального агентства водных ресурсов. В соответствии со статьями 26 и 42 Федерального закона от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации", Положением о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденным Указом Президента Российской Федерации от 30 мая 2005 г. N 609, Росводресурсами определен перечень персональных данных, которые субъект персональных данных обязан представить уполномоченным лицам Росводресурсов в связи с поступлением на федеральную государственную гражданскую службу, ее прохождением и увольнением с федеральной государственной гражданской службы. Без представления субъектом персональных данных, обязательных для заключения служебного контракта сведений служебный контракт не может быть заключен. | ||
| (дата) | (подпись) |
Приложение N 8
к приказу Федерального агентства
водных ресурсов
от 16.09.2024 N 250
ПОРЯДОК
ДОСТУПА ФЕДЕРАЛЬНЫХ ГОСУДАРСТВЕННЫХ ГРАЖДАНСКИХ СЛУЖАЩИХ
ФЕДЕРАЛЬНОГО АГЕНТСТВА ВОДНЫХ РЕСУРСОВ В ПОМЕЩЕНИЯ,
В КОТОРЫХ ВЕДЕТСЯ ОБРАБОТКА
ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Доступ в помещения Федерального агентства водных ресурсов (далее - Росводресурсы), в которых хранятся и обрабатываются персональные данные, имеют федеральные государственные гражданские служащие Росводресурсов, должности которых включены в перечень должностей гражданских служащих Росводресурсов, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (далее - гражданские служащие, включенные в перечень).
2. Для помещений, в которых хранятся и обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей информации, содержащих персональные данные, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц. Данный режим должен обеспечиваться:
запиранием помещения на ключ, в том числе при выходе из него в рабочее время;
закрытием металлических шкафов и сейфов, где хранятся носители информации, содержащие персональные данные, на ключ или кодовый замок во время отсутствия в помещении гражданских служащих, включенных в перечень.
3. Нахождение в помещениях, в которых ведется обработка персональных данных, лиц, не являющихся гражданскими служащими, включенными в перечень, возможно только в присутствии гражданского служащего, уполномоченного на обработку персональных данных.
4. Ответственным за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, является гражданский служащий, включенный в перечень.
Приложение N 9
к приказу Федерального агентства
водных ресурсов
от 16.09.2024 N 250
ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ (РЕГЛАМЕНТ)
ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В ФЕДЕРАЛЬНОМ АГЕНТСТВЕ ВОДНЫХ РЕСУРСОВ
1. Ответственный за организацию обработки персональных данных в Федеральном агентстве водных ресурсов (далее - Росводресурсы) осуществляет организацию и контроль за реализацией мер по обеспечению обработки персональных данных, совершаемой с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных в Росводресурсах.
2. Ответственный за организацию обработки персональных данных в Росводресурсах обязан:
1) осуществлять контроль за выполнением в Росводресурсах требований нормативных правовых актов Российской Федерации, регулирующих отношения, связанные с обработкой персональных данных;
2) принимать меры, необходимые для исполнения норм Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"), постановления Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";
3) координировать работу по организации в Росводресурсах обработки персональных данных в соответствии с требованиями Федерального закона "О персональных данных";
4) доводить до сведения государственных гражданских служащих Росводресурсов (далее - гражданские служащие), уполномоченных на обработку персональных данных, положения законодательства Российской Федерации в области персональных данных, локальные акты по вопросам обработки персональных данных, требования к защите персональных данных;
5) осуществлять взаимодействие с федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере информационных технологий и связи, по вопросу защиты прав субъектов персональных данных.
3. Ответственный за организацию обработки персональных данных в Росводресурсах имеет право:
1) давать в пределах предоставленных полномочий гражданскому служащему, уполномоченному на обработку персональных данных, поручения по разработке мероприятий по совершенствованию безопасности обработки персональных данных;
2) принимать меры, направленные на временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) или отстранение от работы лиц, осуществляющих обработку персональных данных;
3) осуществлять подготовку предложений по совершенствованию организационных, технологических и технических мер защиты обработки персональных данных в Росводресурсах.
Приложение N 10
к приказу Федерального агентства
водных ресурсов
от 16.09.2024 N 250
ПЕРЕЧЕНЬ
ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ В ФЕДЕРАЛЬНОМ
АГЕНТСТВЕ ВОДНЫХ РЕСУРСОВ
1. Государственная информационная система "Цифровая платформа "Водные данные".
2. Федеральная государственная информационная система "Единая информационная система управления кадровым составом государственной гражданской службы Российской Федерации".
Приложение N 11
к приказу Федерального агентства
водных ресурсов
от 16.09.2024 N 250
СОСТАВ
КОМИССИИ ПО УНИЧТОЖЕНИЮ ДОКУМЕНТОВ, СОДЕРЖАЩИХ
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
| Бакуева Елена Ивановна | - | заместитель начальника Управления трансграничных вод, ресурсов обеспечения деятельности и развития человеческого потенциала - начальник отдела развития человеческих ресурсов и профилактики коррупционных и иных правонарушений (председатель комиссии) |
| Монина Светлана Павловна | - | начальник отдела межгосударственных и иных проектов, документационного и организационного обеспечения Управления трансграничных вод, ресурсов обеспечения деятельности и развития человеческого потенциала |
| Рыжов Андрей Борисович | - | советник отдела развития человеческих ресурсов и профилактики коррупционных и иных правонарушений Управления трансграничных вод, ресурсов обеспечения деятельности и развития человеческого потенциала |
| Сумерский Владислав Валерьевич | - | советник отдела межгосударственных и иных проектов, документационного и организационного обеспечения Управления трансграничных вод, ресурсов обеспечения деятельности и развития человеческого потенциала |
| Феоктистов Семен Алексеевич | - | заместитель начальника отдела цифровой трансформации водохозяйственной деятельности Управления регулирования водохозяйственной деятельности |
Приложение N 12
к приказу Федерального агентства
водных ресурсов
от 16.09.2024 N 250
(форма)
| АКТ N ________ уничтожения персональных данных |
| Наименование и адрес оператора: | Федеральное агентство водных ресурсов, г. Москва, ул. Кедрова, д. 8, к. 1 | |
| Комиссия в составе: | ||
| Председатель комиссии: | ||
| (должность, Ф.И.О.) | ||
| Члены комиссии: | ||
| (должность, Ф.И.О.) | ||
| (должность, Ф.И.О.) | ||
| провела уничтожение персональных данных в следующем объеме: | ||
| N п/п | Наименование информационной системы персональных данных | Субъект персональных данных | Перечень персональных данных | Перечень категорий персональных данных | Способ уничтожения | Причина уничтожения |
| Председатель комиссии: | ||||||
| (дата) | (подпись) | (Ф.И.О.) | ||||
| Члены комиссии: | ||||||
| (дата) | (подпись) | (Ф.И.О.) | ||||
| (дата) | (подпись) | (Ф.И.О.) |
Приложение N 13
к приказу Федерального агентства
водных ресурсов
от 16.09.2024 N 250
ПОЛОЖЕНИЕ
О РАЗГРАНИЧЕНИИ ПРАВ ДОСТУПА К ОБРАБАТЫВАЕМЫМ ПЕРСОНАЛЬНЫМ
ДАННЫМ В ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ "ЦИФРОВАЯ
ПЛАТФОРМА "ВОДНЫЕ ДАННЫЕ"
Общие положения
Настоящее Положение разработано в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
В настоящем Положении:
устанавливается порядок разграничения прав доступа к обрабатываемым персональным данным в государственной информационной системе "Цифровая платформа "Водные данные" (далее - ГИС ЦП Вода);
утверждаются список должностей, допущенных к обработке персональных данных, а также их уровень прав доступа к обрабатываемым персональным данным.
