Приказ Главного управления природных ресурсов и экологии Алтайского края от 25.03.2015 N 248 "О мерах по защите персональных данных в Главном управлении природных ресурсов и экологии Алтайского края"



ГЛАВНОЕ УПРАВЛЕНИЕ ПРИРОДНЫХ РЕСУРСОВ
И ЭКОЛОГИИ АЛТАЙСКОГО КРАЯ

ПРИКАЗ

от 25 марта 2015 г. № 248

О МЕРАХ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ГЛАВНОМ УПРАВЛЕНИИ
ПРИРОДНЫХ РЕСУРСОВ И ЭКОЛОГИИ АЛТАЙСКОГО КРАЯ
Список изменяющих документов
(в ред. Приказов Главного управления природных ресурсов
и экологии Алтайского края
от 19.05.2015 № 463, от 02.06.2015 № 523)

В соответствии с Федеральными законами от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27.07.2006 № 152-ФЗ "О персональных данных", постановлением Правительства РФ от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" приказываю:
1. Назначить лицом, ответственным за организацию защиты информации конфиденциального характера и обработку персональных данных в Главном управлении природных ресурсов и экологии Алтайского края, заместителя начальника Главного управления, начальника финансово-экономического управления Чекалину Е.Д.
2. Утвердить прилагаемые:
- Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Главного управления природных ресурсов и экологии Алтайского края;
- Инструкцию по работе пользователей в информационных системах персональных данных Главного управления природных ресурсов и экологии Алтайского края;
- Инструкцию администратора безопасности информационных систем персональных данных Главного управления природных ресурсов и экологии Алтайского;
- Инструкцию по организации резервного копирования информации в Главном управлении природных ресурсов и экологии Алтайского края;
- Инструкцию по организации учета, использования и уничтожения машинных носителей информации, предназначенных для обработки и хранения персональных данных в Главном управлении природных ресурсов и экологии Алтайского края;
- Инструкцию по организации парольной защиты в информационных системах персональных данных Главного управления природных ресурсов и экологии Алтайского края;
- Инструкцию по проведению антивирусного контроля в информационных системах персональных данных Главного управления природных ресурсов и экологии Алтайского края;
- Инструкцию по организации технического обслуживания и ремонта технических средств в информационных системах персональных данных Главного управления природных ресурсов и экологии Алтайского края;
- Инструкцию по обращению с носителями ключевой информации в информационных системах персональных данных Главного управления природных ресурсов и экологии Алтайского края;
- Правила обработки персональных данных в Главном управлении природных ресурсов и экологии Алтайского края;
- Правила рассмотрения запросов субъектов персональных данных в Главном управлении природных ресурсов и экологии Алтайского края;
- Правила осуществления в Главном управлении природных ресурсов и экологии Алтайского края внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
- Перечень информационных систем персональных данных, функционирующих в Главном управлении природных ресурсов экологии Алтайского края;
- Перечень персональных данных, обрабатываемых в Главном управлении природных ресурсов и экологии Алтайского края, в связи с реализацией служебных (трудовых) отношений;
- Перечень должностей гражданских служащих Главного управления природных ресурсов и экологии Алтайского края, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
- Порядок доступа гражданских служащих и иных работников Главного управления природных ресурсов и экологии Алтайского края в помещения, в которых ведется обработка персональных данных;
- типовое обязательство работника Главного управления природных ресурсов и экологии Алтайского края, непосредственно осуществляющего обработку персональных данных, о неразглашении персональных данных;
- типовую форму согласия на обработку персональных данных гражданских служащих Главного управления природных ресурсов и экологии Алтайского края;
- типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные.
3. Признать утратившим силу приказ управления природных ресурсов и охраны окружающей среды Алтайского края от 30.08.2013 № 98 "О мерах по защите персональных данных в управлении природных ресурсов и охраны окружающей среды Алтайского края".
4. Контроль за исполнением настоящего приказа оставляю за собой.

Начальник Главного управления
В.Н.ПОПРЯДУХИН





Утверждено
Приказом
Главного управления
природных ресурсов и экологии
Алтайского края
от 25 марта 2015 г. № 248

ПОЛОЖЕНИЕ
ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ
ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ
ДАННЫХ ГЛАВНОГО УПРАВЛЕНИЯ ПРИРОДНЫХ РЕСУРСОВ
И ЭКОЛОГИИ АЛТАЙСКОГО КРАЯ
Список изменяющих документов
(в ред. Приказов Главного управления природных ресурсов
и экологии Алтайского края
от 19.05.2015 № 463, от 02.06.2015 № 523)

I. Общие положения

1. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Главного управления природных ресурсов и экологии Алтайского края (далее - Положение) разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", Федеральным законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", постановлением Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и другими нормативными правовыми актами и нормативными методическими документами Российской Федерации, регулирующими отношения, связанные с обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных.
2. Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Главного управления природных ресурсов и экологии Алтайского края (далее - оператор персональных данных).
3. Безопасность персональных данных при их обработке в информационных системах персональных данных обеспечивается применением организационных мер и технических средств защиты информации (в том числе средств предотвращения несанкционированного доступа). Организационные меры и технические средства защиты информации должны удовлетворять требованиям, установленным нормативными правовыми актами и нормативными методическими документами Российской Федерации, регулирующими отношения, связанные с обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных.
4. Требования настоящего Положения являются обязательными для исполнения всеми лицами, получившими доступ к персональным данным.
5. Решение о необходимости изменения этого Положения принимается на основании:
- результатов проведенных аудитов, мероприятий по контролю и надзору за обеспечением безопасности персональных данных, осуществляемых уполномоченными органами;
- изменения нормативных правовых актов и (или) нормативных методических документов Российской Федерации в области защиты персональных данных;
- изменения процессов обработки персональных данных в информационных системах (далее - ИС) персональных данных Главного управления природных ресурсов и экологии Алтайского края (далее - Главное управление);
- результатов анализа инцидентов информационной безопасности в ИС персональных данных.
Изменения Положения должны быть направлены на предотвращение инцидентов или устранение последствий уже реализованных инцидентов информационной безопасности.
Все предлагаемые изменения Положения подлежат предварительной оценке до их ввода в действие, на соответствие нормативным правовым актам и нормативным методическим документам Российской Федерации, регулирующим отношения, связанные с обеспечением безопасности персональных данных при их обработке в ИС персональных данных.

