Разработка документов по обработке персональных данных районной налоговой инспекции

- 5 для средней степени исходной защищенности;

- 10 для низкой степени исходной защищенности.

Таким образом, для ИСПДн клиентов районной налоговой инспекции коэффициент Y1=5.

В таблице 5 представлены показатели исходной защищенности ИСПДн клиентов, в которой обрабатываются иные ПДн.

Таблица 5 Показатели исходной защищенности ИСПДн клиентов в которой обрабатываются иные ПДн

Технические и эксплуатационные характеристики ИСПДн	Уровень защищенности
	Высокий	Средний	Низкий
Локальная ИСПДн, развернутая в пределах одного здания	+	-	-
ИСПДн, имеющая одноточечный выход в сеть общего пользования	-	+	-
Чтение, поиск; Модификация, передача Запись, удаление, сортировка;	+ - -	- - +	- + -
ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн	-	+	-
ИСПДн, в которой используется одна база ПДн, принадлежащая организации - владельцу данной ИСПДн	+	-	-
ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн).	-	-	+
ИСПДн, предоставляющая часть ПДн.	-	+	-

Исходя из показателей исходной защищенности ИСПДн, в которой обрабатываются иные ПДн клиентов районной налоговой инспекции. Можно сделать вывод о том, что данная ИСПДн имеет средний уровень исходной защищенности.

При составлении перечня актуальных угроз безопасности ПДн каждой степени исходной защищенности ставится в соответствие числовой коэффициент Y1, а именно:

- 0 для высокой степени исходной защищенности;

- 5 для средней степени исходной защищенности;

- 10 для низкой степени исходной защищенности.

Таким образом, для ИСПДн клиентов районной налоговой инспекции коэффициент Y1=5.

В таблице 6 представлены показатели исходной защищенности ИСПДн, в которой обрабатываются общедоступные ПДн сотрудников районной налоговой инспекции.

Таблица 6 Показатели исходной защищенности ИСПДн, в которой обрабатываются иные ПДн сотрудников

Технические и эксплуатационные характеристики ИСПДн	Уровень защищенности
	Высокий	Средний	Низкий
Локальная ИСПДн, развернутая в пределах одного здания.	+	-	-
ИСПДн, имеющая одноточечный выход в сеть общего пользования;	-	+	-
Чтение, поиск; Модификация, передача Запись, удаление, сортировка;	+ - -	- - +	- + -
ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн	-	+	-
ИСПДн, в которой используется одна база ПДн, принадлежащая организации - владельцу данной ИСПДн	+	-	-
ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн).	-	-	+
ИСПДн, предоставляющая всю базу данных с ПДн.	-	-	+

Исходя из показателей исходной защищенности ИСПДн ,в которой обрабатываются общедоступные ПДн сотрудников районной налоговой инспекции, можно сделать вывод о том, что данная ИСПДн имеет средний уровень исходной защищенности.

При составлении перечня актуальных угроз безопасности ПДн каждой степени исходной защищенности ставится в соответствие числовой коэффициент Y1, а именно:

- 0 для высокой степени исходной защищенности;

- 5 для средней степени исходной защищенности;

- 10 для низкой степени исходной защищенности.

Таким образом, для ИСПДн сотрудников районной налоговой инспекции коэффициент Y1=5.

В таблице 7 представлены показатели исходной защищенности ИСПДн сотрудников, в которой обрабатываются иные ПДн.

Таблица 7 Показатели исходной защищенности ИСПДн сотрудников в которой обрабатываются иные ПДн

Технические и эксплуатационные характеристики ИСПДн	Уровень защищенности
	Высокий	Средний	Низкий
Локальная ИСПДн, развернутая в пределах одного здания	+	-	-
ИСПДн, имеющая одноточечный выход в сеть общего пользования	-	+	-
Чтение, поиск; Модификация, передача Запись, удаление, сортировка;	+ - -	- - +	- + -
ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн	-	+	-
ИСПДн, в которой используется одна база ПДн, принадлежащая организации - владельцу данной ИСПДн	+	-	-
ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн).	-	-	+
ИСПДн, предоставляющая часть ПДн.	-	+	-

Исходя из показателей исходной защищенности ИСПДн ,в которой обрабатываются иные ПДн сотрудников районной налоговой инспекции, можно сделать вывод о том, что данная ИСПДн имеет средний уровень исходной защищенности.

