Приказ Росалкогольрегулирования от 29.12.2012 N 395

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО РЕГУЛИРОВАНИЮ АЛКОГОЛЬНОГО РЫНКА

ПРИКАЗ

от 29 декабря 2012 г. N 395

О ПРАВИЛАХ РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ ФЕДЕРАЛЬНЫХ

ГОСУДАРСТВЕННЫХ ГРАЖДАНСКИХ СЛУЖАЩИХ, ОБРАБАТЫВАЕМЫМИ

В ФЕДЕРАЛЬНОЙ СЛУЖБЕ ПО РЕГУЛИРОВАНИЮ АЛКОГОЛЬНОГО РЫНКА

В соответствии с Федеральным законом от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации", Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", Указом Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и в целях организации и защиты персональных данных, обрабатываемых в Росалкогольрегулировании, приказываю:

1. Утвердить:

- Правила работы с персональными данными федеральных государственных гражданских служащих, обрабатываемыми в Федеральной службе по регулированию алкогольного рынка;

- состав Комиссии по организации обработки и защиты персональных данных в Федеральной службе по регулированию алкогольного рынка (не приводится).

2. Комиссии по организации обработки и защиты персональных данных в центральном аппарате Федеральной службы по регулированию алкогольного рынка и комиссиям по организации обработки и защиты персональных данных Межрегиональных управлений Федеральной службы по регулированию алкогольного рынка в трехмесячный срок подготовить и представить для утверждения:

- перечень персональных данных;

- перечень информационных систем персональных данных;

- перечень подразделений и лиц, допущенных к обработке персональных данных;

- перечень установленных уровней защищенности для информационных систем персональных данных;

- модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных Федеральной службы по регулированию алкогольного рынка.

3. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Федеральной службы по регулированию алкогольного рынка А.Ю. Кружалина.

Руководитель

И.ЧУЯН

Утверждено

приказом Федеральной

службы по регулированию

алкогольного рынка

от 29 декабря 2012 г. N 395

ПРАВИЛА

РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ ФЕДЕРАЛЬНЫХ ГОСУДАРСТВЕННЫХ

ГРАЖДАНСКИХ СЛУЖАЩИХ, ОБРАБАТЫВАЕМЫМИ В ФЕДЕРАЛЬНОЙ СЛУЖБЕ

ПО РЕГУЛИРОВАНИЮ АЛКОГОЛЬНОГО РЫНКА

I. Общие положения

1.1. Правилами работы с персональными данными федеральных государственных гражданских служащих, обрабатываемыми в Федеральной службе по регулированию алкогольного рынка (далее - Правила) в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", Указом Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" определяются:

- порядок получения, обработки, хранения, передачи и любого другого использования персональных данных в центральном аппарате Росалкогольрегулирования (далее - ЦА Росалкогольрегулирования) и его территориальных органах (далее - МРУ Росалкогольрегулирования);

- порядок обеспечения конфиденциальности персональных данных работников ЦА Росалкогольрегулирования и МРУ Росалкогольрегулирования;

- функции работников ЦА Росалкогольрегулирования и МРУ Росалкогольрегулирования, уполномоченных выполнять обязанности по обработке и защите персональных данных.

1.2. В целях контроля за соблюдением Правил и обеспечением защиты персональных данных на основании приказов Росалкогольрегулирования и ее территориальных органов создаются Комиссии по организации обработки и защиты персональных данных (далее - Комиссия).

1.3. В настоящих Правилах используются следующие термины и определения:

- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

- оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

- оператор персональных данных - работник ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования, осуществляющий обработку персональных данных;

- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

- обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированная), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;

- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

- защита персональных данных - комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту персональных данных.

1.3. Требования настоящих Правил не распространяются на отношения, возникающие при:

- обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

- организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

- обработке персональных данных, отнесенных в соответствии с законодательством Российской Федерации к сведениям, составляющим государственную тайну.

1.4. Настоящие Правила определяют:

- места хранения персональных данных без использования средств автоматизации;

- требования к защите от несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

- функциональную модель по обработке и защите персональных данных в ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования;

- условия обработки персональных данных в ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования;

- порядок работы Комиссий ЦА Росалкогольрегулирования МРУ Росалкогольрегулирования;

- порядок действий работников ЦА Росалкогольрегулирования и МРУ Росалкогольрегулирования в случае возникновения нештатных ситуаций;

- порядок проведения контрольных мероприятий по защите персональных данных в ЦА Росалкогольрегулирования и МРУ Росалкогольрегулирования и действиям по осуществлению этих мероприятий;

- порядок действий работников ЦА Росалкогольрегулирования и МРУ Росалкогольрегулирования по реагированию на нарушение Правил;

- порядок действий работников ЦА Росалкогольрегулирования и МРУ Росалкогольрегулирования при возникновении инцидента безопасности персональных данных (далее - ИБПДн);

- проведение контроля уровня защищенности персональных данных;

- планирование работ по защите персональных данных в ЦА Росалкогольрегулирования и МРУ Росалкогольрегулирования;

- порядок проведения оценки соответствия информационной системы персональных данных (далее - ИСПДн) ЦА Росалкогольрегулирования и МРУ Росалкогольрегулирования требованиям по обеспечению безопасности информации;

- требования к проведению работ по разработке регламентов и инструкций по обеспечению безопасности персональных данных;

- требования к процедурам уничтожения и хранения персональных данных;

- порядок учета и хранения носителей персональных данных.