II. Обработка персональных данных

1. Оператор персональных данных осуществляет обработку персональных данных лиц, замещающих должности государственной гражданской службы Алтайского края, и должности, не относящиеся к должностям государственной гражданской службы Алтайского края.
2. Обработка персональных данных осуществляется оператором персональных данных в целях реализации возложенных на него функций, определяемых законами и иными нормативными правовыми актами Российской Федерации, регулирующими отношения, связанные с обеспечением безопасности персональных данных при их обработке в ИС персональных данных.
3. Объем и характер обрабатываемых персональных данных должен соответствовать целям их обработки. Обрабатываемые персональные данные должны соответствовать заявленным целям обработки. Недопустимо объединение созданных для несовместимых между собой целей баз данных ИС персональных данных.
4. Обработка персональных данных осуществляется оператором без проведения мероприятий по обезличиванию персональных данных.
5. Персональные данные оператор персональных данных получает непосредственно от субъектов персональных данных, которые принимают решение об их предоставлении и дают согласие на их обработку своей волей и в своем интересе.
6. Лица, доступ которых к персональным данным, обрабатываемым в ИС, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списков сотрудников, допущенным к соответствующим персональным данным.
7. Принятые в Главном управлении организационно-распорядительные документы доводятся до сведения лиц, участвующих в обработке персональных данных, в части их касающейся.
8. Персональные данные, используемые для обработки в ИС, порядок использования, цель, периодичность и основания внесения изменений и дополнений, а также порядок хранения персональных данных устанавливаются оператором персональных данных.
9. Оператор персональных данных не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.
10. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, должно осуществляться не дольше, чем этого требуют цели обработки персональных данных. Персональные данные подлежат уничтожению по достижении всех целей их обработки или в случае утраты необходимости в достижении этих целей. Оператор персональных данных по согласованию с субъектом персональных данных может изменить сроки хранения его персональных данных в связи с обязанностями, возлагаемыми на оператора персональных данных законодательством Российской Федерации.

III. Обязанности и права оператора персональных данных в ИС

11. Оператор персональных данных обязан предоставлять безвозмездно субъекту персональных данных или его представителю возможность ознакомления с его персональными данными, а также вносить в них необходимые изменения, уничтожать или блокировать соответствующие персональные данные в случае предоставления субъектом персональных данных сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор в ИС персональных данных, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и принятых мерах оператор персональных данных уведомляет субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.
12. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
(п. 12 в ред. Приказа Главного управления природных ресурсов и экологии Алтайского края от 19.05.2015 № 463)
13. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
(п. 13 в ред. Приказа Главного управления природных ресурсов и экологии Алтайского края от 19.05.2015 № 463)
14. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
(п. 14 в ред. Приказа Главного управления природных ресурсов и экологии Алтайского края от 19.05.2015 № 463)
15. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" или другими федеральными законами.
(п. 15 в ред. Приказа Главного управления природных ресурсов и экологии Алтайского края от 19.05.2015 № 463)
16. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором; стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" или другими федеральными законами.
(п. 16 в ред. Приказа Главного управления природных ресурсов и экологии Алтайского края от 19.05.2015 № 463)
16.1. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 14 - 16 настоящего Положения, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
(п. 16.1 введен Приказом Главного управления природных ресурсов и экологии Алтайского края от 19.05.2015 № 463)
17. Оператор персональных данных при передаче персональных данных субъектов третьим лицам ограничивает передаваемую информацию только теми персональными данными субъектов, которые необходимы третьим лицам для выполнения своих функций. Передача персональных данных по телефону, факсимильной связи, электронной почте и сети Интернет (без использования средств защиты информации, удовлетворяющих требованиям, установленным нормативными правовыми актами и нормативными методическими документами Российской Федерации, регулирующими отношения, связанные с обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных) запрещается.