При составлении перечня актуальных угроз безопасности ПДн каждой степени исходной защищенности ставится в соответствие числовой коэффициент Y1, а именно:

- 0 для высокой степени исходной защищенности;

- 5 для средней степени исходной защищенности;

- 10 для низкой степени исходной защищенности.

Таким образом, для ИСПДн клиентов районной налоговой инспекции коэффициент Y1=5.

Таблица 8 Модель угроз безопасности общедоступных ПДн клиентов районной налоговой инспекции

Описание угрозы	Вероятность реализации угрозы (Y2)	Возможность реализации угрозы (Y)	Опасность угрозы	Актуальность угрозы	Последствия	Тип угрозы
Кражи, модификации уничтожение информации	2	Средняя.	Высокий.	Актуальная.	Ц, К, Д.	3
Действия вредоносных программ (вирусов);	2	Средняя.	Средний.	Актуальная.	Ц, К, Д.	2
Непреднамеренная модификация (уничтожение) информации сотрудниками.	2	Средняя.	Средний.	Актуальная.	Ц, К, Д.	3
Выход из строя аппаратно-программных средств.	5	Средняя.	Средний.	Актуальная.	Ц, К, Д	1
Сбой системы электроснабжения.	5	Средняя.	Средний.	Актуальная.	Ц, Д.	3
Стихийное бедствие.	2	Средняя.	Высокий.	Актуальная.	Ц.	3
Угрозы внедрения по сети вредоносных программ.	0	Низкая.	Высокий.	Актуальная.	К, Ц, Д.	1

Таблица 9 Модель угроз безопасности иных ПДн клиентов районной налоговой инспекции

Описание угрозы	Вероятность реализации угрозы (Y2)	Возможность реализации угрозы (Y)	Опасность угрозы	Актуальность угрозы	Последствия	Тип угрозы
Кража носителей информации	5	Средняя.	Средний.	Актуальная.	К.	3
Кражи, модификацииуничтожение информации	2	Средняя.	Высокий.	Актуальная.	Ц, К, Д.	3
Несанкционированное отключение средств защиты;	0	Низкая.	Высокий.	Актуальная.	К, Д.	3
Действия вредоносных программ (вирусов);	2	Средняя.	Средний.	Актуальная.	Ц, К, Д.	2
Не декларированные возможности системного ПО и ПО для обработки персональных данных.	5	Средняя.	Высокий.	Актуальная.	Ц, К, Д.	2
Установка ПО не связанного с исполнением служебных обязанностей.	5	Средняя.	Низкий.	Неактуальная.	Ц, К, Д.	2
Утрата ключей и атрибутов доступа.	5	Средняя.	Средний.	Актуальная.	К, Д.	3
Непреднамеренная модификация (уничтожение) информации сотрудниками.	2	Средняя.	Средний.	Актуальная.	Ц, К, Д.	3
Непреднамеренное отключение средств защиты.	2	Средняя.	Высокий.	Актуальная.	Ц, К, Д	3
Выход из строя аппаратно-программных средств.	5	Средняя.	Средний.	Актуальная.	Ц, К, Д	1
Сбой системы электроснабжения.	5	Средняя.	Средний.	Актуальная.	Ц, Д.	3
Стихийное бедствие.	2	Средняя.	Высокий.	Актуальная.	Ц.	3
Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке	0	Низкая.	Высокий.	Актуальная.	Д, К.	3
Перехват в пределах контролируемой зоны внешними нарушителями.	2	Средняя.	Высокий.	Актуальная.	К.	3
Угрозы выявления паролей по сети.	5	Средняя.	Средний.	Актуальная.	К, Ц, Д.	1
Угрозы подмены доверенного объекта в сети.	2	Средняя.	Средний.	Актуальная.	К, Ц.	1
Угрозы типа «Отказ в обслуживании».	2	Средняя.	Средний.	Актуальная.	Д.	3
Угрозы внедрения по сети вредоносных программ.	0	Низкая.	Высокий.	Актуальная.	К, Ц, Д.	1
Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.	0	Низкая.	Средний.	Неактуальная	К, Ц, Д.	1
Кража ключей и атрибутов доступа.	0	Низкая.	Средний.	Неактуальная	К, Д.	3
Угрозы утечки видовой информации.	2	Средняя.	Средний.	Актуальная.	Ц, К.	3
Перехват в пределах контролируемой зоны	2	Средняя.	Средний.	Актуальная.	Ц, К.	3