II. Функциональная модель по обработке и защите

персональных данных в ЦА Росалкогольрегулирования

и МРУ Росалкогольрегулирования

2.1. В целях организации работ по обработке и защите персональных данных в ЦА Росалкогольрегулировании и МРУ Росалкогольрегулирования вводится функциональная модель по обработке и защите персональных данных, состоящая из:

- ответственного за организацию обработки и защиту персональных данных;

- администратора безопасности ИСПДн;

- администратора ИСПДн;

- оператора персональных данных.

III. Ответственный за организацию обработки

и защиты персональных данных

3.1. Должностные обязанности ответственного за организацию обработки и защиты персональных данных приказом ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования возлагаются на штатных работников ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования из числа руководителей структурного подразделения в ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования, ответственного за защиту информации.

3.2. При исполнении функциональных обязанностей в рамках настоящих Правил работник ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования, на которого возложены должностные обязанности ответственного за организацию обработки и защиту персональных данных, непосредственно подчиняется заместителю руководителя ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования, курирующему вопросы защиты информации.

3.3. При наделении работника ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования должностными полномочиями ответственного за организацию обработки и защиты персональных данных необходимо учитывать его знание:

- требований настоящих Правил, законодательства Российской Федерации по защите персональных данных, в том числе действующих нормативных и руководящих документов, а также внутренних инструкций по защите информации и распоряжений, регламентирующих порядок действий по защите информации;

- прав и обязанностей субъектов персональных данных;

- информационно-телекоммуникационной инфраструктуры ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования и технологических процессов обработки информации;

- основных механизмов защиты персональных данных, применяемых в ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования.

3.4. Должностные обязанности ответственного за организацию обработки и защиты персональных данных должны быть указаны в его должностном регламенте и включают в себя:

- контроль выполнения работниками ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования организационных мероприятий по обеспечению защиты персональных данных в ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования, условий размещения технических средств ИСПДн и их сохранность;

- организация и участие в проведении контрольных мероприятий по защите персональных данных;

- взаимодействие с администратором безопасности ИСПДн по вопросам обеспечения и выполнения требований обработки персональных данных;

- осуществление мер реагирования на нарушение Правил и на инциденты информационной безопасности в ИСПДн ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования.

3.5. Работник ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования, наделенный должностными обязанностями ответственного за организацию обработки и защиты персональных данных, имеет право:

- требовать от всех работников ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования, являющихся операторами персональных данных (далее - Оператор ПДн), и администраторов ИСПДн выполнения установленного порядка обработки персональных данных, требований настоящих Правил, регламентов, инструкций и других организационно-распорядительных документов по обеспечению безопасности персональных данных;

- участвовать в разработке мероприятий по совершенствованию защиты персональных данных в ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования;

- подавать Комиссии предложения для проведения расследований по фактам нарушения установленных требований обеспечения информационной безопасности, несанкционированного доступа, утраты, порчи защищаемых персональных данных и технических средств ИСПДн;

- обращаться к заместителю руководителя ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования, курирующему вопросы защиты информации, с предложением о приостановке процесса обработки персональных данных в ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования или отстранению от работы с персональными данными Оператора ПДн в случаях нарушения порядка обработки персональных данных или нарушения режима конфиденциальности этим Оператором ПДн;

- подавать в Комиссию свои предложения по совершенствованию организационных, технологических и технических мер защиты персональных данных ИСПДн, ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования.

IV. Администратор безопасности ИСПДн

4.1. Должностные обязанности администратора безопасности ИСПДн возлагаются приказом ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования, в соответствии с Перечнем должностей ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования, допущенных к обработке персональных данных, на одного из штатных работников структурного подразделения ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования, ответственного за защиту информации.

4.2. При наделении работника ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования должностными полномочиями администратора безопасности ИСПДн необходимо учитывать его знание:

- прав и обязанностей субъектов персональных данных;

4.3. Должностные обязанности администратора безопасности ИСПДн должны быть указаны в его должностном регламенте и включают в себя:

- обеспечение установки и настройки аппаратных и программных средств защиты ИСПДн ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования;

- обеспечение работоспособности аппаратных и программных средств защиты ИСПДн ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования;

- принятие мер по своевременному восстановлению работоспособности ИСПДн Росалкогольрегулирования в случае отказа работоспособности аппаратных и программных средств защиты ИСПДн и выявление причин, приведших к данному отказу работоспособности;

- проведение периодического контроля мер по защите персональных данных в пределах возложенных на него функций;

- своевременное информирование ответственного за защиту персональных данных о фактах нарушения установленного порядка работ и попытках несанкционированного доступа к информационным ресурсам ИСПДн;