Настоящее Положение и изменения, вносимые в него, утверждаются приказом Федерального агентства водных ресурсов (далее - Росводресурсы). Все сотрудники центрального аппарата Росводресурсов, территориальных органов Росводресурсов и подведомственных Росводресурсам организаций, имеющие доступ к обрабатываемым персональным данным, должны быть ознакомлены с настоящим Положением.
Настоящее Положение является обязательным для исполнения сотрудниками Росводресурсов, имеющими доступ к обрабатываемым персональным данным.
Разграничение прав доступа при автоматизированной
и неавтоматизированной обработке персональных данных
Разграничение прав доступа к обрабатываем персональным данным осуществляется исходя из характера и режима их обработки.
Список групп должностных лиц, уполномоченных на обработку персональных данных, а также их уровень прав доступа представлены в таблице.
Таблица
| Роль | Уровень доступа к персональным данным | Разрешенные действия | Организации | Должностные лица, уполномоченные на обработку персональных данных |
| Администратор (привилегированный пользователь) | полный доступ | чтение, копирование, редактирование, удаление | Федеральное агентство водных ресурсов, его территориальные органы и подведомственные ему организации, правительства и уполномоченные региональные (субъектовые) органы власти | сотрудники отдела цифровой трансформации водохозяйственной деятельности Управления регулирования водохозяйственной деятельности Федерального агентства водных ресурсов, уполномоченные на обработку персональных данных |
| Пользователь (закрытый контур) | доступ к обрабатываемым персональным данным в соответствии с должностными обязанностями | чтение, копирование, редактирование, удаление | руководитель (директор); заместитель руководителя (директора); помощник руководителя (территориального органа); советник руководителя; начальник управления; заместитель начальника управления; начальник отдела; заместитель начальника отдела; советник; ведущий консультант; консультант; главный специалист-эксперт; ведущий специалист-эксперт; специалист-эксперт; ведущий специалист 3 разряда; старший специалист 1 разряда; старший специалист 2 разряда; старший специалист 3 разряда; специалист 1 разряда; специалист 2 разряда; специалист 3 разряда (территориальные органы) | |
| Пользователь (открытый контур) | отсутствует | - | граждане и юридические лица | - |
Приложение N 14
к приказу Федерального агентства
водных ресурсов
от 16.09.2024 N 250
ИНСТРУКЦИЯ
ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В ФЕДЕРАЛЬНОМ АГЕНТСТВЕ ВОДНЫХ РЕСУРСОВ
1. В целях организации обработки персональных данных в Федеральном агентстве водных ресурсов (далее - Росводресурсы) ответственный за организацию обработки персональных данных (далее - ответственный) координирует деятельность структурных подразделений Росводресурсов.
2. Ответственный в своей работе руководствуется Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами.
3. Ответственный обязан:
1) обеспечить принятие правовых, организационных и технических мер для защиты персональных данных, обрабатываемых в Росводресурсах, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
2) осуществлять внутренний контроль за соблюдением сотрудниками Росводресурсов требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
3) доводить до сведения сотрудников Росводресурсов положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требования к защите персональных данных;
4) организовать прием и обработку поступающих в Росводресурсы обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов;
5) в случае нарушения в Росводресурсах требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
4. Ответственный имеет право:
1) иметь доступ к следующей информации, касающейся обработки персональных данных в Росводресурсах:
цели обработки персональных данных;
категории обрабатываемых персональных данных;
категории субъектов, персональные данные которых обрабатываются;
правовые основания обработки персональных данных;
перечень действий с персональными данными, общее описание используемых в Росводресурсах способов обработки персональных данных;
описание мер, предусмотренных статьями 18.1 и 19 Федерального закона "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
дата начала обработки персональных данных;
срок или условия прекращения обработки персональных данных;
сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации;
2) привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в Росводресурсах, иных сотрудников Росводресурсов с возложением на них соответствующих обязанностей и закреплением ответственности.
5. Ответственный несет ответственность за надлежащее выполнение возложенных на него функций по организации в Росводресурсах обработки персональных данных в соответствии с положениями законодательства Российской Федерации в области персональных данных.
Приложение N 15
к приказу Федерального агентства
водных ресурсов
от 16.09.2024 N 250
ПЕРЕЧЕНЬ
ДОЛЖНОСТЕЙ СОТРУДНИКОВ ФЕДЕРАЛЬНОГО АГЕНТСТВА ВОДНЫХ
РЕСУРСОВ, ЗАМЕЩЕНИЕ КОТОРЫХ ПРЕДУСМАТРИВАЕТ ОСУЩЕСТВЛЕНИЕ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ЛИБО ОСУЩЕСТВЛЕНИЕ ДОСТУПА
К ПЕРСОНАЛЬНЫМ ДАННЫМ
1. Руководитель (директор).
2. Заместитель руководителя (директора).
3. Помощник руководителя.
4. Советник руководителя.
5. Начальник управления.
6. Заместитель начальника управления.
7. Начальник отдела.
8. Заместитель начальника отдела.
9. Советник.
10. Ведущий консультант.
11. Консультант.
12. Главный специалист-эксперт.
13. Ведущий специалист-эксперт.
Приложение N 16
к приказу Федерального агентства
водных ресурсов
от 16.09.2024 N 250
ПОЛОЖЕНИЕ
ОБ ОРГАНИЗАЦИИ И ПРОВЕДЕНИИ РАБОТ ПО ОБЕСПЕЧЕНИЮ
БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ ФЕДЕРАЛЬНОГО АГЕНТСТВА
ВОДНЫХ РЕСУРСОВ
Общие положения
1. Настоящее Положение разработано в соответствии с Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными приказом Государственной технической комиссии при Президенте Российской Федерации от 30 августа 2002 г. N 282, нормативными документами Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю.