Таблица 10 Модель угроз безопасности общедоступных ПДн сотрудников районной налоговой инспекции

Описание угрозы	Вероятность реализации угрозы (Y2)	Возможность реализации угрозы (Y)	Опасность угрозы	Актуальность угрозы	Последствия	Тип угрозы
Кражи, модификацииуничтожение информации	2	Средняя.	Высокий.	Актуальная.	Ц, К, Д.	3
Действия вредоносных программ (вирусов);	2	Средняя.	Средний.	Актуальная.	Ц, К, Д.	2
Непреднамеренная модификация (уничтожение) информации сотрудниками.	2	Средняя.	Средний.	Актуальная.	Ц, К, Д.	3
Выход из строя аппаратно-программных средств.	5	Средняя.	Средний.	Актуальная.	Ц, К, Д.	1
Сбой системы электроснабжения.	5	Средняя.	Средний.	Актуальная.	Ц, Д.	3
Стихийное бедствие.	2	Средняя.	Высокий.	Актуальная.	Ц.	3
Угрозы внедрения по сети вредоносных программ.	2	Средняя.	Средний.	Актуальная.	К, Ц, Д.	1

Таблица 11 Модель угроз безопасности иных ПДн сотрудников районной налоговой инспекции

Описание угрозы	Вероятность реализации угрозы (Y2)	Возможность реализации угрозы (Y)	Опасность угрозы	Актуальность угрозы	Последствия	Тип угрозы
Кража носителей информации	5	Средняя.	Средний.	Актуальная.	К.	3
Кражи, модификации, уничтожение информации	2	Средняя.	Высокий.	Актуальная.	Ц, К, Д.	3
Несанкционированное отключение средств защиты;	0	Низкая.	Высокий.	Актуальная.	К, Д.	3
Действия вредоносных программ (вирусов);	2	Средняя.	Средний.	Актуальная.	Ц, К, Д.	2
Не декларированные возможности системного ПО и ПО для обработки персональных данных.	5	Средняя.	Высокий.	Актуальная.	Ц, К, Д.	2
Установка ПО не связанного с исполнением служебных обязанностей.	5	Средняя.	Низкий.	Неактуальная.	Ц, К, Д.	2
Утрата ключей и атрибутов доступа.	5	Средняя.	Средний.	Актуальная.	К, Д.	3
Непреднамеренная модификация (уничтожение) информации сотрудниками.	2	Средняя.	Средний.	Актуальная.	Ц, К, Д.	3
Непреднамеренное отключение средств защиты.	2	Средняя.	Высокий.	Актуальная.	Ц, К, Д.	3
Выход из строя аппаратно-программных средств.	5	Средняя.	Средний.	Актуальная.	Ц, К, Д.	1
Сбой системы электроснабжения.	5	Средняя.	Средний.	Актуальная.	Ц, Д.	3
Стихийное бедствие.	2	Средняя.	Высокий.	Актуальная.	Ц.	3
Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке	0	Низкая.	Высокий.	Актуальная.	Д, К.	3
Угрозы выявления паролей по сети.	5	Средняя.	Средний.	Актуальная.	К, Ц, Д.	2
Угрозы подмены доверенного объекта в сети.	2	Средняя.	Средний.	Актуальная.	К, Ц.	2
Угрозы типа «Отказ в обслуживании».	2	Средняя.	Средний.	Актуальная.	Д.	3
Угрозы внедрения по сети вредоносных программ.	2	Средняя.	Средний.	Актуальная.	К, Ц, Д.	1
Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.	0	Низкая.	Средний.	Неактуальная	К, Ц, Д.	1
Кража ключей и атрибутов доступа.	2	Средняя.	Средний.	Актуальная.	К, Д.	3
Угрозы утечки видовой информации.	2	Средняя.	Средний.	Актуальная.	Ц, К.	3