- организацию и участие в проведении контрольных мероприятиях по защите персональных данных;

- взаимодействие с администратором ИСПДн по вопросам обеспечения и выполнения требований обработки персональных данных;

- своевременное реагирование на нарушение правил обработки персональных данных и на инциденты информационной безопасности в ИСПДн;

- установку, настройку, обслуживание антивирусных средств в ИСПДн в соответствии с эксплуатационной и технической документацией на антивирусные средства;

- проведение после установки антивирусного средства обновления антивирусных баз, а также полного внепланового антивирусного контроля ЭВМ, на которую было установлено антивирусное средство;

- установку, настройку, обслуживание, обновление и контроль работоспособности программных средств, реализующих функции сервера обновления антивирусных баз.

4.4. Работник ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования, наделенный должностными обязанностями администратора безопасности ИСПДн, имеет право:

- требовать от Операторов ПДн выполнения установленного порядка защиты персональных данных, требований настоящих Правил, регламентов, инструкций и других организационно-распорядительных документов по порядку работы в ИСПДн;

- участвовать в разработке мероприятий по совершенствованию системы защиты ИСПДн;

- подавать предложения ответственному по защите персональных данных о проведении служебных проверок по фактам нарушения установленных требований обеспечения информационной безопасности, несанкционированного доступа, утраты, порчи технических средств ИСПДн;

- подавать ответственному по защите персональных данных свои предложения по совершенствованию организационных, технологических и технических мер защиты персональных данных в ИСПДн ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования.

V. Администратор ИСПДн

5.1. Должностные обязанности администратора ИСПДн возлагаются приказом ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования на одного из штатных работников структурного подразделения ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования, ответственных за защиту информации или системное администрирование.

5.2. При наделении работника ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования должностными полномочиями администратора ИСПДн необходимо учитывать его знание:

- прав и обязанностей субъектов персональных данных;

- информационно-телекоммуникационной инфраструктуры Росалкогольрегулирования, технологических процессов обработки информации;

5.3. Должностные обязанности администратора ИСПДн должны быть указаны в его должностном регламенте и включают в себя:

- обеспечение установки, настройки и своевременного обновления аппаратных средств и программного обеспечения (далее - ПО) автоматизированных рабочих мест и серверов (операционных систем, прикладного и специального ПО ИСПДн ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования);

- обеспечение работоспособности элементов ИСПДн и локальной вычислительной сети ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования;

- принятие мер по своевременному восстановлению работоспособности ИСПДн ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования в случае отказа работоспособности технических средств и ПО элементов ИСПДн Росалкогольрегулирования и выявления причин, приведших к данному отказу работоспособности;

- своевременное информирование ответственного за защиту персональных данных в Росалкогольрегулировании о фактах нарушения установленного порядка работ и попытках несанкционированного доступа к информационным ресурсам ИСПДн.

5.4. Работник ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования, наделенный должностными обязанностями администратора ИСПДн, имеет право:

- требовать от пользователей ИСПДн выполнения установленного порядка обработки персональных данных, требований настоящих Правил, регламентов, инструкций и других организационно-распорядительных документов по порядку работы в ИСПДн;

- участвовать в разработке мероприятий по совершенствованию ИСПДн;

- инициировать перед ответственным по защите персональных данных в ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования проведение расследований по фактам нарушения установленных требований по обработке и защите персональных данных;

VI. Оператор ПДн

6.1. Должностные обязанности Оператора ПДн возлагаются приказом ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования, на одного из штатных работников структурного подразделения ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования, обрабатывающего персональные данные.

6.2. При наделении работника ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования должностными полномочиями Оператора ПДн необходимо учитывать его знание:

- прав и обязанностей субъектов персональных данных;

- основных механизмов защиты персональных данных, применяемых в Росалкогольрегулировании.

6.3. Работник ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования, наделенный должностными обязанностями Оператора ПДн, должен:

- знать и выполнять требования настоящих Правил, действующих нормативных и руководящих документов, а также внутренних инструкций, руководств по защите информации и распоряжений, регламентирующих порядок действий по защите информации;

- при обработке персональных данных выполнять только те процедуры обработки персональных данных, которые для него определены распорядительной документацией ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования;

- располагать экран монитора во время работы так, чтобы исключалась возможность несанкционированного ознакомления с конфиденциальной информацией;

- незамедлительно сообщать администратору безопасности ИСПДн обо всех выявленных нарушениях режимов обработки персональных данных;

- не копировать защищаемую информацию на неучтенные носители данных;

- принимать меры по реагированию, в случае возникновения нештатных ситуаций, с целью ликвидации их последствий.

6.4. Работник ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования, наделенный должностными обязанностями Оператора ПДн, имеет право:

- участвовать в разработке мероприятий по совершенствованию ИСПДн или процессов обработки персональных данных;

- подавать администратору безопасности ИСПДн свои предложения по совершенствованию организационных, технологических и технических мер защиты персональных данных в Росалкогольрегулировании.