IV. Методы и способы защиты персональных данных
в информационных системах персональных данных

18. С целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных, оператором должны быть установлены уровни защищенности персональных данных ИС.
19. В целях обеспечения безопасности персональных данных определяются угрозы безопасности, оценивается актуальность угроз безопасности персональных данных. В результате разрабатывается модель угроз безопасности персональных данных.
Модель угроз безопасности персональных данных корректируется при изменении состава основных технических средств и условий эксплуатации ИС персональных данных отделом документационного обеспечения и организационной работы Главного управления, а также отделом информационно-коммуникационных систем Администрации края.
20. Установка, изменение (обновление) и удаление программного обеспечения в ИС персональных данных производится администратором безопасности ИС персональных данных или в его присутствии.
21. Доступ лиц к ИС персональных данных, не допущенных к работе с персональными данными, должен быть исключен. ИС персональных данных должны быть защищены аппаратными и (или) программными средствами защиты информации от несанкционированного доступа в соответствии с нормативными правовыми актами и нормативными методическими документами Российской Федерации, регулирующими отношения, связанные с обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных.
22. Обработка персональных данных в ИС осуществляется с использованием средств защиты информации в соответствии с установленными требованиями нормативных правовых актов Российской Федерации, регулирующих отношения, связанные с обеспечением безопасности информации.
23. Охрана помещений, в которых ведется работа с персональными данными, и организация режима безопасности в этих помещениях должна обеспечивать сохранность технических средств и носителей персональных данных, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
Все носители персональных данных должны быть учтены с помощью их маркировки, а их учетные данные занесены в журнал учета с отметкой об их выдаче (приеме).
24. В целях обеспечения безопасности персональных данных должны быть разработаны организационно-распорядительные и организационно-методические документы по обеспечению безопасности персональных данных, обрабатываемых в ИС:
- инструкция по работе пользователей в ИС персональных данных Главного управления;
- инструкция администратора безопасности ИС персональных данных Главного управления;
- инструкция по организации резервного копирования информации в Главном управлении;
- инструкция по организации учета, использования и уничтожения машинных носителей информации, предназначенных для обработки и хранения персональных данных в Главном управлении;
- инструкция по организации парольной защиты в ИС персональных данных Главного управления;
- инструкция по проведению антивирусного контроля в ИС персональных данных Главного управления;
- инструкция по организации технического обслуживания и ремонта технических средств в ИС персональных данных Главного управления;
- инструкция по обращению с носителями ключевой информации в ИС персональных данных Главного управления;
- перечень ИС персональных данных, функционирующих в Главном управлении;
- перечень персональных данных, обрабатываемых в Главном управлении, в связи с реализацией служебных (трудовых) отношений;
- Правила обработки персональных данных в Главном управлении;
- Правила рассмотрения запросов субъектов персональных данных в Главном управлении;
- Правила осуществления в Главном управлении внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
- Перечень должностей гражданских служащих Главного управления, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
- Порядок доступа гражданских служащих и иных работников Главного управления в помещения, в которых ведется обработка персональных данных;
- типовое обязательство работника Главного управления, непосредственно осуществляющего обработку персональных данных, о неразглашении персональных данных;
- типовую форму согласия на обработку персональных данных гражданских служащих Главного управления;
- типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные.
25. Лица, уполномоченные осуществлять обработку персональных данных, несут ответственность за соблюдение требований по защите персональных данных в порядке, предусмотренном действующим законодательством Российской Федерации.

V. Обязанности и права должностных лиц

26. Начальник Главного управления:
- организует разработку, внедрение, совершенствование и эксплуатацию системы защиты ИС персональных данных, а также организует внутренний контроль за соблюдением нормативных правовых актов Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
- осуществляет финансовое, материально-техническое и иное обеспечение мероприятий по защите персональных данных при их обработке в ИС персональных данных Главного управления по вопросам государственной службы и кадров;
- назначает ответственного за организацию обработки персональных данных;
- назначает администратора безопасности ИС персональных данных.
27. Ответственный за организацию обработки персональных данных:
- организует обработку персональных данных в соответствии с требованиями к защите персональных данных, установленными федеральными законами, иными нормативными правовыми актами, рекомендациями уполномоченного органа государственной власти, указаниями Администрации Алтайского края, локальными актами Главного управления;
- осуществляет внутренний контроль за соблюдением оператором персональных данных и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
- доводит до сведения работников оператора персональных данных положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
- организует и осуществляет прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов;
- несет ответственность за организацию обеспечения безопасности персональных данных при их обработке в ИС Главного управления;
- организует расследование причин и условий появления нарушений безопасности ИС персональных данных, разработку предложений по устранению недостатков и предупреждению подобного рода нарушений.
28. Администратор безопасности ИС персональных данных:
- обеспечивает обнаружение фактов несанкционированного доступа к ИС персональных данных;
- осуществляет установку и ввод в эксплуатацию средств защиты информации ИС персональных данных в соответствии с эксплуатационной и технической документацией;
- обеспечивает работы по проведению антивирусного контроля в ИС персональных данных;
- выполняет резервное копирование персональных данных;
- осуществляет установку (обновление версий) программного обеспечения ИС персональных данных, обеспечивает его функционирование;
- осуществляет установку, подключение и настройку технических средств ИС персональных данных в соответствии с технической документацией;
- осуществляет установку (развертывание) новых ИС персональных данных или подключение дополнительных устройств (узлов, блоков), необходимых для решения конкретных задач;
- организует регистрацию и учет защищаемых носителей информации.
29. Отдел документационного обеспечения и организационной работы, в части его полномочий:
- организует выполнение мероприятий по защите персональных данных при их обработке в ИС персональных данных;
- разрабатывает проекты распорядительных документов по защите персональных данных при их обработке в ИС персональных данных в Главном управлении;
- разрабатывает предложения по дальнейшему совершенствованию системы защиты персональных данных при их обработке в ИС персональных данных;
- осуществляет планирование мероприятий по защите персональных данных при их обработке в ИС персональных данных, их выполнение и контроль их эффективности;
- подготавливает предложения о привлечении к проведению работ по защите персональных данных при их обработке в ИС персональных данных на договорной основе организаций, имеющих лицензию на соответствующий вид деятельности;
- обеспечивает обслуживание и ремонт сетевого оборудования, рабочих станций, серверного и периферийного оборудования в ИС персональных данных.

VI. Контроль состояния защиты персональных данных

30. Контроль и надзор за выполнением требований по обеспечению безопасности персональных данных при их обработке в ИС персональных данных, установленных Правительством Российской Федерации, осуществляется федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, а также уполномоченным органом по защите прав субъектов персональных данных в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в ИС персональных данных.
31. Повседневный контроль выполнения организационных мероприятий, направленных на обеспечение защиты персональных данных при их обработке в ИС персональных данных, осуществляется ответственным за организацию обработки персональных данных.

VII. Заключительные положения

32. Утратил силу. - Приказ Главного управления природных ресурсов и экологии Алтайского края от 02.06.2015 № 523.