4. Определение уровня защищенности ИСПДн организации

На четвертой стадии курсовой работы были определены и классифицированы отдельные ИСПДн районной налоговой инспекции. Вначале ИСПДн районной налоговой инспекции была разбита на две большие группы по субъектам ПДн: ИСПДн клиентов и ИСПДн сотрудников. Затем в данных группах были выделены подгруппы по типам ПДн: ИСПДн-О клиентов, ИСПДн-О сотрудников, ИСПДн-И клиентов, ИСПДн-И сотрудников. Таким образом были идентифицированы следующие ИСПДн районной налоговой инспекции:

ИСПДн клиентов:

ИСПДн-О

ИСПДн-И

ИСПДн сотрудников:

ИСПДн-О

ИСПДн-И

Графическое представление идентифицированных ИСПДн приведено на рисунке 5.



Рис. 5 Структура идентифицированных ИСПДн районной налоговой инспекции

ИСПДн клиентов и ИСПДн сотрудников, обрабатывающие общедоступные ПДн - информационная система, обрабатывающая общедоступные ПДн, так как в ней обрабатываются ПДн субъектов ПДн, размещаемые в общедоступных источниках ПДн, созданных в соответствии со статьей 8 Федерального закона «О персональных данных» (ИСПДн-О);

ИСПДн клиентов и ИСПДн сотрудников, обрабатывающие иные ПДн - информационная система, обрабатывающая иные категории ПДн, так как в ней не обрабатываются ПДн, относящиеся к другим ИСПДн (ИСПДн-И). При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.

Для ИСПДн клиентов и ИСПДн сотрудников, обрабатывающих иные ПДн необходимо обеспечение 1-го уровня защищенности персональных данных. Это обусловлено тем, что для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает иные категории персональных данных;

Для ИСПДн клиентов и ИСПДн сотрудников, обрабатывающие общедоступные ПДн необходимо обеспечение 2-го уровня защищенности персональных данных. В следствии того, что для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;

Руководствуясь видом ИСПДн (О, С, Б или И), заданными в задании на курсовое проектирование типами угроз для каждой ИСПДн (1,2 или 3) и количеством субъектов ПДн, чьи ПДн обрабатываются в ИСПДн, был определен уровень защищенности каждой ИСПДн приведенный в таблице 12.

Таблица 12 Уровни защищенности ИСПДн районной налоговой инспекции

Тип ИСПДн	Категории субъектов ИСПДн	Количество субъектов ИСПДн	Тип актуальных угроз
			1 тип
ИСПДн - И	Не сотрудники	более 100 000	УЗ1
	сотрудники	более 100 000	УЗ1
ИСПДн - О	Не сотрудники	более 100 000	УЗ2
	сотрудники	более 100 000	УЗ2

5. Определение организационных и организационно-технических требований к обеспечению уровней защищенности персональных данных в информационных системах персональных данных организации

На пятой стадии курсовой работы на основании Постановления Правительства Российской Федерации от 1.11.2012 №1119 сформированы требования к обеспечению уровней защищенности ПДн определенных на 4-м этапе курсового проектирования.

Для обеспечения 2-го уровня защищенности ПДн при их обработке в информационных системах необходимо выполнение следующих требований:

1) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

2) обеспечение сохранности носителей ПДн;

3) утверждение руководителем оператора документа ,определяющего перечень лиц, доступ которых к ПДн, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

4) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;

5) назначение должностного лица (работника), ответственного за обеспечение безопасности ПДн в информационной системе;

6) доступ к содержанию электронного журнала сообщений возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

Для обеспечения 1-го уровня защищенности ПДн при их обработке в информационных системах помимо требований, предусмотренных для 2-го уровня защищенности, необходимо выполнение следующих требований:

1) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к ПДн, содержащимся в информационной системе;

2) создание структурного подразделения, ответственного за обеспечение безопасности ПДн в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

6. Разработка документов районной налоговой инспекции по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

На шестой стадии курсовой работы решается задача разработки документов по обеспечению безопасности ПДн при их обработке в ИСПДн районной налоговой инспекции. На этой стадии используются ранее полученные результаты - уровень защищенности ПДн, модель угроз, требования к обеспечению защищенности ПДн а также Федеральный закон от 27.07.2006 «О персональных данных» (в действующей редакции) и Постановление Правительства Российской Федерации от 21.03.2012 № 211.