2. Целями принятия настоящего Положения являются:
обеспечение защиты прав и свобод физических лиц при обработке их персональных данных в информационных системах Федерального агентства водных ресурсов (далее соответственно - ИС, Росводресурсы);
соблюдение требований законодательства Российской Федерации в области обеспечения безопасности персональных данных при их обработке в ИС;
предотвращение разглашения, утечки, неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении персональных данных, обрабатываемых в ИС.
3. Настоящее Положение определяет порядок обеспечения безопасности персональных данных, обрабатываемых в ИС, и устанавливает:
цели и принципы построения системы защиты персональных данных;
порядок организации и проведения работ по обеспечению безопасности персональных данных;
методы и способы защиты персональных данных.
4. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, утечки персональных данных и специальных воздействий на них, результатом которых может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также путем исключения иных несанкционированных действий в отношении персональных данных.
5. Безопасность персональных данных должна обеспечиваться на всех этапах обработки информации и во всех режимах функционирования ИС.
Работы по обеспечению безопасности персональных данных при их обработке в ИС являются неотъемлемой частью работ по созданию таких ИС.
6. Задача обеспечения безопасности персональных данных при их обработке в ИС должна решаться путем создания комплексной системы защиты персональных данных.
7. Настоящее Положение является основой для:
формирования и проведения единой политики в области обеспечения безопасности персональных данных;
выработки комплекса мер нормативно-правового, технического и организационного характера, направленных на выявление и предотвращение угроз безопасности персональных данных;
координации деятельности структурных подразделений Росводресурсов при проведении работ по созданию, развитию и эксплуатации ИС с соблюдением требований по обеспечению безопасности персональных данных;
разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности персональных данных при их обработке в ИС.
8. Действие настоящего Положения распространяется на всех сотрудников Росводресурсов, которые в рамках своих должностных обязанностей осуществляют автоматизированную обработку персональных данных, сотрудников, осуществляющих сопровождение и обслуживание ИС, и сотрудников, обеспечивающих безопасность обрабатываемой в таких системах информации.
9. Контроль за соблюдением в Росводресурсах требований к защите персональных данных, установленных законодательством Российской Федерации, осуществляется сотрудником, ответственным за организацию обработки персональных данных в Росводресурсах.
10. Непосредственное проведение работ по обеспечению безопасности персональных данных, обрабатываемых в ИС, по сопровождению средств защиты информации и контролю за работой пользователей ИС возлагается на оператора соответствующей ИС.
Основные термины и определения
11. Для целей настоящего Положения используются следующие понятия:
информационные системы Росводресурсов (ИС) - совокупность информационных систем, каждая из которых представляет собой комплекс содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
пользователь ИС - лицо, участвующее в функционировании ИС или использующее результаты ее функционирования. Пользователем ИС является любой сотрудник Росводресурсов, имеющий доступ к ИС и ее ресурсам в соответствии с его функциональными обязанностями и установленным порядком;
оператор ИС - организация, непосредственно осуществляющая деятельность по эксплуатации ИС, в том числе по обработке информации, содержащейся в их базах данных;
администратор ИБ - должностное лицо Росводресурсов, обладающее профильными знаниями и образованием в области защиты информации, осуществляющее функции по управлению информационной безопасностью, методическое обеспечение и контроль деятельности по информационной безопасности, подчиняющееся заместителю руководителя Росводресурсов, ответственному за вопросы защиты информации;
безопасность персональных данных - состояние защищенности персональных данных, которое характеризуется способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в ИС;
угрозы безопасности персональных данных при их обработке в ИС - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иные несанкционированные действия при их обработке в ИС;
источник угрозы безопасности персональных данных - субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности персональных данных;
уязвимость ИС - свойство ИС, обусловливающее возможность реализации угроз безопасности обрабатываемых в ней персональных данных;
нарушитель - физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке в ИС;
модель нарушителя - предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничении этих возможностей;
модель угроз безопасности информации - физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации;
несанкционированный доступ (несанкционированные действия) (далее - НСД) - доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств ИС или средств, аналогичных им по своим функциональным назначениям и техническим характеристикам;
контролируемая зона - пространство, в пределах которого осуществляется контроль за пребыванием и действиями физических лиц;
инцидент информационной безопасности - любое непредвиденное или нежелательное событие, которое может нарушить деятельность ИС или информационную безопасность;
система защиты информации ИС (далее - СЗИ) - совокупность правовых, организационных и технических мероприятий для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также иных неправомерных действий с ними;
средство защиты информации (далее - СрЗИ) - техническое, программное, программно-техническое средство, предназначенное или используемое для защиты информации (персональных данных);
политика безопасности информации - совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуются Росводресурсы в своей деятельности.
Цели и принципы построения СЗИ
12. СЗИ является частью общей системы обеспечения информационной безопасности в Росводресурсах.
13. Основными целями создания СЗИ являются организация непрерывного и защищенного процесса обработки персональных данных в Росводресурсах и нейтрализация угроз безопасности персональных данных, возникающих посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования ИС или НСД к циркулирующей в ней информации и ее незаконного использования.
14. СЗИ должна обеспечивать:
своевременное выявление источников угроз безопасности персональных данных, причин и условий, способствующих нанесению ущерба субъектам персональных данных;
создание механизма оперативного реагирования на угрозы безопасности персональных данных;
создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц в отношении персональных данных, обрабатываемых в ИС, ослабление негативного влияния и ликвидацию последствий нарушения безопасности персональных данных.