Утверждена
Приказом
Главного управления
природных ресурсов и экологии
Алтайского края
от 25 марта 2015 г. № 248

ИНСТРУКЦИЯ
ПО РАБОТЕ ПОЛЬЗОВАТЕЛЕЙ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
ПЕРСОНАЛЬНЫХ ДАННЫХ ГЛАВНОГО УПРАВЛЕНИЯ ПРИРОДНЫХ
РЕСУРСОВ И ЭКОЛОГИИ АЛТАЙСКОГО КРАЯ

I. Общие положения

1. Данная инструкция определяет общие принципы работы пользователей в информационной системе персональных данных (далее - ИСПДн). Пользователями ИСПДн являются сотрудники, допущенные к персональным данным. Пользователи ИСПДн несут персональную ответственность за свои действия.
2. Допуск пользователей для работы в ИСПДн осуществляется в соответствии со списком лиц, имеющих доступ к персональным данным.
3. Устные указания о доступе кого бы то ни было к ИСПДн не имеют юридической силы и не обязательны для исполнения.
4. Доступ пользователей в ИСПДн организует администратор безопасности ИСПДн.

II. Порядок работы пользователей в ИСПДн

5. Пользователь имеет право в отведенное ему время решать поставленные задачи в соответствии с полномочиями доступа к ИСПДн, присвоенными администратором безопасности ИСПДн. При этом для хранения файлов, содержащих персональные данные, разрешается использовать только специально выделенные каталоги, а также соответствующим образом учтенные машинные носители информации.
6. Пользователь отвечает за правильность включения и выключения персональной электронно-вычислительной машины (далее - ПЭВМ), входа в систему и действия при работе в ИСПДн.
7. Вход пользователя в систему осуществляется на основе ввода (по запросу системы) имени, присвоенного при регистрации администратором безопасности ИСПДн, и личного пароля. Требования к сложности пароля и периодичности его замены установлены в "Инструкции по организации парольной защиты в информационной системе персональных данных".
8. В случае отказа системы в идентификации пользователя либо не подтверждения личного пароля следует немедленно обратиться к администратору безопасности ИСПДн.
9. Резервное копирование, уничтожение и восстановление защищаемой информации осуществляются пользователем в рамках выделенных полномочий либо администратором безопасности ИСПДн.
10. Перед началом работы с носителями информации пользователь обязан проверить их на наличие вирусов с использованием антивирусного обеспечения, установленного в ИСПДн, в соответствии с Инструкцией по проведению антивирусного контроля. В случае обнаружения вирусов на носителе информации пользователь обязан немедленно сообщить администратору безопасности ИСПДн.

III. В процессе работы пользователю запрещается:

- использовать для хранения и обработки защищаемой информации носители, не учтенные соответствующим образом;
- осуществлять попытки несанкционированного доступа к ресурсам системы и других пользователей;
- пытаться подменять функции администратора безопасности ИСПДн по перераспределению времени работы и полномочий доступа к ресурсам ПЭВМ;
- оставлять ПЭВМ с незавершенным сеансом. При отсутствии визуального контроля за рабочей станцией: доступ к компьютеру должен быть немедленно заблокирован. Для этого необходимо нажать одновременно комбинацию клавиш и выбрать опцию <Блокировка>;
- допускать посторонних лиц к ПЭВМ;
- сообщать (или передавать) посторонним лицам атрибуты доступа к ресурсам ИСПДн;
- самостоятельно устанавливать, тиражировать или модифицировать программное обеспечение и аппаратное обеспечение, изменять установленный алгоритм функционирования технических средств или программного обеспечения;
- открывать общий доступ к папкам на своей рабочей станции, содержащим персональные данные;
- работать на ПЭВМ при обнаружении неисправности;
- самостоятельно вносить изменения в конструкцию, конфигурацию, размещение ПЭВМ и другие узлы ИСПДн.


VI. Ответственность:

- ответственность за допуск пользователя к ресурсам и установленные ему полномочия несет руководитель структурного подразделения.
- пользователи ИСПДн, виновные в нарушении законодательства Российской Федерации о защите персональных данных и охраняемых по закону сведений, несут уголовную, административную, гражданско-правовую или дисциплинарную ответственность в соответствии с действующим законодательством и внутренними организационно-распорядительными документами.
- по всем возникающим вопросам при работе в ИСПДн необходимо обращаться в отдел документационного обеспечения и организационной работы Главного управления природных ресурсов и экологии Алтайского края.





Утверждена
Приказом
Главного управления
природных ресурсов и экологии
Алтайского края
от 25 марта 2015 г. № 248

ИНСТРУКЦИЯ
АДМИНИСТРАТОРА БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ
ПЕРСОНАЛЬНЫХ ДАННЫХ ГЛАВНОГО УПРАВЛЕНИЯ ПРИРОДНЫХ
РЕСУРСОВ И ЭКОЛОГИИ АЛТАЙСКОГО КРАЯ

I. Общие положения

1. Данная инструкция определяет основные требования, условия работы, функциональные обязанности, права и ответственность администратора безопасности информационных систем персональных данных (далее - ИСПДн).
2. Администратор безопасности ИСПДн в решении организационных вопросов и в вопросах обеспечения безопасности непосредственно подчиняется начальнику отдела документационного обеспечения и организационной работы Главного управления природных ресурсов и экологии Алтайского края (далее - Главное управление).
3. На время отсутствия администратора безопасности ИСПДн (отпуск, болезнь, пр.) его обязанности выполняет лицо, назначенное в установленном порядке. Данное лицо приобретает соответствующие права и несет ответственность за надлежащее исполнение возложенных на него обязанностей.

II. Основные задачи администратора безопасности ИСПДн

- разработка и реализация организационно-административных и технических мероприятий, обеспечивающих информационную безопасность ИСПДн, своевременное выявление и устранение возможных причин нарушения информационной безопасности ИСПДн;
- проведение единой политики по обеспечению информационной безопасности ИСПДн в соответствии с методическими рекомендациями и организационно-распорядительными документами Главного управления;
- обеспечение функционирования антивирусной защиты ИСПДн;
- обеспечение бесперебойного функционирования ИСПДн в соответствии с методическими рекомендациями и организационно-распорядительными документами Главного управления в данном направлении деятельности.

III. Основные документы и материалы, которыми
руководствуется администратор безопасности ИСПДн

Конституция Российской Федерации, федеральные конституционные законы, федеральные законы, в том числе, Закон Российской Федерации от 27.07.2006 № 152-ФЗ "О персональных данных".