Разработанные документы по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных включают в себя:

- правила обработки персональных данных в районной налоговой инспекции;

- инструкцию по обеспечению режима обеспечения безопасности помещений, в которых размещена выбранная ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

- типовая форма согласия на обработку ПДн сотрудников организации и иных субъектов ПДн.

Разработанные документы районной налоговой инспекции по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных представлены в приложении А, Б и В соответственно.

Заключение

В результате выполнения курсовой работы были определены цели и задачи деятельности районной налоговой инспекции, информационные процессы, с помощью которых реализуются задачи её деятельности, разработана структура и схема информационных потоков её информационной системы.

Выявлены и описаны информационные системы персональных данных районной налоговой инспекции.

Разработаны модели угроз персональным данным в районной налоговой инспекции.

Определены уровни защищённости персональных данных в районной налоговой инспекции, организационные и организационно-технические требования к обеспечению уровней защищённости персональных данных в информационных системах персональных данных районной налоговой инспекции.

Разработаны документы районной налоговой инспекции по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Таким образом, задание на курсовую работу выполнено в полном объеме.

Список использованных источников

1 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. Федеральных законов от 05.04.2013 N 43-ФЗ).

2 Постановление от 21 марта 2012 г. №211 Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.

3 Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

Приложение А

(обязательное)

Правила обработки персональных данных в организации

Правила

обработки персональных данных в районной налоговой инспекции

Содержание:

1 Общие положения.

2 Меры по предотвращению нарушений законодательства в сфере персональных данных.

3 Цели обработки персональных данных в районной налоговой инспекции.

4 Содержание обрабатываемых персональных данных.

5 Категории субъектов, персональные данные которых обрабатываются.

6 Сроки обработки и хранения обрабатываемых персональных данных.

7 Порядок уничтожения персональных данных

1 Общие положения

1.1 Настоящими Правилами обработки персональных данных в районной налоговой инспекции определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; содержание обрабатываемых персональных данных для каждой цели обработки персональных данных; категории субъектов, персональные данные которых обрабатываются; сроки обработки и хранения; порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

1.2 Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 г. № 152 ФЗ «О персональных данных», Трудовым кодексом Российской Федерации, Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», Постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.

1.3 В настоящих Правилах используются следующие основные понятия:

персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе

персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1.4 Принципы обработки персональных данных:

- обработка персональных данных должна осуществляться на законной и справедливой основе;

- обработка персональных данных должна ограничиваться достижением конкретных, определенных настоящими Правилами целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

- обработке подлежат только персональные данные, которые отвечают целям их обработки;

- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

- при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Должностные лица районной налоговой инспекции должны принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

- хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством;

- обработка персональных данных осуществляется только после получения согласия субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона №152-ФЗ.

- лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящими правилами и подписывают обязательство о неразглашении информации.

Мероприятия по обезличиванию обрабатываемых персональных данных в районной налоговой инспекции не проводятся.

2 Меры по предотвращению нарушений законодательства в сфере персональных данных

2.1 Порядок обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации.

- при эксплуатации автоматизированных систем необходимо соблюдать следующие требования:

1) к работе допускаются только лица, назначенные соответствующим распоряжением;

2) на ПЭВМ, дисках, папках и файлах, на которых обрабатываются и хранятся сведения о персональных данных, должны быть установлены пароли, средства антивирусной защиты;

3) на период обработки защищаемой информации в помещении могут находиться лица, допущенные в установленном порядке к обрабатываемой информации;

4) Использовать только учтенные носители информации;

5) Запрещается установка стороннего ПО операторами АРМ, если данные действия не предусмотрены должностными обязанностями;

6) Запрещается самостоятельное вмешательство в конструкцию АРМ, если данные действия не предусмотрены должностными обязанностями;

