Главная
страница 1
УТВЕРЖДАЮ

Директор МБОУ СОШ №1

___________Сорокина Н.В

Приказ от________№ ___-О



ПОЛИТИКА МБОУ СОШ № 1

в отношении обработки персональных данных

и реализации требований к их защите
1. Общие положения

1.1. Настоящая Политика разработана в соответствии с Федеральным законом «О персональных данных» от 27 июля 2006 года №152-ФЗ, Указом Президента Российской Федерации от 6 марта 1997 года №188 «Об утверждении перечня сведений конфиденциального характера», Постановлением Правительства Российской Федерации от 17 ноября 2007 года №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства Российской Федерации от 6 июля 2008 года №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», Постановлением Правительства Российской Федерации от 15 сентября 2008 года №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и устанавливает единый порядок обработки персональных данных работников и обучающихся образовательного учреждения и гарантии их конфиденциальности, Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 года №55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных», Письмом Рособразования от 3 сентября 2008 года №17-02-09/185 «О предоставлении уведомлений об обработке персональных данных», Письмом Рособразования от 27 июля 2009 года №17-110 «Об обеспечении защиты персональных данных».

1.2. Настоящая Политика определяет цели обработки персональных данных , принципы их обработки и перечень органов , выполняющих обработку персональных данных, а также содержит сведения о передаче персональных данных взаимодействующим организациям и о реализуемых требованиях к защите персональных данных.
1.3. Основные понятия, используемые в Политике:


  • персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

  • обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

  • информационная система персональных данных (далее - ИСПДн) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

1.4. Политика определяет следующие основные вопросы защиты информации:

  • основные принципы и требования по защите информации, составляющей ПДн,

  • порядок организации и проведения работ по защите информации,

  • порядок обеспечения защиты информации при эксплуатации ИСПДн,

  • порядок организации делопроизводства, хранения и обращения накопителей и носителей информации.

1.5. В соответствии с принципами обработки персональных данных определены цели обработки персональных данных:

  • для организации учебного процесса;

  • для оказания государственных услуг;

  • для исполнения условий трудового договора и осуществления прав и обязанностей в соответствии с трудовым законодательством;

  • для принятия решения о трудоустройстве.

1.6. МБОУ СОШ №1 обрабатывает персональные данные, которые может получить от следующих субъектов персональных данных:

  • родителей (законных представителей) учащихся;

  • сотрудников школы.

1.7. Срок хранения персональных данных субъекта персональных данных определяется в соответствии с действующим законодательством и иными нормативными правовыми документами.
2. Принципы обеспечения защиты информации, составляющей персональные данные

Защита информации, составляющей ПДн должна осуществляться в соответствии со следующими основными принципами:

2.1. Законность — предполагает обеспечение защиты ПДн в соответствии с действующим в РФ законодательством и нормативными актами в области защиты ПДн. Пользователи и обслуживающий персонал ИСПДн должны быть осведомлены о правилах и порядке работы с защищаемой информацией и об ответственности за их нарушение.

2.2. Системность — предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности ПДн ИСПДн.

2.3. Комплексность — предполагает согласованное применение разнородных средств и систем при построении комплексной системы защиты информации, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Для каждого канала утечки информации и для каждой угрозы безопасности должно существовать несколько защитных рубежей. Создание защитных рубежей осуществляется с учетом того, чтобы для их преодоления потенциальному злоумышленнику требовались профессиональные навыки в нескольких невзаимосвязанных областях.

2.4. Непрерывность — предполагает функционирование СЗПДн в виде непрерывного целенаправленного процесса, предполагающего принятие соответствующих мер на всех этапах жизненного цикла ИСПДн. ИСПДн должны находиться в защищенном состоянии на протяжении всего времени их функционирования. В соответствии с этим принципом должны приниматься меры не допускающие переход ИСПДн в незащищенное состояние.

2.5. Своевременность — предполагает упреждающий характер мер обеспечения безопасности ПДн, то есть постановку задач по комплексной защите ИСПДн и реализацию мер обеспечения безопасности ПДн на ранних стадиях разработки ИСПДн в целом и ее системы защиты информации, в частности.

2.6. Совершенствование — предполагает постоянное совершенствование мер и средств защиты информации на основе комплексного применения организационных и технических решений, квалификации персонала, анализа функционирования ИСПДн и ее системы защиты с учетом изменений условий функционирования ИСПДн, появления новых методов и средств перехвата информации, изменений требований нормативных документов по защите ПДн.