Утверждена
Приказом
Главного управления
природных ресурсов и экологии
Алтайского края
от 25 марта 2015 г. № 248

ИНСТРУКЦИЯ
ПО ОРГАНИЗАЦИИ РЕЗЕРВНОГО КОПИРОВАНИЯ ИНФОРМАЦИИ
В ГЛАВНОМ УПРАВЛЕНИИ ПРИРОДНЫХ РЕСУРСОВ И ЭКОЛОГИИ
АЛТАЙСКОГО КРАЯ

I. Общие положения

1. Данная инструкция определяет порядок организации резервного копирования информации, обрабатываемой в информационных системах Главного управления природных ресурсов и экологии Алтайского края (далее - ИС), меры и средства поддержания непрерывности работы и восстановления работоспособности ИС.
2. Инструкция описывает:
- мероприятия по защите ИС от потери информации;
- действия по восстановлению информации ИС.
3. Действие настоящей инструкции распространяется на администратора безопасности ИС и пользователей ИС.
4. Ответственность за обеспечение мероприятий по предотвращению инцидентов, приводящих к потере информации, расположенной в аппаратно-программном комплексе серверной группы Главного управления природных ресурсов и экологии Алтайского края, возлагается на ответственного специалиста отдела документационного обеспечения и организационной работы (далее - Отдел).

II. Порядок реагирования на инциденты

5. Под инцидентом понимается некоторое происшествие, связанное со сбоем в функционировании элементов ИС, предоставляемых пользователям ИС, а также потерей информации.
6. Происшествие, вызывающее инцидент, может произойти:
- в результате действий пользователей ИС или третьих лиц;
- в результате нарушения правил эксплуатации технических средств ИС;
- в результате возникновения внештатных ситуаций и обстоятельств непреодолимой силы.
7. В кратчайшие сроки ответственным специалистом Отдела принимаются меры по восстановлению работоспособности ИС.

III. Меры по обеспечению непрерывности работы
и восстановления ресурсов при возникновении инцидентов

8. Для предотвращения потерь информации при отключении электроэнергии, все ключевые элементы ИС, сетевое и коммуникационное оборудование, а также персональные электронно-вычислительные машины (далее - ПЭВМ) подключаются к сети электропитания через источники бесперебойного питания. В зависимости от необходимого времени работы ресурсов после потери питания могут применяться следующие методы резервного электропитания:
- локальные источники бесперебойного электропитания с различным временем питания для защиты отдельных ПЭВМ;
- источники бесперебойного питания с дополнительной функцией защиты от скачков напряжения;
- дублированные системы электропитания в устройствах (сетевое оборудование, ПЭВМ и т.д.).
9. Для защиты от неисправностей носителей информации на ПЭВМ, осуществляющих обработку и хранение информации, рекомендуется использовать резервирование информации при помощи технологии RAID (кроме RAID-0).
10. Система резервного копирования и хранения информации обеспечивает хранение защищаемой информации на носителе, не участвующем в обработке информации.
11. Резервное копирование и хранение информации осуществляется на периодической основе.
12. Носители информации, на которые произведено резервное копирование, учитываются соответствующим образом.
13. Для обеспечения возможности восстановления информации, носители хранятся не менее года.





Утверждена
Приказом
Главного управления
природных ресурсов и экологии
Алтайского края
от 25 марта 2015 г. № 248

ИНСТРУКЦИЯ
ПО ОРГАНИЗАЦИИ УЧЕТА, ИСПОЛЬЗОВАНИЯ И УНИЧТОЖЕНИЯ
МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ, ПРЕДНАЗНАЧЕННЫХ ДЛЯ
ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ В ГЛАВНОМ
УПРАВЛЕНИИ ПРИРОДНЫХ РЕСУРСОВ И ЭКОЛОГИИ АЛТАЙСКОГО КРАЯ

I. Общие положения

1. Настоящая Инструкция устанавливает требования к организации учета и использования машинных носителей информации, предназначенных для обработки и хранения персональных данных в информационных системах персональных данных (далее - ИСПДн).
2. Учет машинных носителей информации, предназначенных для обработки и хранения персональных данных, осуществляет ответственный за организацию обработки персональных данных.
3. Все машинные носители информации, предназначенные для обработки и хранения персональных данных (далее - МНИ), регистрируются по журналу учета и выдачи машинных носителей информации, содержащих персональные данные (далее - Журнал), ответственным за организацию обработки персональных данных.
4. Ответственность за сохранность полученных МНИ несет пользователь ИСПДн.

II. Учет машинных носителей информации, предназначенных
для обработки и хранения персональных данных

5. К МНИ относятся:
- съемные носители информации;
- несъемные носители информации.
6. При обработке персональных данных на ПЭВМ соблюдается следующий порядок учета, хранения МНИ:
- каждому МНИ присваивается учетный номер по Журналу.
Учетный номер наносится на МНИ ответственным за организацию обработки персональных данных. Если невозможно маркировать непосредственно МНИ, то маркируется упаковка, в которой он хранится.
Учетный номер состоит из двух частей AAAXXX, где AAA - буквенное сокращение из 3 символов (определяются ответственным за организацию обработки персональных данных). XXX - трехзначный порядковый номер по Журналу.
- МНИ выдаются пользователям ИСПДн с отметкой в Журнале.
- хранение съемных МНИ должно осуществляться в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
- МНИ, после удаления информации, содержащей персональные данные, с учета не снимаются. В дальнейшем эти МНИ могут использоваться для обработки и хранения персональных данных. Если МНИ не пригодны для дальнейшего использования, они подлежат списанию и уничтожению.
- о фактах утраты МНИ докладывается ответственному за организацию обработки персональных данных, с внесением записи в Журнал.
- передача МНИ осуществляется ответственным за организацию обработки персональных данных по Журналу.
- в случае неисправности МНИ, пользователь сдает его ответственному за организацию обработки персональных данных с внесением в Журнал записи о неисправности МНИ.
- МНИ, утратившие практическое значение или пришедшие в негодность, уничтожаются.