VII. Комиссия ЦА Росалкогольрегулирования

или МРУ Росалкогольрегулирования

7.1. В состав Комиссии включаются заместитель руководителя ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования, курирующий вопросы защиты информации, и руководители структурных подразделений ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования, отвечающие за отдельные направления работ в рамках обработки и обеспечения безопасности персональных данных.

7.2. Деятельность Комиссии осуществляется на основании настоящих Правил, Регламента проведения классификации система персональных данных в ЦА Росалкогольрегулировании и МРУ Росалкогольрегулирования (Приложение N 1 к настоящим Правилам - не приводится) и приказов ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования.

7.3. Задачами Комиссии являются:

- организация работ по защите персональных данных, обрабатываемых в ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования;

- анализ результатов проведения контрольных мероприятий по защите персональных данных, обрабатываемых в ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования;

- определение перечня ПДн в Росалкогольрегулировании;

- определение перечня ИСПДн в Росалкогольрегулировании;

- подготовка Перечня подразделений и лиц, допущенных к обработке персональных данных, подготавливается Комиссией;

- установление уровней защищенности для информационных систем персональных данных;

- определение перечня уровней защищенности для информационных систем персональных данных;

- создание Модели угроз безопасности персональных данных при их обработке в ИСПДн Росалкогольрегулирования.

7.4. Комиссия в работе вправе использовать отчетные результаты привлекаемой специализированной в области обработки или защиты персональных данных организации.

7.5. Результатом работ Комиссии по установлению уровня защищенности ИСПДн должен явиться Акт установления уровня защищенности ИСПДн.

7.6. Комиссия может привлекаться для изучения фактов нарушений правил обработки персональных данных, инцидентов безопасности персональных данных, анализа результатов контрольных мероприятий защиты с целью выявления возможных новых или актуализации имеющихся угроз безопасности персональных данных, выработки рекомендации по их устранению или уменьшению возможного ущерба от их реализации.

7.7. Комиссия ежегодно до 1 февраля представляет руководителю ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования отчет о своей деятельности.

VIII. Сроки обработки и хранения персональных данных в ЦА

Росалкогольрегулирования и МРУ Росалкогольрегулирования

8.1. Сроки обработки и хранения персональных данных определяются в соответствии с пунктом 7 статьи 5 федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и иными нормативными правовыми актами.

IX. Условия обработки персональных данных в ЦА

Росалкогольрегулирования или МРУ Росалкогольрегулирования

9.1. Обработка персональных данных в ЦА Росалкогольрегулирования и МРУ Росалкогольрегулирования осуществляется:

- после получения согласия субъекта персональных данных на обработку его персональных данных (Приложение N 2 к настоящим Правилам - не приводится), за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

- после получения подписанного обязательства работника ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей (Приложение N 3 к настоящим Правилам - не приводится);

- после разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные и получения письменного подтверждения по форме Приложение N 4 к настоящим Правилам (не приводится);

- после направления уведомления об обработке персональных данных в территориальное Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

- после принятия необходимых мер по защите персональных данных.

9.2. В ЦА Росалкогольрегулирования и МРУ Росалкогольрегулирования запрещается:

- обрабатывать персональные данные в присутствии лиц, не допущенных к их обработке;

- осуществлять ввод персональных данных под диктовку.

X. Хранение и уничтожение персональных данных

10.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели их обработки.

10.2. Обработка персональных данных должна быть прекращена и собранные персональные данные должны быть уничтожены в следующих случаях, в сроки, установленные законодательством Российской Федерации:

- по достижении целей обработки или при утрате необходимости в их достижении;

- по требованию субъекта персональных данных или Уполномоченного органа по защите прав субъектов персональных данных: если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- при отзыве субъектом персональных данных согласия на обработку своих персональных данных, если такое согласие требуется в соответствии с законодательством Российской Федерации;

- при невозможности устранения оператором допущенных нарушений при обработке персональных данных.

10.3. Для отдельных категорий персональных данных приказом Росалкогольрегулирования может быть установлен особый режим обращения, регламентируемый специальными документами (положениями, инструкциями).

10.4. В ЦА Росалкогольрегулирования и МРУ Росалкогольрегулирования допускается использование только учтенных носителей персональных данных, которые являются собственностью Росалкогольрегулирования и подвергаются регулярной ревизии и контролю.

10.5. Хранение носителей персональных данных должно осуществляться в специально предназначенных для этого шкафах (сейфах).

10.6. Материальные носители персональных данных предоставляются работникам ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования на основании служебной записки руководителей структурных подразделений ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования в случаях:

- необходимости выполнения вновь принятым работником своих должностных обязанностей;

- возникновения у работника производственной необходимости.

XI. Порядок учета и хранения носителей персональных данных

11.1. В ЦА Росалкогольрегулирования и МРУ Росалкогольрегулирования все находящиеся на хранении и в обращении носители персональных данных подлежат учету.

11.2. Каждый машинный носитель персональных данных должен иметь этикетку, на которой указывается его уникальный учетный номер.