15. Построение и функционирование СЗИ должны осуществляться в соответствии со следующими принципами:
законность. Предполагает осуществление защитных мероприятий и разработку СЗИ в соответствии с законодательством Российской Федерации в области персональных данных, стандартами и методическими документами по защите персональных данных;
системность. Системный подход к построению СЗИ предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности персональных данных;
комплексность. Комплексное использование методов и СрЗИ предполагает согласованное применение разнородных средств при построении целостной СЗИ, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов;
непрерывность. Защита персональных данных должна обеспечиваться на всех технологических этапах обработки персональных данных и во всех режимах функционирования ИС, в том числе при проведении ремонтных и регламентных работ;
своевременность. Предполагает упреждающий характер мер обеспечения безопасности персональных данных, то есть постановку задач по комплексной защите персональных данных и реализацию мер обеспечения безопасности персональных данных на стадии разработки (модернизации) ИС в целом и ее системы защиты в частности;
преемственность и совершенствование. Предполагают постоянное совершенствование мер и СрЗИ па основе преемственности организационных и технических решений, кадрового состава, анализа функционирования ИС и ее системы защиты с учетом изменения методов и средств перехвата информации, нормативных требований по защите, отечественного и зарубежного опыта в этой области;
разумная достаточность (экономическая целесообразность). Предполагает соответствие уровня затрат на обеспечение безопасности персональных данных ценности информационных ресурсов и величине возможного ущерба от реализации угроз безопасности персональных данных;
персональная ответственность. Предполагает возложение ответственности за обеспечение безопасности персональных данных и системы их обработки на каждого сотрудника Росводресурсов в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников Росводресурсов строится таким образом, чтобы в случае любого нарушения круг виновных в нарушении лиц был четко известен или сведен к минимуму;
минимизация полномочий. Означает предоставление пользователям ИС минимальных прав доступа в соответствии со служебной необходимостью;
гибкость системы защиты. Предполагает возможность варьирования уровня защищенности;
простота применения средств защиты информации. Механизмы защиты должны быть интуитивно понятны и просты в использовании без значительных дополнительных трудозатрат;
научная обоснованность и техническая реализуемость. Информационные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности информации и должны соответствовать установленным нормам и требованиям по безопасности персональных данных;
специализация и профессионализм. Предполагает привлечение к разработке средств и реализации мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности персональных данных, имеющих опыт практической работы и лицензии на право оказания услуг в этой области. Реализация административных мер и эксплуатация СрЗИ должны осуществляться профессионально подготовленными сотрудниками Росводресурсов;
обязательность контроля. Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности персональных данных на основе используемых систем и СрЗИ при совершенствовании критериев и методов оценки эффективности этих систем и средств.
Создание системы защиты персональных данных
16. В ИС объектами защиты являются информация, содержащаяся в ИС, технические средства (в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно-цифровой, графической, речевой информации и видеоинформации), общесистемное, прикладное, специальное программное обеспечение, информационные технологии, а также СрЗИ.
17. Для проведения работ по защите информации в ходе создания и эксплуатации ИС в соответствии с законодательством Российской Федерации при необходимости привлекаются организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности".
18. Для обеспечения защиты информации, содержащейся в ИС, применяются СрЗИ, прошедшие оценку соответствия в форме обязательной сертификации соответствия требованиям по безопасности информации, предусмотренным статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании".
19. Защита информации, содержащейся в ИС, является составной частью работ по созданию и эксплуатации ИС и обеспечивается на всех стадиях (этапах) создания ИС и в ходе ее эксплуатации путем принятия организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в ИС, в рамках СЗИ.
20. Организационные и технические меры защиты информации, реализуемые в рамках СЗИ, в зависимости от информации, содержащейся в ИС, целей создания ИС и задач, решаемых этой ИС, должны быть направлены на исключение:
неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
неправомерных уничтожения, модифицирования информации (обеспечение целостности информации);
неправомерного блокирования информации (обеспечение доступности информации).
21. Для обеспечения защиты информации, содержащейся в ИС, проводятся следующие мероприятия:
формирование требований к защите информации, содержащейся в ИС;
разработка СЗИ;
внедрение СЗИ;
аттестация ИС по требованиям безопасности информации и ввод ее в действие;
обеспечение защиты информации в ходе эксплуатации ИС, аттестованной по требованиям безопасности информации;
обеспечение защиты информации при выводе из эксплуатации ИС, аттестованной по требованиям безопасности информации, или после принятия решения об окончании обработки информации.
22. Формирование требований к защите информации, содержащейся в ИС, осуществляется с учетом ГОСТ Р 51583 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения" и ГОСТ Р 51624 "Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования" и включает:
принятие решения о необходимости защиты информации, содержащейся в ИС;
определение уровня защищенности персональных данных в ИС;
определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в ИС, и разработку на их основе модели угроз безопасности информации;
определение требований к СЗИ.
23. При принятии решения о необходимости защиты информации, содержащейся в ИС, осуществляется:
анализ целей создания ИС и задач, решаемых этой ИС;
определение информации, подлежащей обработке в ИС;
анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать ИС;
принятие решения о необходимости создания СЗИ, а также определение целей и задач защиты информации в ИС, основных этапов создания СЗИ и функций по обеспечению защиты информации, содержащейся в ИС.
24. Уровень защищенности персональных данных подлежит пересмотру при изменении масштаба ИС, категории обрабатываемой в ней информации или типа актуальных угроз безопасности персональных данных.
25. Результаты определения уровня защищенности персональных данных оформляются актом классификации.
26. Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей, анализа возможных уязвимостей ИС, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).
27. При определении угроз безопасности информации учитываются структурно-функциональные характеристики ИС, включающие структуру и состав ИС, физические, логические, функциональные и технологические взаимосвязи между сегментами ИС, связи с иными ИС и информационно-телекоммуникационными сетями, режимы обработки информации в ИС и в ее отдельных сегментах, а также иные характеристики ИС, применяемые информационные технологии и особенности ее функционирования.
28. По результатам определения угроз безопасности информации при необходимости разрабатываются рекомендации по корректировке структурно-функциональных характеристик ИС, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.
29. Модель угроз безопасности информации должна содержать описание ИС и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей ИС, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.
30. Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации.
31. Требования к СЗИ определяются в зависимости от уровня защищенности персональных данных и угроз безопасности информации, включенных в модель угроз безопасности информации.
Состав СЗИ
32. СЗИ должна включать в себя следующие функциональные компоненты:
компонент защиты информации от несанкционированного доступа;
компонент антивирусной защиты;
компонент анализа защищенности;
компонент управления событиями информационной безопасности;
компонент межсетевого экранирования и обнаружения вторжений;
компонент криптографической защиты информации.
Конкретный состав и функционал указанных компонентов (состав методов и способов защиты персональных данных) определяются в соответствии с разделом "Создание системы защиты персональных данных" настоящего Положения на основании нормативных документов Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности Российской Федерации.
33. Порядок обеспечения безопасности персональных данных при их обработке в ИС в соответствии с функциональными компонентами детализируется в отдельных нормативных актах Росводресурсов, в том числе регламентирующих порядок предоставления доступа к ресурсам ИС и управления таким доступом, порядок антивирусной защиты.
Порядок резервирования и восстановления
работоспособности технических средств, программного
обеспечения, баз данных и СрЗИ
34. В целях обеспечения непрерывной работы ИС и восстановления ее ресурсов вследствие сбоев в функционировании ИС применяются следующие подсистемы:
подсистемы жизнеобеспечения;
подсистемы обеспечения отказоустойчивости;
подсистема резервного копирования и хранения данных.
35. Подсистемы жизнеобеспечения ИС включают:
пожарные сигнализации и системы пожаротушения;
средства вентиляции и кондиционирования;
средства резервного питания.
36. Все помещения Росводресурсов, в которых размещаются элементы ИС и СрЗИ, должны быть оборудованы средствами пожарной сигнализации и пожаротушения.
37. Для выполнения требований по эксплуатации (температура, относительная влажность воздуха) программно-аппаратных средств ИС в помещениях, где они установлены, должны применяться средства вентиляции и кондиционирования воздуха.