III. Порядок уничтожения МНИ

Уничтожение МНИ осуществляется ответственным за организацию обработки персональных данных путем их физического разрушения, с оформлением акта уничтожения. Перед уничтожением МНИ информация с них должна быть удалена (уничтожена, стерта и т.д.), если это возможно выполнить.





Утверждена
Приказом
Главного управления
природных ресурсов и экологии
Алтайского края
от 25 марта 2015 г. № 248

ИНСТРУКЦИЯ
ПО ОРГАНИЗАЦИИ ПАРОЛЬНОЙ ЗАЩИТЫ В ИНФОРМАЦИОННЫХ
СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ ГЛАВНОГО УПРАВЛЕНИЯ
ПРИРОДНЫХ РЕСУРСОВ И ЭКОЛОГИИ АЛТАЙСКОГО КРАЯ

I. Общие положения

1. Данная инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в информационных системах персональных данных (далее - ИСПДн), а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.
2. Идентификация и аутентификация пользователей в ИСПДн осуществляется посредством использования персональных учетных записей пользователей и периодически сменяемых буквенно-цифровых паролей, содержащих не менее шести символов.
3. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ИСПДн, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями возлагается на администратора безопасности ИСПДн.
4. Временный пароль, создаваемый при заведении учетной записи или смене забытого пароля, должен быть уникальным, передаваться способом, исключающим доступ к нему других лиц, и быть сменен пользователем при первом обращении к ИСПДн. Пароли, предустановленные производителем, должны сменяться до начала эксплуатации.

II. Порядок генерации, смены и прекращения
действия и резервирования паролей

5. По решению руководителя структурного подразделения, согласованному с администратором безопасности ИСПДн, может применяться резервирование некоторых паролей, таких, как пароли администраторов безопасности ИСПДн, пароли ответственных должностных лиц, пароли отдельных пользователей, выполняющих важные функции.
6. Для резервирования пароля выполняются следующие действия:
- пароль записывается на лист бумаги и заверяется личной подписью;
- лист с записью пароля вкладывается владельцем в конверт. Конверт не должен допускать просмотр записи пароля на просвет. Если конверт недостаточно плотный, в него может быть вложен лист темной бумаги. Конверт заклеивается, при необходимости (для особо важных паролей) - опечатывается;
- на конверте владелец пароля указывает свою должность, фамилию и инициалы, наименование информационного средства, которое защищается этим паролем, текущие дату и время, при необходимости другие данные, и заверяет запись личной подписью;
- конверт передается на хранение руководителю структурного подразделения или лицу, им для этого назначенному, и учитывается в специальном разделе Журнала учета паролей. Учетный номер (сквозной по Журналу) проставляется ответственным за хранение на конверте;
- конверты с паролями хранятся в сейфе. Ответственный за хранение не реже чем один раз в месяц проверяет их наличие;
- при замене пароля конверт передается владельцу пароля, который уничтожает лист с резервным паролем. Новый резервный пароль подготавливает к хранению так, как указано выше;
- вскрытие конверта с паролем производится по решению руководителя структурного подразделения в случае необходимости использования прав доступа его владельца в отсутствие самого владельца. Для вскрытия конверта назначается комиссия не менее чем из трех сотрудников подразделения. О вскрытии конверта комиссией составляется акт, утверждаемый руководителем подразделения, который по окончании работы комиссии хранится в деле подразделения;
- при появлении владельца пароля после факта вскрытия конверта пароль заменяется на новый и вновь сохраняется его копия, как описано выше.
7. В целях предотвращения несанкционированного доступа посторонних лиц к ресурсам пользователя осуществляется периодическая (не реже раза в три месяца) замена пароля пользователя. Замена личного пароля осуществляется пользователем самостоятельно или администратором безопасности ИСПДн.
8. Удаление учетной записи пользователя ИСПДн в случае прекращения его полномочий (увольнение, переход на другую работу и т.п.) производится администратором безопасности ИСПДн немедленно после окончания последнего сеанса работы данного пользователя с системой.
9. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу и другие обстоятельства) администратора безопасности ИСПДн и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой ИСПДн.
10. В случае компрометации личного пароля пользователя ИСПДн проводится внеплановая смена пароля в зависимости от полномочий владельца скомпрометированного пароля.
11. Повседневный контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на ответственного по обеспечению безопасности персональных данных, периодический контроль - возлагается на администратора безопасности ИСПДн.

III. Запрещается:

- сообщать свой персональный пароль другим лицам или записывать его на материальных носителях, доступных для других лиц (кроме предусмотренных случаев сохранения паролей ключевых учетных записей);
- сохранять пароль в программно-технических средствах в открытом виде или использовать средства его автоматического ввода;
- использовать учетные записи других лиц.





Утверждена
Приказом
Главного управления
природных ресурсов и экологии
Алтайского края
от 25 марта 2015 г. № 248

ИНСТРУКЦИЯ
ПО ПРОВЕДЕНИЮ АНТИВИРУСНОГО КОНТРОЛЯ В ИНФОРМАЦИОННЫХ
СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ ГЛАВНОГО УПРАВЛЕНИЯ
ПРИРОДНЫХ РЕСУРСОВ И ЭКОЛОГИИ АЛТАЙСКОГО КРАЯ

I. Общие положения

1. Данная инструкция предназначена для пользователей информационных систем персональных данных (далее - ИСПДн).
2. В целях обеспечения антивирусной защиты в ИСПДн производится антивирусный контроль.
3. Ответственность за поддержание установленного в настоящей Инструкции порядка проведения антивирусного контроля возлагается на администратора безопасности ИСПДн.
4. К применению в ИСПДн допускается лицензионное антивирусное программное обеспечение.