7) Запрещается вносить изменения в настройки антивирусного ПО, если данные действия не предусмотрены должностными обязанностями

2.2 Порядок обработки персональных данных без использования средств автоматизации

- обработку персональных данных без использования средств автоматизации осуществлять в виде документов на бумажных носителях;

- использовать для обработки различных категорий персональных данных отдельные материальные носители;

- при неавтоматизированной обработке персональных данных на бумажных носителях:

1) не допускать фиксацию на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы;

2) обособлять персональные данные должны от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);

3) документы, содержащие персональные данные, формировать в дела в зависимости от цели обработки персональных данных;

4) в дела с документами, содержащими персональные данные, необходимо составить внутренние описи документов с указанием цели обработки и категории персональных данных;

- при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовые формы), должны соблюдаться следующие условия:

1) в типовой форме или связанными с ней документами (инструкция по ее заполнению, карточки, реестры и журналы) необходимо отразить сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

2) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, - при необходимости получения письменного согласия на обработку персональных данных;

3) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

4) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы;

- документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность;

- уничтожение части персональных данных, если это допускается материальным носителем, производить способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе;

- при несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

1) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществить копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

2) при необходимости уничтожения или блокирования части персональных данных уничтожить или блокировать материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию;

- уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производить путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными;

- к обработке персональных данных, осуществляемой без использования средств автоматизации, установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ и определить места хранения персональных данных;

- обеспечить раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

3 Обработка персональных данных в районной налоговой инспекции осуществляется для следующих целей:

- обработка персональных данных осуществляется в соответствии с трудовым законодательством;

- обработка персональных данных необходима для исполнения договора, по предоставлению услуг клиентам.

4 Содержание обрабатываемых персональных данных.

4.1 Содержание обрабатываемых персональных данных клиентов:

фамилия, имя, отчество;

телефонный номер (домашний, рабочий, мобильный);

пол;

дата рождения (число/месяц/год);

паспортные данные (серия/номер/дата/кем выдан);

адрес прописки;

адрес фактического проживания;

номера счетов и реквизиты.

4.2 Содержание обрабатываемых персональных данных сотрудников:

фамилия, имя, отчество;

место, год и дата рождения;

адрес прописки;

адрес фактического проживания;

телефонный номер (домашний, рабочий, мобильный);

паспортные данные (серия, номер паспорта, кем и когда выдан);

информация о трудовой деятельности до приема на работу;

информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);

информация о трудовом стаже;

семейное положение и состав семьи (муж/жена, дети);

сведения о воинском учете;

номера счетов и реквизиты;

инн.

5 Категории субъектов, персональные данные которых обрабатываются

5.1 К субъектам, персональные данные которых обрабатываются, относятся:

1) сотрудники районной налоговой инспекции;

2) клиенты районной налоговой инспекции.

6 Сроки обработки и хранения обрабатываемых персональных данных

6.1 Сроки обработки и хранения обрабатываемых персональных данных.

Сроки обработки и хранения персональных данных определяются:

1) обработка персональных данных клиентов прекращается по истечении сроков договора на оказание услуг, либо по его расторжению;

2) обработка персональных данных сотрудников районной налоговой инспекции прекращается в случае увольнения сотрудников с работы;

3) документы о работнике хранятся 75 лет в соответствии со ст. 22 ФЗ «Об архивном деле в РФ»;

4) подлинные личные документы (трудовые книжки, дипломы, удостоверения и т.п.) хранятся до востребования (не востребованные - не менее 50 лет).

6.2 Особенности хранения персональных данных

Хранение персональных данных сотрудников на физических носителях осуществлять в архиве в течении 75 лет в соответствии со ст. 22 ФЗ «Об архивном деле в РФ».

Хранение анкет клиентов осуществлять в течении 3 лет в соответствии с договором на оказание услуг.

Хранение персональных данных сотрудников в электронной БД осуществлять на сервере БД до окончания либо расторжения трудового договора.

Хранение персональных данных клиентов в электронной БД осуществлять на сервере БД до момента прекращения договора об оказании услуг.