38. Для предотвращения потерь информации при кратковременном отключении электроэнергии все ключевые элементы ИС, сетевое и коммуникационное оборудование, а также автоматизированные рабочие места пользователей ИС (далее - АРМ) должны подключаться к сети электропитания через источники бесперебойного питания. В зависимости от необходимого времени работы ресурсов после потери электропитания могут применяться следующие методы резервного электропитания:
локальные источники бесперебойного электропитания с различным временем питания для защиты отдельных АРМ;
источники бесперебойного питания с дополнительной функцией защиты от скачков напряжения;
дублированные системы электропитания в устройствах (серверы, концентраторы, мосты и т.д.);
резервные линии электропитания в пределах комплекса зданий;
аварийные электрогенераторы.
39. Подсистемы обеспечения отказоустойчивости включают кластеризацию и технологию виртуализации.
Для обеспечения отказоустойчивости критичных компонентов ИС при сбое в работе оборудования и их автоматической замены без простоев должны использоваться методы кластеризации.
Для защиты от отказов отдельных дисков серверов, осуществляющих обработку и хранение персональных данных, должны использоваться технологии виртуализации, которые применяют дублирование данных, хранимых на дисках.
40. В целях обеспечения возможности незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие НСД к ним, в ИС должны применяться средства резервного копирования и хранения данных.
41. Резервное копирование и хранение данных должно осуществляться:
для обрабатываемых персональных данных - не реже раза в неделю;
для технологической информации - не реже раза в месяц;
для эталонных копий программного обеспечения (операционные системы, штатное и специальное программное обеспечение, программное обеспечение СрЗИ), с которых осуществляется их установка на элементы ИС, - не реже раза в месяц, а также каждый раз при внесении изменений в такие копии (выход новых версий).
42. Порядок осуществления резервного копирования защищаемой информации ИС определяется нормативными правовыми актами Росводресурсов.
Порядок обеспечения физической защиты элементов ИС
43. В целях исключения неконтролируемого пребывания посторонних лиц в помещениях Росводресурсов, в которых ведется обработка персональных данных и располагаются технические средства ИС и СрЗИ, выделяется контролируемая зона.
Границей контролируемой зоны может быть периметр охраняемой территории Росводресурсов, ограждающие конструкции охраняемого здания, охраняемой части здания, отдельного помещения.
44. Обеспечение физической защиты ИС, ее элементов, выделение и обеспечение пространства контролируемой зоны достигаются посредством:
организации разрешительной системы доступа на территорию Росводресурсов, в помещения с оборудованием ИС, к техническим средствам ИС;
использования систем контроля и управления доступом;
учета ключей от помещений, электронных ключей доступа (proximity card, touch memory);
использования средств физической охраны;
использования средств видеонаблюдения;
конструктивного усиления окон, дверей, стен и установкой иных преград.
45. Помещения с серверным, телекоммуникационным и сетевым оборудованием ИС должны иметь прочные входные двери с надежными замками. Двери должны быть постоянно закрыты на замок и открываться только для санкционированного прохода сотрудников Росводресурсов.
46. Двери помещений, в которых размещаются АРМ, должны быть оборудованы замками. В таких помещениях лица, не участвующие в технологических процессах обработки персональных данных (обслуживающий персонал, иные сотрудники Росводресурсов), могут находиться только в присутствии сотрудников, участвующих в соответствующих технологических процессах.
47. Расположение мониторов АРМ должно препятствовать несанкционированному просмотру выводимой на них информации.
48. При выносе устройств, используемых для хранения персональных данных, за пределы контролируемой зоны для ремонта, замены и т.п. должно быть обеспечено гарантированное уничтожение информации, хранящейся на этих устройствах.
49. В отношении отдельных ИС возможны дополнительные либо более низкие требования по физической защите. Состав таких требований определяется по результатам разработки модели угроз.
Контроль изменений в составе и структуре ИС
50. Все изменения в составе и структуре ИС должны контролироваться и регламентироваться. Контролю подлежат:
внесение новых устройств в состав ИС (АРМ, серверов, сетевого и телекоммуникационного оборудования и т.п.);
удаление устройств из состава ИС;
изменение мест установки устройств из состава ИС;
прокладка новых кабельных линий связи и внешних линий связи или удаление старых кабельных линий связи;
существенное изменение состава и конфигурации системного и прикладного программного обеспечения, используемого для обработки персональных данных;
создание новых и изменение существующих технологических процессов, связанных с обработкой персональных данных.
51. Каждое изменение состава ИС, типов технических средств, топологии ИС должно отслеживаться и анализироваться для определения соответствия требованиям по защите ИС. При необходимости должна производиться модернизация СЗИ.
Внутренний аудит безопасности персональных данных
52. Внутренний аудит безопасности персональных данных позволяет установить, что применяемые методы, способы и средства обеспечения безопасности персональных данных при их обработке в ИС:
соответствуют законодательству Российской Федерации и нормативным документам Росводресурсов, регламентирующим вопросы обеспечения безопасности персональных данных;
своевременно и эффективно внедряются и поддерживаются;
функционируют должным образом.
53. Процесс проведения внутреннего аудита безопасности персональных данных предполагает получение объективных качественных и количественных оценок текущего состояния СЗИ и осуществляется в рамках проведения общего контроля состояния и эффективности защиты информации конфиденциального характера в Росводресурсах.
54. В ходе проведения внутреннего аудита безопасности персональных данных оценивается текущий уровень защищенности ИС, определяются уязвимости ИС, в том числе проверяется:
наличие установленных СрЗИ;
корректность настроек СрЗИ;
выполнение пользователями ИС и оператором ИС требований нормативных документов Росводресурсов, регламентирующих вопросы обеспечения безопасности персональных данных;
выполнение требований к процедурам обработки персональных данных (уничтожению персональных данных, допуску сотрудников Росводресурсов к персональным данным и т.п.);
правильность организации работы с машинными носителями персональных данных.
55. Все события, происходящие в ИС и связанные с безопасностью (включая предоставление доступа, попытки аутентификации, изменение системных политик и пользовательских привилегий, системные сбои и т.п.), должны отслеживаться и протоколироваться в специальных электронных журналах аудита СрЗИ и во встроенных средствах, имеющихся в составе операционных систем, систем управления базами данных, прикладных приложений, с помощью которых осуществляется обработка персональных данных.
56. События, зафиксированные в специальных электронных журналах аудита, анализируются администратором ИБ на постоянной основе, а также в ситуациях, требующих проведения расследования инцидентов информационной безопасности.