II. Порядок проведения антивирусного контроля в ИСПДн

5. Антивирусный контроль должен осуществляться на ПЭВМ в постоянном режиме.
6. Пользователи ИСПДн при работе с носителями информации обязаны перед началом работы осуществить их проверку на предмет отсутствия вирусов.
7. Администратор безопасности ИСПДн осуществляет периодическое обновление антивирусных баз и контроль их работоспособности.
8. Администратор безопасности ИСПДн проводит периодическое тестирование установленного программного обеспечения на предмет отсутствия компьютерных вирусов.
9. При обнаружении компьютерного вируса пользователь обязан незамедлительно поставить в известность администратора безопасности ИСПДн и прекратить какие-либо действия в ИСПДн.
10. Администратор безопасности ИСПДн проводит в случае необходимости лечение зараженных файлов с помощью антивирусной программы и после этого вновь проводит антивирусный контроль.
11. В случае обнаружения на носителе информации нового вируса, не поддающегося лечению, администратор безопасности ИСПДн обязан запретить использование носителя информации.
12. В случае обнаружения в ИСПДн не поддающегося лечению вируса, администратор безопасности ИСПДн обязан поставить в известность начальника отдела документационного обеспечения и организационной работы, запретить работу в ИСПДн и в возможно короткие сроки принять меры по восстановлению работоспособности ИСПДн.





Утверждена
Приказом
Главного управления
природных ресурсов и экологии
Алтайского края
от 25 марта 2015 г. № 248

ИНСТРУКЦИЯ
ПО ОРГАНИЗАЦИИ ТЕХНИЧЕСКОГО ОБСЛУЖИВАНИЯ И РЕМОНТА
ТЕХНИЧЕСКИХ СРЕДСТВ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ
ДАННЫХ ГЛАВНОГО УПРАВЛЕНИЯ ПРИРОДНЫХ РЕСУРСОВ
И ЭКОЛОГИИ АЛТАЙСКОГО КРАЯ

I. Общие положения

Данная инструкция определяет общие принципы организации технического обслуживания и ремонта технических средств в информационных системах персональных данных (далее - ИСПДн).
Инструкция регламентирует процесс технического обслуживания и ремонта оборудования, сопровождения программного обеспечения, устранения неисправностей программного обеспечения и технических средств ИСПДн.

II. Обслуживание и ремонт технических средств ИСПДн

Обслуживание технических средств ИСПДн предназначено для обеспечения работы ИСПДн, предотвращения ее неисправностей.
При проведении технического обслуживания (далее - ТО) и ремонта необходимо руководствоваться следующими принципами:
- технические средства ИСПДн необходимо обслуживать в соответствии с технической документацией производителя;
- ТО и ремонт должны проводиться только ответственными сотрудниками отдела документационного обеспечения и организационной работы (далее - Отдел), а также сторонними специалистами (при гарантийном обслуживании);
- на период выполнения ТО и ремонта технических средств ИСПДн должны выполняться меры по защите персональных данных. В случае выполнения работ сторонней организацией за пределами контролируемой зоны защищаемая информация должна быть удалена с технического средства;
- должны соблюдаться требования поставщика технических средств для выполнения гарантийных обязательств.
Ответственность за своевременное проведение ТО и ремонта возлагается на Отдел.

III. Сопровождение программного обеспечения

При сопровождении программного обеспечения (далее - ПО) необходимо руководствоваться следующими принципами:
- работы по сопровождению ПО должен проводить администратор безопасности ИСПДн или сторонние специалисты в присутствии администратора безопасности ИСПДн;
- выполнять требования лицензионного соглашения на использование ПО в соответствии с законодательством Российской Федерации;
- руководствоваться технической документацией производителя при сопровождении ПО;
- при использовании сертифицированного по требованиям безопасности информации ПО, его настройку осуществлять и поддерживать в соответствии с технической документацией;
- принимать меры по исключению несанкционированного доступа к защищаемой информации, при сопровождении ПО сторонними организациями;
- исключить возможность изменения пользователем состава ПО.

IV. Устранение неисправностей технических
средств и программного обеспечения

Отдел обеспечивает анализ и устранение неисправностей технических средств и ПО, в кратчайшие сроки предпринимает необходимые действия по их предупреждению.
После выявления неисправности ответственным сотрудником Отдела или сторонними специалистами (при гарантийном обслуживании) должны выполняться необходимые работы по восстановлению работоспособности технических средств и ПО.





Утверждена
Приказом
Главного управления
природных ресурсов и экологии
Алтайского края
от 25 марта 2015 г. № 248

ИНСТРУКЦИЯ
ПО ОБРАЩЕНИЮ С НОСИТЕЛЯМИ КЛЮЧЕВОЙ ИНФОРМАЦИИ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
ГЛАВНОГО УПРАВЛЕНИЯ ПРИРОДНЫХ РЕСУРСОВ И ЭКОЛОГИИ
АЛТАЙСКОГО КРАЯ

I. Термины и определения

Электронная подпись (далее - ЭП) - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
Сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданный удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающий принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.
Владелец сертификата ключа проверки электронной подписи - лицо, которому в установленном Федеральным законом № 63-ФЗ "Об электронной подписи" порядке выдан сертификат ключа проверки электронной подписи.
Ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи.
Средства электронной подписи - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций - создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи.
Носитель ключевой информации (далее - ключевой носитель) - машинный носитель информации, содержащий ключ электронной подписи.