11.3. Каждый бумажный носитель персональных данных должен иметь идентификатор о принадлежности к личному делу конкретного субъекта персональных данных.

11.4. Учет и выдачу носителей персональных данных осуществляют работники структурного подразделения ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования, на которое возложены функции хранения носителей персональных данных. Факт выдачи съемного носителя фиксируется в Журнале учета выдачи носителей персональных данных (Приложение N 5 к настоящим Правилам - не приводится).

11.5. Работники ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования получают учтенный носитель от уполномоченного работника структурного подразделения, на которое возложены функции хранения носителей персональных данных для выполнения работ на конкретный срок. По окончании работ съемный носитель сдается для хранения уполномоченному работнику, о чем делается соответствующая запись в Журнале учета выдачи носителей персональных данных.

XII. Порядок использования носителей персональных данных

12.1. При использовании носителей персональных данных работники ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования должны:

- соблюдать требования настоящих Правил;

- использовать носители персональных данных исключительно для выполнения своих служебных обязанностей;

- ставить в известность администратора безопасности ИСПДн о любых фактах нарушения требований настоящих Правил;

- бережно относиться к носителям персональных данных;

- обеспечивать физическую безопасность носителей персональных данных;

- извещать администратора безопасности ИСПДн о фактах утраты (кражи) носителей персональных данных.

12.2. При использовании носителей персональных данных запрещено:

- использовать носители персональных данных в личных целях;

- хранить носители персональных данных вместе с носителями открытой информации, на рабочих столах либо оставлять их без присмотра или передавать на хранение другим лицам;

- выносить носители персональных данных из служебных помещений для работы с ними на дому.

XIII. Порядок уничтожения носителей персональных данных

13.1. Носители персональных данных, пришедшие в негодность, отслужившие срок эксплуатации (для бумажных носителей персональных данных окончанием срока эксплуатации считается окончание срока обработки персональных данных), подлежат уничтожению, если иное не установлено законодательством Российской Федерации.

13.2. Под уничтожением подразумевается любое воздействие на носитель персональных данных, в результате которого информация, хранимая на носителе, становится недоступной.

13.3. Решение об уничтожении носителей персональных данных принимается Комиссией. Уничтожение производится работниками, назначенными Комиссией.

13.4. По результатам уничтожения носителей персональных данных составляется акт уничтожения (очистки) носителей персональных данных (обезличивания или удаления персональных данных, отнесения персональных данных к категории общедоступных) (Приложение N 6 к настоящим Правилам - не приводится).

XIV. Действия работников при возникновении

нештатных ситуаций

14.1. Нештатная ситуация - ситуация, при которой процесс обработки персональных данных выходит за рамки нормального функционирования и может привести к нарушению безопасности обрабатываемых персональных данных. К причинам возникновению нештатной ситуации в том числе относятся события стихийного характера и события, связанные с физической безопасностью объектов, содержащих персональные данные, отказом технических средств.

К возникновению нештатной ситуации ИСПДн могут привести события, связанные с реализацией угроз безопасности ИСПДн.

14.2. Порядок действий работников ЦА Росалкогольрегулирования и МРУ Росалкогольрегулирования, обрабатывающих персональные данные, в нештатных ситуациях, связанных с событиями стихийного характера, должен регламентироваться действующими общими порядками, инструкциями, планами эвакуации.

14.3. Критичность нештатной ситуации оценивается на основе следующей классификации:

Уровень 1 - Незначительный инцидент ИБПДн. Незначительный инцидент ИБПДн определяется как локальное событие с ограниченным разрушением, которое не влияет на общую доступность элементов ИСПДн и средств защиты. Данные инциденты ИБПДн решаются администратором ИСПДн.

Уровень 2 - Авария. Любой инцидент ИБПДн, который приводит или может привести к прерыванию работоспособности отдельных элементов ИСПДн и средств защиты. Эти инциденты выходят за рамки управления администратора безопасности ИСПДн.

К авариям относятся следующие инциденты ИБПДн:

Отказ элементов ИСПДн и средств защиты по причине:

- повреждения водой;

- сбоя системы кондиционирования;

- сбоя систем энергоснабжения.

Уровень 3 - Катастрофа. Любой инцидент ИБПДн, приводящий к полному прерыванию работоспособности всех элементов ИСПДн и средств защиты, а также к угрозе жизни Операторов персональных данных, классифицируется как катастрофа. Обычно к катастрофам относят обстоятельства непреодолимой силы, которые могут привести к неработоспособности ИСПДн и средств защиты на сутки и более.

К катастрофам относятся следующие инциденты ИБПДн:

- пожар в здании;

- взрыв;

- просадка грунта с частичным обрушением здания;

- массовые беспорядки в непосредственной близости от объекта расположения ИСПДн.

XV. Нарушения Правил и порядок реагирования на нарушения

15.1. Нарушение Правил работниками ЦА Росалкогольрегулирования и МРУ Росалкогольрегулирования может привести к существенным нежелательным последствиям как для субъектов персональных данных, так и для ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования как оператора.