57. Должен проводиться анализ защищенности ИС посредством использования средств анализа защищенности, предназначенных для решения следующих основных задач:
анализ параметров конфигурации операционных систем и приложений по шаблонам с целью выявления уязвимостей ИС, в том числе связанных с некорректной настройкой ИС и приложений, определения уровня защищенности контролируемых ИС и соответствия текущего состояния СЗИ принятой политике безопасности информации;
коррекция конфигурационных параметров операционных систем и приложений;
контроль изменения состояния операционных систем и приложений, осуществляемый на основе мгновенных снимков их параметров и атрибутов файлов.
58. Анализ защищенности ИС проводится оператором ИС совместно с администратором ИБ в плановом порядке с установленной периодичностью.
Порядок реагирования на инциденты
информационной безопасности
59. К инцидентам информационной безопасности относятся:
НСД к персональным данным и иной защищаемой информации ИС (в том числе хищение машинных носителей персональных данных, аппаратных средств ИС, несанкционированное подключение технических средств к средствам и системам обработки информации в ИС, действие вредоносных программ, маскировка под зарегистрированного пользователя ИС и др.);
неправомерные, случайные и ошибочные действия пользователей ИС (в том числе разглашение персональных данных, несанкционированное изменение, копирование, передача, уничтожение персональных данных, несанкционированное отключение СрЗИ, передача персональных данных по открытым каналам связи, несоблюдение установленного в Росводресурсах порядка обработки и обеспечения безопасности персональных данных, утрата машинных носителей персональных данных и др.);
нарушение функционирования технических средств ИС, нештатные ситуации, в том числе:
дефекты, сбои, отказы программных и аппаратных средств ИС;
дефекты, сбои, отказы СрЗИ;
сбои, отказы, аварии подсистем жизнеобеспечения ИС, подсистем обеспечения отказоустойчивости и подсистем резервного копирования и хранения данных.
60. Источником информации об инциденте информационной безопасности могут служить сообщения сотрудников Росводресурсов, уведомления (сообщения) органов, осуществляющих контроль или надзор за деятельностью Росводресурсов, данные, полученные на основании анализа журналов аудита СЗИ и в ходе проведения мероприятий по контролю.
61. Информация об инциденте информационной безопасности сообщается сотрудниками Росводресурсов администратору ИБ. Каждый инцидент подлежит учету администратором ИБ.
62. В срок, не превышающий одного рабочего дня, сотрудники Росводресурсов, ответственные за реагирование на инциденты информационной безопасности, принимают меры по ликвидации последствий таких инцидентов и при необходимости по восстановлению работоспособности ИС.
63. Инциденты информационной безопасности подлежат расследованию в рамках проведения проверки, которая организуется администратором ИБ совместно с оператором ИС.
64. Расследованием обстоятельств инцидента занимается администратор ИБ совместно с оператором ИС. В случае необходимости администратор ИБ совместно с оператором ИС могут привлекать к проверке иных сотрудников Росводресурсов.
65. Администратор ИБ совместно с оператором ИС обязаны определить, имела ли место утечка защищаемой информации, обстоятельства, ей сопутствующие, установить лиц, виновных в нарушении предписанных мероприятий по защите персональных данных, а также причины и условия этого нарушения.
66. Результатом работы администратора ИБ и оператора ИС должен стать акт, в котором изложены:
документальное подтверждение факта нарушения (инцидента информационной безопасности);
причины выявленного нарушения;
предложения по устранению причин выявленного нарушения.
67. По результатам работы администратора ИБ и оператора ИС руководителем Росводресурсов принимается решение о привлечении к ответственности лиц, виновных в произошедшем инциденте информационной безопасности, и о проведении работ по предупреждению возникновения подобных инцидентов в дальнейшем.
Заключительные положения
68. Сотрудники Росводресурсов, осуществляющие автоматизированную обработку персональных данных, сопровождение и обслуживание ИС, а также обеспечивающие безопасность обрабатываемой в таких системах информации, должны иметь соответствующие навыки и знания.
69. Не реже одного раза в год должно проводиться обучение сотрудников Росводресурсов по вопросам, связанным с обеспечением безопасности персональных данных. Обучение может проводиться в формате специализированных курсов, внешних и внутренних семинаров, конференций, инструктажей, методической помощи.
Внутренние семинары и инструктажи могут проводиться для сотрудников Росводресурсов, осуществляющих автоматизированную обработку персональных данных, ответственными за организацию обработки персональных данных, приглашенными специалистами, другими подготовленными лицами, в том числе по мере необходимости администратором ИБ.
Сотрудники Росводресурсов, виновные в нарушении норм, регламентирующих порядок обеспечения безопасности персональных данных при их обработке в ИС, установленных законодательством Российской Федерации, настоящим Положением и иными нормативными актами Росводресурсов, несут ответственность в соответствии с законодательством Российской Федерации.
Приложение N 17
к приказу Федерального агентства
водных ресурсов
от 16.09.2024 N 250
ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ФЕДЕРАЛЬНОМ АГЕНТСТВЕ
ВОДНЫХ РЕСУРСОВ
Общие положения
1. Настоящее Положение разработано с учетом требований Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"), постановления Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и устанавливает единый порядок осуществления обработки и обеспечения безопасности персональных данных на всех этапах их обработки в Федеральном агентстве водных ресурсов (далее - Росводресурсы).
2. Настоящее Положение подлежит периодической ревизии с целью определения соответствия закрепленного порядка обработки персональных данных требованиям Федерального закона "О персональных данных" и принятых в соответствии с ним нормативных правовых актов, требованиям к защите персональных данных, требованиям Положения об организации и проведении работ по обеспечению безопасности персональных данных при их обработке в информационных системах Росводресурсов. Ревизия осуществляется при проведении планового внутреннего контроля или аудита по вопросам обеспечения безопасности персональных данных.
3. Сотрудники Росводресурсов, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
4. В настоящем Положении используются следующие понятия:
персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество (при наличии), год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных;
обработка персональных данных без использования средств автоматизации (неавтоматизированная) - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных, в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека;
оператор - Росводресурсы, осуществляющие обработку персональных данных.
5. В процессе обработки персональных данных решаются следующие задачи:
документационное обеспечение обработки персональных данных;
защита документированной информации, содержащей персональные данные.
Основные условия проведения обработки персональных данных
6. Обработка персональных данных осуществляется:
после получения согласия субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона "О персональных данных";
после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона "О персональных данных";
после принятия необходимых мер по защите персональных данных.
7. В Росводресурсах приказом руководителя назначается сотрудник, ответственный за обеспечение безопасности персональных данных, и определяется перечень лиц, допущенных к обработке персональных данных.
8. Лица, допущенные к обработке персональных данных, должны быть ознакомлены с настоящим Положением.
9. Запрещается обрабатывать персональные данные в присутствии лиц, не допущенных к их обработке.