7 Порядок уничтожения персональных данных

- уничтожение персональных данных, если иное не определено законом, должно производиться в течение трёх рабочих дней по достижении целей обработки персональных данных, а также в случае утраты необходимости достижения целей обработки, если иное не предусмотрено действующим законодательством;

- при получении от субъекта, его законного представителя или уполномоченного органа запроса на уничтожение (блокирование) неполных, устаревших, недостоверных, незаконно полученных или избыточных для заявленной цели обработки персональных данных ответственное лицо районной налоговой инспекции обязано удостовериться в правомерности требований и в течение трёх рабочих дней со времени поступления запроса уничтожить персональные данные субъекта, после чего письменно уведомить его об этом;

- уничтожение персональных данных должно производиться способом, исключающим возможность восстановления этих персональных данных на носителе. Способ уничтожения персональных данных в информационных системах персональных данных должен быть реализован с помощью штатных средств;

- уничтожение носителей персональных данных должно производиться комиссией, состав которой определяется ответственным лицом. Факт уничтожения носителя персональных данных подтверждается утверждением «Акта об уничтожении персональных данных».

Приложение Б

(обязательное)

Инструкция по обеспечению режима обеспечения безопасности помещений, в которых размещена выбранная ИСПДн, препятствующая возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения

Общие положения

Настоящая инструкция регламентирует положения по обеспечению режима обеспечения безопасности помещений, в которых размещена выбранная ИСПДн.

Обеспечение безопасности помещений, в которых размещена выбранная ИСПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным лиц, не имеющим права доступа в эти помещения, результатом которого могут стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иные несанкционированные действия.

Настоящая инструкция регламентирует правила доступа лиц в помещения, в которых размещена выбранная ИСПДн.

Правила доступа лиц в помещение, в котором размещена выбранная ИСПДн

Лицо должно обладать пропуском, обеспечивающим доступ в контролируемую зону районной налоговой инспекции.

Лицо должно быть внесено в список, в котором находится перечень сотрудников районной налоговой инспекции, которые имеют доступ в это помещение.

Лицо имеет доступ в помещение, в котором размещена выбранная ИСПДн, только в рабочее время, определенной начальником районной налоговой инспекции.

Требования к помещению, в котором содержатся выбранные ИСПДн

В помещении, в котором размещена выбранная ИСПДн, должен находится документ, в котором содержится список лиц, имеющих доступ в это помещение.

Лица, не имеющие доступа в помещение, в котором размещена выбранная ИСПДн, не имеют права находится в этом помещении.

Лицо, имеющее доступ в помещение, в котором размещена выбранная ИСПДн, должно иметь пропуск, обеспечивающий доступ в контролируемую зону районной налоговой инспекции.

Лица, имеющие доступ в помещение, в котором размещена выбранная ИСПДн, могут находиться в этом помещении только в рабочее время, утвержденное начальником районной налоговой инспекции.

Если в помещении, в котором содержаться выбранные ИСПДн, не находятся должностные лица, то ответственное лицо, за которым закреплено помещение, должно закрыть помещение и поставить его на сигнализацию.

При несанкционированном доступе к помещению, в котором хранится выбранная ИСПДн, должностное лицо, закрепленное за этим помещением, должно уведомить об этом начальника районной налоговой инспекции.

В помещении, в котором размещена выбранная ИСПДн, могут находиться лица, не имеющие доступа в это помещение, только с письменного разрешения начальника районной налоговой инспекции.

УТВЕРЖДАЮ:

Руководитель районной налоговой инспекции _________________________ Ф.И.О.

Приложение В

(обязательное)

Типовая форма согласия на обработку ПДн сотрудников организации,

иных субъектов ПДн

Типовая форма

СОГЛАСИЕ

на обработку персональных данных сотрудника районной налоговой инспекции

Я (далее - Субъект), ___________________________________________________________,

(фамилия, имя, отчество)

документ удостоверяющий личность___________________ № _______________________,

(вид документа)

выдан _______________________________________________________________________,

(кем и когда)

зарегистрированный (ая) по адресу: ______________________________________________,

в соответствии с частью 1 статьи 9 Федерального закона от 27 июля 2006 года № 152-

ФЗ «О персональных данных» даю свое согласие ___районной налоговой инспекции______,

зарегистрированной по адресу: Пенза , ул. Лермонтова, 28 , на обработку своих персональных данных, на следующих условиях:

Оператор осуществляет обработку персональных данных Субъекта исключительно в целях _____________________________________________________________________.