2.7. Персональная ответственность — предполагает возложение ответственности за обеспечение безопасности ПДн и ИСПДн на каждого исполнителя в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей исполнителей строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.

2.8. Минимальная достаточность — предполагает предоставление исполнителям минимально необходимых прав доступа к ресурсам ИСПДн в соответствии с производственной необходимостью, на основе принципа «запрещено все, что не разрешено явным образом».

2.9. Гибкость системы защиты — предполагает наличие возможности варьирования уровнем защищенности при изменении условий функционирования ИСПДн.

2.10. Обязательность контроля — предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности ПДн на основе используемых систем и средств защиты информации. Контроль за деятельностью каждого пользователя, каждого средства защиты и в отношении каждого объекта защиты должен осуществляться на основе применения средств контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.


3. Основные условия обработки персональных данных

3.1. Обработка персональных данных осуществляется для обеспечения соблюдения законов и иных нормативных правовых актов в целях воспитания и обучения обучающегося, осуществления трудовых отношений сотрудников, обеспечения личной безопасности, контроля качества образования, пользования льготами, предусмотренными законодательством Российской Федерации.

3.2. Обработка персональных данных осуществляется:


  • после получения согласия субъекта персональных данных, составленного по форме, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона;

  • после принятия необходимых мер по защите персональных данных.

3.3. Приказом директора школы назначается сотрудник, ответственный за защиту персональных данных работников и обучающихся МБОУ СОШ №1, и определяется перечень лиц, допущенных к обработке персональных данных.

3.4. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящей Политикой и подписывают обязательство о неразглашении информации, содержащей персональные данные.

3.5. Запрещается:


  • обрабатывать персональные данные в присутствии лиц, не допущенных к их обработке;

  • осуществлять ввод персональных данных под диктовку.

3.6. При передаче персональных данных лица, передающие персональные данные обязаны:

  • предупредить лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены;

  • потребовать от этих лиц письменное подтверждение соблюдения этого условия.

3.7. Иные права, обязанности, действия работников, в трудовые обязанности которых входит обработка персональных данных, определяются трудовыми договорами и должностными инструкциями.
4. Условия обработки персональных данных обучающихся и сотрудников

4.1. Право доступа к персональным данным обучающихся МБОУ СОШ №1 имеют:



  • работники управления образования (при наличии соответствующих полномочий, установленных приказом управления образования);

  • директор школы;

  • секретарь учебной части;

  • делопроизводитель;

  • инспектор кадров;

  • бухгалтер ЦБЭО администрации города, закреплённый за школой;

  • заместители директора по УР, ВР;

  • классные руководители (только к персональным данным обучающихся своего класса);

  • социальный педагог, педагог-психолог;

4.2. Директор школы может передавать персональные данные обучающегося и сотрудника третьим лицам, только если это необходимо в целях предупреждения угрозы жизни и здоровья, а также в случаях, установленных федеральными законами.

4.3. Инспектор кадров:



  • принимает или оформляет вновь личное дело сотрудника и вносит в него необходимые данные;

4.4. Делопроизводитель:

  • принимает или оформляет вновь личное дело обучающегося и вносит в него необходимые данные;

  • предоставляет свободный доступ родителям (законным представителям) к персональным данным обучающегося на основании письменного заявления. Не имеет права получать информацию об обучающемся родитель (законный представитель), лишенный или ограниченный в родительских правах на основании вступившего в законную силу постановления суда.

4.5. Бухгалтер имеет право доступа к персональным данным обучающегося в случае, когда исполнение им своих трудовых обязанностей или трудовых обязанностей работников бухгалтерии по отношению к обучающемуся (предоставление льгот, установленных законодательством) зависит от знания персональных данных обучающегося.
5. Порядок определения защищаемой информации

5.1. МБОУ СОШ №1 создает в пределах своих полномочий, установленных в соответствии с федеральными законами, ИСПДн в целях обеспечения реализации прав объектов персональных данных.

5.2. В МБОУ СОШ №1 на основании «Перечня сведений конфиденциального характера», утвержденного Указом Президента РФ от 06.031997 г. № 188, определяется и утверждается перечень сведений ограниченного доступа, не относящихся к государственной тайне (далее - конфиденциальной информации) и перечень информационных систем персональных данных.

5.3. На стадии проектирования каждой ИСПДн определяются цели и содержание обработки персональных данных, утверждается перечень обрабатываемых персональных данных.


6. Порядок обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации

6.1. Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства РФ от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.

6.2. Оператором осуществляется классификация информационных систем персональных данных в соответствии с Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 г. № 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" в зависимости от категории обрабатываемых данных и их количества.