Обработка персональных данных при ведении кадрового учета
10. Сведения, необходимые для ведения кадрового учета, должны поступать непосредственно от субъектов персональных данных на материальных носителях в виде бумажных документов.
При заключении трудового договора лицо, поступающее на работу, предъявляет работодателю согласно статье 65 Трудового кодекса Российской Федерации:
паспорт или иной документ, удостоверяющий личность;
трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства;
страховое свидетельство государственного пенсионного страхования;
документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
справку о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям, выданную в порядке и по форме, предусмотренным приложением N 6 к Административному регламенту Министерства внутренних дел Российской Федерации по предоставлению государственной услуги по выдаче справок о наличии (отсутствии) судимости и (или) факта уголовного преследования или о прекращении уголовного преследования - при поступлении на работу, связанную с деятельностью, к осуществлению которой в соответствии с Трудовым кодексом Российской Федерации, иным федеральным законом не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию.
Во исполнение положений статьи 230 Налогового кодекса Российской Федерации и приказа Федеральной налоговой службы от 17 ноября 2010 г. N ММВ-7-3/611 "Об утверждении формы сведений о доходах физических лиц и рекомендаций по ее заполнению, формата сведений о доходах физических лиц в электронном виде, справочников" и в соответствии с частью второй статьи 65 Трудового кодекса Российской Федерации Росводресурсы дополнительно запрашивают у лица, принимаемого на работу, свидетельство о постановке на учет в налоговом органе.
11. На основе представленных документов формируются личные дела сотрудников на бумажных носителях. При автоматизации процесса ведения кадрового делопроизводства документы, подлежащие включению в личное дело сотрудника, выводятся на бумажные носители и включаются в личное дело.
Отдельно от материалов личного дела сотрудника при приеме на работу заводится личная карточка сотрудника по форме Т-2, утвержденной постановлением Государственного комитета Российской Федерации по статистике от 5 января 2004 г. N 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты" и карточка гражданина, подлежащего воинскому учету по форме 10, утвержденной приказом Министра обороны Российской Федерации от 22 ноября 2021 г. N 700 "Об утверждении Инструкции об организации работы по обеспечению функционирования системы воинского учета". Карточки по форме Т-2 и 10 должны вестись на бумажном носителе. При автоматизации процесса ведения карточек Т-2 и 10 актуальная версия должна выводиться на бумажном носителе, а предыдущий экземпляр подлежит уничтожению.
12. При заключении трудового договора в него должны вноситься персональные данные сотрудника в составе согласно статье 57 Трудового кодекса Российской Федерации, если иное не оговорено иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации.
При заключении трудового договора впервые трудовая книжка оформляется сотрудником Росводресурсов.
В случае отсутствия у лица, поступающего на работу, трудовой книжки в связи с ее утратой, повреждением или по иной причине по письменному заявлению этого лица (с указанием причины отсутствия трудовой книжки) оформляется новая трудовая книжка.
13. Ведение трудовых книжек сотрудников Росводресурсов должно осуществляться в соответствии с требованиями постановления Правительства Российской Федерации от 24 июля 2021 г. N 1250 "Об отдельных вопросах, связанных с трудовыми книжками, и признании утратившими силу некоторых актов Правительства Российской Федерации и отдельных положений некоторых актов Правительства Российской Федерации".
Обработка персональных данных при осуществлении
персонифицированного учета доходов физических лиц
14. Обработка персональных данных при осуществлении персонифицированного учета доходов физических лиц осуществляется в соответствии с положениями:
Федерального закона "О персональных данных";
пункта 5 статьи 226 и пункта 2 статьи 230 Налогового кодекса Российской Федерации;
приказа Федеральной налоговой службы от 15 октября 2020 г. N ЕД-7-11/753@ "Об утверждении формы расчета сумм налога на доходы физических лиц, исчисленных и удержанных налоговым агентом (форма 6-ндфл), порядка ее заполнения и представления, формата представления расчета сумм налога на доходы физических лиц, исчисленных и удержанных налоговым агентом, в электронной форме, а также формы справки о полученных физическим лицом доходах и удержанных суммах налога на доходы физических лиц";
иных нормативных правовых актов по вопросам персонифицированного учета доходов физических лиц и защиты персональных данных.
Обработка персональных данных
при осуществлении персонифицированного учета обязательного
страхового обеспечения
15. Обработка персональных данных при осуществлении персонифицированного учета обязательного страхового обеспечения осуществляется в соответствии с положениями:
Федерального закона "О персональных данных";
статей 8 - 12 Федерального закона от 1 апреля 1996 г. N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования";
инструкции о порядке ведения индивидуального (персонифицированного) учета сведений о зарегистрированных лицах, утвержденной приказом Министерства труда и социальной защиты Российской Федерации от 3 апреля 2023 г. N 256Н;
постановления правления Пенсионного фонда Российской Федерации от 31 июля 2006 г. N 192п "О формах документов индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования и инструкции по их заполнению";
иных нормативных правовых актов по вопросам персонифицированного учета обязательного страхового обеспечения и защиты персональных данных.
16. Обработка персональных данных при начислении и расчете заработной платы осуществляется в соответствии с положениями:
пунктов 1.1 - 1.2 постановления Государственного комитета Российской Федерации по статистике от 5 января 2004 г. N 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты";
иных нормативных правовых актов по расчетам с персоналом.
Порядок обработки персональных данных без использования
средств автоматизации
17. Обработка персональных данных без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных) осуществляется в виде документов на бумажных и магнитных носителях.
18. При неавтоматизированной обработке различных категорий персональных данных используется отдельный материальный носитель для каждой категории персональных данных.
19. При неавтоматизированной обработке персональных данных на бумажных носителях:
не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы;
персональные данные обособляются от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных.
20. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовые формы), должны соблюдаться следующие условия:
типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, - при необходимости получения письменного согласия на обработку персональных данных;
типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.
21. Неавтоматизированная обработка персональных данных в электронном виде осуществляется на электронных носителях информации.
22. Электронные носители информации, содержащие персональные данные, учитываются в журнале учета электронных носителей персональных данных.
23. При несовместимости целей неавтоматизированной обработки персональных данных, зафиксированных на одном электронном носителе, если электронный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия определенных персональных данных;
при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
Копирование документов, содержащих персональные данные
24. При служебной необходимости в дополнительных экземплярах документов, содержащих персональные данные (далее - документы), производится их копирование.
25. На некоторых документах может стоять отметка о том, что снятие копий с этого документа не разрешается. Такие документы копированию не подлежат.
26. Разрешение на копирование документов могут давать соответствующие должностные лица (руководители подразделений), наделенные правом распоряжения сведениями, содержащими персональные данные.
27. Некоторые документы, поступившие из других организаций, должны копироваться с письменного разрешения руководителя организации или с письменного разрешения издавших их организаций.