15.2. Реагирование на нарушения Правил должно быть направлено на:

- обнаружение нарушения и уменьшение нанесенного нарушением ущерба;

- выявление нарушителя;

- предупреждение повторных нарушений.

15.3. Ключевой особенностью реагирования должна быть его оперативность.

15.4. Нарушение может быть выявлено как самими работниками в процессе штатного процесса обработки персональных данных, так и при реализации контрольных мероприятий по защите персональных данных.

15.5. После выявления нарушения должны быть предприняты все доступные меры для уменьшения нанесенного им ущерба.

15.6. Соответствующими должностными регламентами должна быть предусмотрена ответственность работников ЦА Росалкогольрегулирования и МРУ Росалкогольрегулирования как за нарушение Правил и режимов обеспечения безопасности персональных данных, так и за несвоевременное информирование лиц, ответственных за защиту персональных данных.

15.7. Работник, обнаруживший факт нарушения Правил, незамедлительно сообщает об этом ответственному за организацию обработки и защиты персональных данных. Ответственный за организацию обработки и защиты персональных незамедлительно принимает меры по предотвращению нарушения, производит предварительную оценку последствий нарушения, выявляет нарушителя и информирует заместителя руководителя Росалкогольрегулирования, курирующего вопросы защиты информации об инциденте, принятых мерах, предполагаемом нарушителе и предполагаемых последствиях нарушения.

15.8. Заместитель руководителя ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования, курирующий вопросы защиты информации, на основании полученных данных принимает решение о значимости нарушения и мерах дальнейшего реагирования на него, включая меры по устранению последствий нарушения, проведении расследований и применении мер воздействия на нарушителя и ответственных лиц.

15.9. В случаях когда нарушения Правил повлекли или могли повлечь существенный ущерб безопасности персональных данных либо когда нарушения носят систематический характер, заместитель руководителя Росалкогольрегулирования, курирующий вопросы защиты информации, выносит представление руководителю Росалкогольрегулирования о проведении служебной проверки.

XVI. Инциденты информационной безопасности персональных

данных и реагирование на них

16.1. Под инцидентом ИБПДн понимается некоторое происшествие, связанное со сбоем в функционировании элементов ИСПДн, предоставляемых пользователям ИСПДн, а также потерей защищаемой информации.

Происшествие, вызывающее инцидент ИБПДн, может произойти в результате:

- непреднамеренных действий пользователей;

- преднамеренных действий пользователей и третьих лиц;

- нарушения правил эксплуатации технических средств ИСПДн;

- возникновения нештатных ситуаций, связанных с реализацией других угроз безопасности персональных данных.

Инцидент ИБПДн становится возможным, в том числе в результате реализации одной из угроз, приведенных в Приложении N 7 к настоящим Правилам (не приводится).

16.2. Все действия в процессе реагирования на инцидент ИБПДн должны документироваться администратором безопасности ИСПДн в "Журнале учета инцидентов информационной безопасности в ИСПДн" по форме согласно Приложению N 8 к настоящим Правилам (не приводится).

В сроки, не превышающие одного рабочего дня, ответственные за реагирование на инциденты ИБПДн работники ЦА Росалкогольрегулирования и МРУ Росалкогольрегулирования должны предпринять меры по восстановлению работоспособности ИСПДн. Предпринимаемые меры согласуются с заместителем руководителя ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования, курирующим вопросы защиты информации.

16.3. К техническим мерам обеспечения непрерывной работы и восстановления ресурсов ИСПДн относятся программные, аппаратные и технические средства, а также системы, используемые для предотвращения возникновения аварийных ситуаций, такие как:

- системы обеспечения отказоустойчивости;

- системы резервного копирования и хранения данных;

- системы контроля физического доступа;

- системы пожарной сигнализации и пожаротушения;

- системы вентиляции и кондиционирования;

- системы резервного электропитания.

16.4. К организационным мерам обеспечения относится обучение работников ЦА Росалкогольрегулирования и МРУ Росалкогольрегулирования, имеющих доступ к ресурсам ИСПДн, порядку действий при возникновении аварийных ситуаций. Работники ЦА Росалкогольрегулирования и МРУ Росалкогольрегулирования должны получить базовые знания и навыки по:

- защите материальных и информационных ресурсов;

- способам оперативной связи со службами спасения и работниками ЦА Росалкогольрегулирования и МРУ Росалкогольрегулирования, ответственными за реагирование на аварийную ситуацию;

- выключению оборудования, электричества, водоснабжения, газоснабжения.

Администратор ИСПДн и Администратор безопасности ИСПДн должны быть дополнительно обучены методам частичного и полного восстановления работоспособности элементов ИСПДн.

Навыки и знания должностных лиц по реагированию на аварийные ситуации должны регулярно проверяться. При необходимости должно проводиться дополнительное обучение должностных лиц порядку действий при возникновении аварийной ситуации.

Ответственность за организацию обучения работников ЦА Росалкогольрегулирования и МРУ Росалкогольрегулирования знаниям и навыкам несет структурное подразделение Росалкогольрегулирования, ответственное за мобилизационную подготовку.