Перечень персональных данных, передаваемых Оператору на обработку:

Ф.И.О;

Место, год и дата рождения;

Адрес прописки;

Адрес фактического проживания;

Телефонный номер (домашний, рабочий, мобильный);

Паспортные данные (серия, номер паспорта, кем и когда выдан);

Информация о трудовой деятельности до приема на работу;

Информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);

Информация о трудовом стаже;

Семейное положение и состав семьи (муж/жена, дети);

Сведения о воинском учете;

Номера счетов и реквизиты;

ИНН.

Субъект дает согласие на обработку Оператором своих персональных данных, то есть совершение, в том числе, следующих действий: обработку (включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование, уничтожение персональных данных), при этом общее описание вышеуказанных способов обработки данных приведено в Федеральном законе от 27.07.2006 № 152-ФЗ, а также на передачу такой информации третьим лицам, в случаях, установленных нормативными документами вышестоящих органов и законодательством.

Настоящее согласие действует бессрочно.

Настоящее согласие может быть отозвано Субъектом в любой момент по соглашению сторон. В случае неправомерного использования предоставленных данных соглашение отзывается письменным заявлением субъекта персональных данных.

Субъект по письменному запросу имеет право на получение информации, касающейся обработки его персональных данных (в соответствии с п.4 ст.14 Федерального закона от 27.06.2006 № 152-ФЗ).

«____»______________ 20 г. __________________ _________________

Подпись ФИО

Подтверждаю, что ознакомлен (а) с положениями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», права и обязанности в области защиты персональных данных мне разъяснены.

«____»______________ 20 г. __________________ _________________

Подпись ФИО

Типовая форма

СОГЛАСИЕ

на обработку персональных данных

Я (далее - Субъект), ___________________________________________________________,

(фамилия, имя, отчество)

документ удостоверяющий личность___________________ № _______________________,

(вид документа)

выдан _______________________________________________________________________,

(кем и когда)

зарегистрированный (ая) по адресу: ______________________________________________,

в соответствии с частью 1 статьи 9 Федерального закона от 27 июля 2006 года № 152-

ФЗ «О персональных данных» даю свое согласие __ районной налоговой инспекции___________,

зарегистрированному по адресу: _____Пенза , ул. Лермонтова, 28____ ____, на обработку своих персональных данных, на следующих условиях:

Оператор осуществляет обработку персональных данных Субъекта исключительно в целях _____________________________________________________________________.

Перечень персональных данных, передаваемых Оператору на обработку:

Фамилия, имя, отчество;

Телефонный номер (домашний, рабочий, мобильный);

Пол;

Дата рождения (число/месяц/год);

Паспортные данные (серия/номер/дата/кем выдан);

Адрес прописки;

Адрес фактического проживания;

Номера счетов и реквизиты.

Субъект дает согласие на обработку Оператором своих персональных данных, то есть совершение, в том числе, следующих действий: обработку (включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование, уничтожение персональных данных), при этом общее описание вышеуказанных способов обработки данных приведено в Федеральном законе от 27.07.2006 № 152-ФЗ, а также на передачу такой информации третьим лицам, в случаях, установленных нормативными документами вышестоящих органов и законодательством.

Настоящее согласие действует бессрочно.

Настоящее согласие может быть отозвано Субъектом в любой момент по соглашению сторон. В случае неправомерного использования предоставленных данных соглашение отзывается письменным заявлением субъекта персональных данных.

Субъект по письменному запросу имеет право на получение информации, касающейся обработки его персональных данных (в соответствии с п.4 ст.14 Федерального закона от 27.06.2006 № 152-ФЗ).

«____»______________ 20 г. __________________ _________________

Подпись ФИО

Подтверждаю, что ознакомлен (а) с положениями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», права и обязанности в области защиты персональных данных мне разъяснены.

«____»______________ 20 г. __________________ _________________

Подпись ФИО

Размещено на Allbest.ru

...