28. Разрешение на изготовление дополнительных экземпляров (копий) учтенного документа оформляется на обороте последнего листа экземпляра, с которого производится копирование. В разрешении указываются номера документов или страниц, с которых необходимо сделать копию, а также количество копий.
29. На копиях экземпляров документа проставляются их номера. При этом номера копий продолжают номера ранее изготовленных экземпляров.
Трансграничная передача персональных данных
30. Передача персональных данных на территории иностранных государств запрещена, исключая случаи, установленные федеральным законом или иными нормативными актами.
31. В Росводресурсах не осуществляется трансграничная передача персональных данных.
Обработка специальных категорий персональных данных, а также
биометрических персональных данных
32. В Росводресурсах не осуществляется обработка специальных категорий персональных данных, а также биометрических персональных данных.
Порядок доступа в помещения, в которых ведется обработка
персональных данных
33. Организация хранения документов предполагает, что помещения, где хранятся документы, должны соответствовать требованиям технической безопасности, противопожарной безопасности, а также установленным санитарным нормам (далее - помещения).
34. Для обеспечения физической сохранности документов, дел, содержащих персональные данные, а также для предотвращения разглашения содержащейся в них информации устанавливается специальный режим их хранения и обращения.
35. В целях обеспечения дополнительных гарантий от проникновения посторонних лиц помещения (по возможности) не должны располагаться на первом этаже здания.
36. Право входа в помещения имеют руководитель Росводресурсов и сотрудники, имеющие прямое отношение к обработке и хранению персональных данных.
37. Входные двери помещений должны быть металлическими или обиты металлом с двух сторон и оборудованы замками, гарантирующими их надежное закрытие. По окончании рабочего дня двери должны закрываться.
38. Входные двери, окна помещений должны быть оборудованы охранной сигнализацией, выведенной на пост охраны.
39. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
40. При хранении необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
41. Персональные данные (материальные носители), обработка которых осуществляется с одной целью, могут объединяться в дела.
42. При хранении персональных данных должна составляться опись документов и дел, содержащих персональные данные.
Порядок уничтожения и обезличивания документов, содержащих
персональные данные
43. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости достижения этих целей, если иное не предусмотрено федеральным законом.
44. Порядок уничтожения и обезличивания персональных данных установлен нормативными актами Росводресурсов.
Приложение N 18
к приказу Федерального агентства
водных ресурсов
от 16.09.2024 N 250
ПЕРЕЧЕНЬ
ДОЛЖНОСТЕЙ СОТРУДНИКОВ ФЕДЕРАЛЬНОГО АГЕНТСТВА ВОДНЫХ
РЕСУРСОВ, ОТВЕТСТВЕННЫХ ЗА ПРОВЕДЕНИЕ МЕРОПРИЯТИЙ
ПО ОБЕЗЛИЧИВАНИЮ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
Заместители руководителя Росводресурсов, принимающие решение о необходимости обезличивания персональных данных.
Начальники отделов Росводресурсов, непосредственно осуществляющие обработку персональных данных и готовящие предложения по обезличиванию персональных данных, способам обезличивания, а также обоснование такой необходимости.
Сотрудники Росводресурсов, обслуживающие базы данных с персональными данными, осуществляющие совместно с ответственным за организацию обработки персональных данных непосредственное обезличивание выбранным способом.
Приложение N 19
к приказу Федерального агентства
водных ресурсов
от 16.09.2024 N 250
РЕГЛАМЕНТ
УПРАВЛЕНИЯ ДОСТУПОМ К МАШИННЫМ НОСИТЕЛЯМ ИНФОРМАЦИИ
Общие положения
1. Настоящий Регламент устанавливает основные требования к организации доступа, учета и использования машинных носителей информации, предназначенных для обработки и хранения конфиденциальной информации (далее - машинные носители информации) в Федеральном агентстве водных ресурсов (далее - Росводресурсы).
2. Все машинные носители информации, используемые при работе со средствами вычислительной техники (далее - СВТ) для обработки и хранения конфиденциальной информации, подлежат регистрации и учету.
Ответственность
3. Ответственность за организацию учета и использования машинных носителей информации возлагается на администратора информационной безопасности.
4. Ответственность за организацию учета и использования машинных носителей информации, содержащих персональные данные, возлагается на ответственного за организацию обработки персональных данных.
5. Персональную ответственность за сохранность полученных машинных носителей информации и предотвращение несанкционированного доступа к записанной на них информации несет пользователь, получивший эти носители.
Учет машинных носителей информации
6. К машинным носителям информации относятся: съемные и несъемные машинные носители информации типа HDD/SSD, оптические и магнитооптические диски, flash-накопители, CD/DVD диски и т.д.
7. При обработке персональных данных на СВТ должен соблюдаться порядок учета, хранения и уничтожения машинных носителей информации.
8. Учет машинных носителей информации производится в Журнале учета материальных носителей информации.
Форма Журнала учета материальных носителей информации установлена приложением N 12 к приказу Федерального агентства водных ресурсов от 30.04.2021 N 117 "Об обеспечении технической защиты информации, содержащей сведения конфиденциального характера, в информационных системах Федерального агентства водных ресурсов".
9. Каждому машинному носителю информации присваивается учетный номер, который состоит из кода машинного носителя и порядкового номера по Журналу учета материальных носителей информации.
10. Учетный номер наносится на машинный носитель информации или его корпус. Если невозможно маркировать непосредственно машинный носитель информации, то маркируется упаковка, в которой хранится носитель. В этом случае учетный номер записывается также на носителе.
11. Хранение машинных носителей информации должно осуществляться в условиях, исключающих возможность хищения, приведения в негодность или уничтожения содержащейся на них информации.
12. В случае утраты машинного носителя информации, содержащего конфиденциальную информацию, необходимо сообщить о происшествии администратору информационной безопасности.
13. Машинные носители информации выдаются администратором информационной безопасности пользователям, участвующим в процессе обработки конфиденциальной информации, с фиксацией факта выдачи в Журнале учета материальных носителей информации. По завершении эксплуатации машинные носители информации сдаются администратору информационной безопасности.
14. Несъемные машинные носители информации закрепляются за сотрудником, ответственным за СВТ, в котором они установлены.
15. Передача пользователем машинного носителя информации другим лицам запрещена.
16. Передача машинного носителя информации в постоянное пользование осуществляется только с обязательной отметкой в Журнале учета материальных носителей информации.
17. Копирование конфиденциальной информации с машинного носителя информации запрещено.
18. В случае непригодности машинного носителя информации для дальнейшего использования он подлежит уничтожению.
19. Уничтожение машинных носителей информации, пришедших в негодность или утративших практическую ценность, производится путем их физического разрушения с оформлением акта и отражением в Журнале учета материальных носителей информации.