XVII. Процедуры проведения периодических проверок условий

обработки и защиты персональных данных

17.1. Проверки условий обработки и защиты персональных данных - комплекс организационных и технических мероприятий, которые организуются и осуществляются в целях предупреждения и пресечения возможности получения посторонними лицами персональных данных, выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к персональным данным, хищения технических средств и носителей информации, предотвращения специальных программно-технических воздействий, вызывающих нарушение характеристик безопасности информации или работоспособности систем информатизации.

17.2. Основными задачами проверок условий обработки и защиты персональных данных являются:

- проверка организации выполнения мероприятий по защите информации в подразделениях ЦА Росалкогольрегулирования и МРУ Росалкогольрегулирования, учета требований по защите информации в разрабатываемых плановых и распорядительных документах;

- уточнение зон перехвата обрабатываемых персональных данных, возможных каналов утечки информации, несанкционированного доступа к ней и программно-технических воздействий на информацию;

- проверка выполнения установленных норм и требований по защите персональных данных от утечки по техническим каналам, оценка достаточности и эффективности мероприятий по защите персональных данных;

- проверка выполнения требований по защите ИСПДн от несанкционированного доступа;

- проверка выполнения требований по антивирусной защите автоматизированных систем и автоматизированных рабочих мест;

- оперативное принятие мер по пресечению нарушений требований (норм) защиты персональных данных;

- разработка предложений по устранению (минимизации) технических каналов утечки информации.

17.3. Проверки условий обработки и защиты персональных данных проводятся с учетом реальных условий по всем физическим полям, по которым возможен перехват информации, циркулирующей в ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования и осуществляется по объектовому принципу, при котором на рабочем месте или ИСПДн одновременно проверяются все вопросы защиты персональных данных. Перечень каналов утечки устанавливается в соответствии с Моделью угроз безопасности персональных данных при их обработке в ИСПДн ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования.

17.4. В ходе проверки условий обработки и защиты персональных данных проверяются:

- соответствие принятых мер по обеспечению безопасности персональных данных;

- своевременность и полнота выполнения требований настоящих Правил и других руководящих документов по обеспечению безопасности персональных данных;

- полнота выявления демаскирующих признаков охраняемых сведений об объектах защиты и возможных технических каналов утечки информации, несанкционированного доступа к ней и программно-технических воздействий на информацию;

- эффективность применения организационных и технических мероприятий по защите информации;

- устранение ранее выявленных недостатков.

Кроме того, могут проводиться необходимые измерения и расчеты приглашенными для этих целей специалистами организации, имеющей соответствующие лицензии ФСТЭК России.

17.5. Основными видами технического контроля являются визуально-оптический контроль, контроль эффективности защиты информации от утечки по техническим каналам, контроль несанкционированного доступа к информации и программно-технических воздействий на информацию.

17.6. Полученные в ходе ведения проверки условий обработки и защиты персональных данных результаты обрабатываются и анализируются в целях определения достаточности и эффективности предписанных мер защиты информации и выявления нарушений. При обнаружении нарушений норм и требований по защите или обработке персональных данных информации лицо, ответственное за защиту персональных данных, докладывает заместителю руководителя ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования, курирующему вопросы защиты информации, для принятия им решения о прекращении обработки информации и проведения соответствующих организационных и технических мер по устранению нарушения.

17.7. Невыполнение предписанных мероприятий по защите персональных данных (положений, регламентов, инструкций) считается предпосылкой к утечке информации (далее - предпосылка).

По каждой предпосылке для выяснения обстоятельств и причин невыполнения установленных требований по представлению заместителя руководителя ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования, курирующего вопросы защиты информации, проводится проверка объектов защиты персональных данных.

17.8. Проверки ИСПДн проводятся работниками, ответственными за защиту персональных данных, совместно с работниками, выполняющими функции администраторов безопасности ИСПДн.

17.9. Одной из форм проверок условий обработки и защиты персональных данных является обследование объектов ИСПДн. Оно проводится не реже одного раза в год работником, выполняющим функции администратора безопасности ИСПДн, совместно с ответственным за эксплуатацию объекта ИСПДн (Оператором ПДн или администратором ИСПДн). Для обследования ИСПДн может привлекаться организация, имеющая лицензию ФСТЭК России на деятельность по технической защите информации.

17.10. Обследование ИСПДн проводится с целью определения соответствия помещений, технических и программных средств требованиям по безопасности персональных данных.

17.11. В ходе обследования проверяется:

- соответствие текущих условий функционирования обследуемого объекта ИСПДн условиям, сложившимся на момент проверки;

- соблюдение организационно-технических требований к помещениям, в которых располагается ИСПДн;

- сохранность печатей, пломб на технических средствах передачи и обработки информации, а также на устройствах их защиты, отсутствие повреждений экранов корпусов аппаратуры, оболочек кабелей и их соединений с шинами заземления;

- соответствие выполняемых на объекте ИСПДн мероприятий по защите информации требованиям настоящих Правил;

- выполнение требований по защите ИСПДн от несанкционированного доступа;

- выполнение требований по антивирусной защите.