6.3. Мероприятия по обеспечению безопасности персональных данных на стадиях проектирования и ввода в эксплуатацию объектов информатизации проводятся в соответствии с приказом ФСТЭК России от 05.02.2010 г. №58


«О методах и способах защиты информации в информационных системах персональных данных».

6.4. Не допускается обработка персональных данных в ИСПДн с использованием средств автоматизации при отсутствии:



  • утвержденных организационно-технических документов о порядке эксплуатации информационных систем персональных данных, включающих акт классификации ИСПДн, инструкции пользователя, администратора по организации антивирусной защиты, и других нормативных и методических документов;

  • настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, резервного копирования информации и других программных и технических средств в соответствии с требованиями безопасности информации;

  • охраны и организации режима допуска в помещения, предназначенные для обработки персональных данных.


7. Порядок обработки персональных данных без использования средств автоматизации

7.1. Обработка персональных данных без использования средств автоматизации (далее – неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации.

7.2. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.

7.3. При неавтоматизированной обработке персональных данных на бумажных носителях:



  • не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы;

  • персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);

  • документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;

  • дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.

7.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных
(далее - типовые формы), должны соблюдаться следующие условия:

  • типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

  • типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, - при необходимости получения письменного согласия на обработку персональных данных;

  • типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

  • типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

7.5. Неавтоматизированная обработка персональных данных в электронном виде осуществляется на внешних электронных носителях информации.

7.6. При отсутствии технологической возможности осуществления неавтоматизированной обработки персональных данных в электронном виде на внешних носителях информации необходимо принимать организационные (охрана помещений) и технические меры (установка сертифицированных средств защиты информации), исключающие возможность несанкционированного доступа к персональным данным лиц, не допущенных к их обработке.

7.7. Электронные носители информации, содержащие персональные данные, учитываются в журнале учета электронных носителей персональных данных.

К каждому электронному носителю оформляется опись файлов, содержащихся на нем, с указанием цели обработки и категории персональных данных.

7.8. При несовместимости целей неавтоматизированной обработки персональных данных, зафиксированных на одном электронном носителе, если электронный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:


  • при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

  • при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

7.9. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.

7.10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).


8. Особенности обработки персональных данных и их передачи третьим лицам

8.1. МБОУ СОШ №1 вправе передать персональные данные третьим лицам в следующих случаях:



  • субъект персональных данных выразил свое согласие на такие действия в любой позволяющей подтвердить факт его получения форме;

  • передача предусмотрена федеральным законодательством в рамках установленной процедуры.

8.2. Субъект персональных данных обладает правами, предусмотренными Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

9. Меры, применяемые для защиты персональных данных

9.1. МБОУ СОШ №1 принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных субъектов персональных данных. К таким мерам, в частности, относятся:



  • назначение сотрудника, ответственного за организацию обработки персональных данных;

  • осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных»;

  • ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями действующего законодательства о персональных данных, требованиями к защите персональных данных и иными документами по вопросам обработки персональных данных;

  • определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

  • применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

  • осуществление оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;

  • осуществление учета машинных носителей персональных данных;

  • установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;

  • осуществление контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;

  • разработка локальных документов по вопросам обработки персональных данных.



10. Ответственность должностных лиц

10.1. Работники, допущенные к персональным данным, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.


Смотрите также:
Законом «О персональных данных»
146.53kb.
1 стр.
Политика безопасности персональных данных, обрабатываемых в информационных системах персональных данных в
227.68kb.
1 стр.
Правила обработки персональных данных в Государственной инспекции труда в Курской области
1908.95kb.
11 стр.
1. Термины и определения (документы фстэк россии) Безопасность персональных данных
153.09kb.
1 стр.
Инновационная компания «ростехразвитие» Руководителю кредитного потребительского кооператива о выполнении новых
54.96kb.
1 стр.
Закон о персональных данных №152-фз
77.24kb.
1 стр.
Инструкция операторам по обработке персональных данных на пэвм
211.62kb.
1 стр.
Типовая инструкция по работе ответственного за обеспечение безопасности персональных данных в подразделениях аппарата Администрации Приморского края, органах исполнительной власти Приморского края
38.24kb.
1 стр.
Закона от 27 июля 2006 года №152 «О персональных данных»
25.77kb.
1 стр.
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных
150.02kb.
1 стр.
Баз персональных данных о пассажирах, а также
272.56kb.
1 стр.
Инструкция ответственного за организацию резервирования и восстановления программнного обеспечения и баз персональных данных
44.9kb.
1 стр.