XVIII. Планирование проведения периодических проверок

условий обработки и защиты персональных данных

18.1. Основными целями планирования проведения периодических проверок условий обработки и защиты персональных данных являются:

- защита ПДн, исключение возможных каналов утечки;

- определение сроков проведения конкретных мероприятий по защите персональных данных;

- установление системы контроля за обеспечением защиты персональных данных в ЦА Росалкогольрегулирования и МРУ Росалкогольрегулирования;

- уточнение функций и задач, решаемых отдельными должностными лицами и структурными подразделениями.

18.2. Основой для планирования проведения периодических проверок условий обработки и защиты персональных данных служат:

- требования законодательных и иных нормативных правовых актов по защите персональных данных, соответствующих нормативно-методических документов уполномоченных федеральных органов исполнительной власти;

- положения внутренних организационно-распорядительных документов ЦА Росалкогольрегулирования и МРУ Росалкогольрегулирования, определяющих порядок ведения деятельности ЦА Росалкогольрегулирования и МРУ Росалкогольрегулирования, а также конкретизирующих вопросы защиты персональных данных;

- результаты проверок защищенности персональных данных;

- результаты контроля за состоянием защиты персональных данных, проводимого уполномоченными органами.

18.3. Разработка документов по защите персональных данных осуществляется работником, ответственным за защиту персональных данных. При подготовке планов учитываются предложения работников ЦА Росалкогольрегулирования и МРУ Росалкогольрегулирования, обрабатывающих персональные данные.

XIX. Оценка соответствия ИСПДн требованиям по обеспечению

информационной безопасности

19.1. Предварительная оценка соответствия ИСПДн требованиям по обеспечению информационной безопасности персональных данных должна быть произведена для всех выявленных и образованных в процессе деятельности ЦА Росалкогольрегулирования и МРУ Росалкогольрегулирования ИСПДн.

19.2. Окончательная оценка соответствия ИСПДн требованиям по обеспечению информационной безопасности персональных данных должна производиться для всех выявленных и образованных в процессе деятельности ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования ИСПДн после реализации систем защиты в указанных ИСПДн, нейтрализующих выявленные угрозы безопасности ИСПДн.

19.3. Для оценки соответствия ИСПДн требованиям по обеспечению информационной безопасности персональных данных могут привлекаться организации, имеющие лицензии ФСТЭК России на деятельность по технической защите информации.

19.4. В процессе функционирования ИСПДн в результате мероприятий по контролю защищенности ИСПДн могут быть выявлены новые, не учтенные ранее, угрозы безопасности персональных данных. В этом случае пересмотру может быть подвержена Модель угроз безопасности персональных данных при их обработке в ИСПДн ЦА Росалкогольрегулирования или МРУ Росалкогольрегулирования. После нейтрализации вновь выявленных угроз безопасности необходимо провести повторную оценку соответствия ИСПДн требованиям по обеспечению информационной безопасности персональных данных.

XX. Разработка регламентов и инструкций по обеспечению

безопасности персональных данных

20.1. При создании системы защиты персональных данных должны быть разработаны детальные инструкции пользователей ИСПДн по работе в конкретной информационной системе и со средствами защиты информации, используемыми в ИСПДн.

20.2. Инструкция работника по правилам обработки персональных данных (Приложение N 9 к настоящим Правилам - не приводится) определяет функциональные обязанности, права работников ЦА Росалкогольрегулирования и МРУ Росалкогольрегулирования - пользователей информационных систем ЦА Росалкогольрегулирования и МРУ Росалкогольрегулирования, в которых обрабатываются персональные данные.

20.3. Инструкция по организации парольной защиты в системах обработки персональных данных (Приложение N 10 к настоящим Правилам - не приводится) регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей в Росалкогольрегулировании при обработке персональных данных, а также контроль за действиями пользователей при работе с паролями.

XXI. Антивирусная защита

21.1. Обновление антивирусных баз всех применяемых в ИСПДн антивирусных средств должно осуществляться не реже 1 раза в неделю.

21.2. Обновление должно осуществляться автоматически с сервера обновлений антивирусных баз.

21.3. При возникновении подозрения на наличие вредоносной программы:

- работающий в ИСПДн Оператор ПДн обязан приостановить работу в ИСПДн, сообщить о заражении администратору безопасности ИСПДн;

- администратор безопасности ИСПДн обязан произвести полный внеплановый антивирусный контроль;

- при отсутствии выявленных вредоносных программ работа в ИСПДн возобновляется.

21.4. При выявлении вредоносной программы:

- администратор безопасности ИСПДн с использованием антивирусного средства производит уничтожение вируса (лечение) или уничтожение зараженных файлов. При невозможности вылечить или уничтожить зараженные файлы осуществляет полную переустановку программного обеспечения зараженной вредоносной программой ЭВМ;

- администратор безопасности ИСПДн производит полный внеплановый антивирусный контроль;

- при отсутствии выявленных вредоносных программ работа соответствующего пользователя в ИСПДн возобновляется.