II. Общие положения

2.1. Настоящая инструкция предназначена для пользователей информационных систем персональных данных (далее - ИСПДн), использующих средства ЭП.
2.2. Инструкция содержит основные правила обращения с ключами ЭП, выполнение которых необходимо для обеспечения защиты информации при обмене электронными документами.
2.3. Работу с ключами ЭП контролирует администратор безопасности ИСПДн. Администратор безопасности ИСПДн проводит инструктаж с пользователями по правилам изготовления, хранения, обращения и эксплуатации ключей.
2.4. Владелец сертификата ключа проверки ЭП вырабатывает самостоятельно или в сопровождении администратора безопасности ИСПДн личный ключ ЭП, а также запрос на получение сертификата ключа проверки электронной подписи (в электронном виде и на бумажном носителе).
2.5. Владелец ключа ЭП несет персональную ответственность за безопасность ключей ЭП и обязан обеспечивать их сохранность, неразглашение и нераспространение, несет персональную ответственность за нарушение требований настоящей инструкции.
2.6. Запрещается оставлять без контроля ПЭВМ с незаблокированным сеансом, на котором применяется ЭП.

III. Порядок работы со средствами ЭП

2.7. Учет носителей ключевой информации осуществляет администратор безопасности ИСПДн.

8. Ключи ЭП изготавливаются в 2-х экземплярах: эталонная и рабочая копии. В работе используется рабочая копия ключевого носителя.
9. При выходе из строя носителя с ключевой информацией пользователь уведомляет об этом администратора безопасности ИСПДн. Администратор безопасности ИСПДн в присутствии пользователя изготовляет копию ключевого носителя с эталонной копии.
10. Не позднее, чем за 10 рабочих дней до окончания срока действия ключа ЭП, его владелец обязан выполнить все мероприятия по формированию новых ключей.
11. Ключевые носители хранятся в шкафах (сейфах, ящиках, хранилищах) в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
12. Хранение ключевых носителей допускается в одном хранилище с другими документами и ключевыми носителями, при этом отдельно от них и в упаковке, исключающей возможность неправомерного доступа к ним.
13. Ключевые носители должны находиться в пределах контролируемой зоны, за исключением случаев, связанных со служебной необходимостью.
14. Не допускается:
- осуществлять несанкционированное администратором безопасности ИСПДн копирование ключевых носителей;
- передавать носители ключевой информации и (или) их содержимое лицам, не допущенным к ним;
- записывать на ключевые носители другую информацию.

IV. Действия при компрометации ключей ЭП

15. Компрометация ключа ЭП - утрата доверия к тому, что используемые ключи обеспечивают безопасность информации.
16. К событиям, связанным с компрометацией ключей ЭП, относятся, включая, но не ограничивая, следующие:
- потеря ключевых носителей;
- нарушение правил хранения и уничтожения;
- возникновение подозрений на утечку информации или ее искажение;
- случаи, когда нельзя установить, что произошло с ключевыми носителями.
17. При компрометации ключа ЭП пользователь прекращает обмен электронными документами с другими пользователями и извещает администратора безопасности ИСПДн о факте компрометации.
18. По факту компрометации ключей должно быть проведено служебное расследование.

V. Уничтожение ключей ЭП

19. Ключи ЭП должны быть выведены из действия и уничтожены в следующих случаях:
- плановая смена ключей ЭП;
- изменение данных о владельце ЭП;
- компрометация ключей;
- выход из строя ключевых носителей;
- прекращение полномочий владельца ЭП.
20. Уничтожение ключей ЭП может производиться путем уничтожения ключевого носителя, на котором они расположены, или путем удаления ключей без повреждения ключевого носителя.
21. Ключи ЭП должны быть уничтожены не позднее 10 суток после вывода их из действия (окончания срока действия).





Утверждены
Приказом
Главного управления
природных ресурсов и экологии
Алтайского края
от 25 марта 2015 г. № 248

ПРАВИЛА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ГЛАВНОМ УПРАВЛЕНИИ
ПРИРОДНЫХ РЕСУРСОВ И ЭКОЛОГИИ АЛТАЙСКОГО КРАЯ

I. Общие положения

1. Правила обработки персональных данных в Главном управлении природных ресурсов и экологии Алтайского края (далее - Правила) разработаны с целью обеспечения защиты персональных данных граждан от несанкционированного доступа, неправомерного их использования или утраты при их обработке в Главном управлении природных ресурсов и экологии Алтайского края (далее - Главное управление).
2. Настоящие Правила определяют:
- процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;
- цели обработки персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- сроки обработки персональных данных и их хранения;
- порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.
3. В настоящих Правилах используются следующие основные понятия:
работники Главного управления - государственные гражданские служащие Главного управления и иные физические лица, состоящие с Главным управлением в трудовых отношениях;
персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
4. Обработка персональных данных осуществляется в соответствии с требованиями следующих нормативных правовых актов:
- Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных";
- Федерального закона от 27.07.2004 № 79-ФЗ "О государственной гражданской службе Российской Федерации";
- Указа Президента Российской Федерации от 30.05.2005 № 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";
- Постановления Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
- Постановления Правительства от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";
- Закона Алтайского края от 28.10.2005 № 78-ЗС "О государственной гражданской службе Алтайского края";
- Постановления Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
- Указа Губернатора Алтайского края от 16.01.2015 № 1 "Об утверждении положения о предоставлении гражданином, претендующим на замещение должности государственной гражданской службы Алтайского края сведений о доходах, об имуществе и обязательствах имущественного характера"
- иных нормативных правовых актов, регулирующих общественные отношения в области предоставления, обработки и защиты персональных данных.
5. Главное управление в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" является оператором, организующим и (или) осуществляющим обработку персональных данных работников Главного управления, а также определяющим цели и содержание обработки персональных данных.
6. Вопросы получения, обработки, хранения, передачи и любого другого использования персональных данных работников управления, не урегулированные настоящим Порядком, регулируются в соответствии с нормативными правовыми актами Российской Федерации и Алтайского края.

II. Выявление и предотвращение нарушений законодательства
Российской Федерации в сфере персональных данных

7. Выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных осуществляется в Главном управлении посредством:
- применения правовых, организационных и технических мер по обеспечению безопасности персональных данных и выполнения требований к защите информации, установленных нормативными правовыми актами, инструкциями уполномоченного органа государственной власти, локальными правовыми актами Главного управления;
- назначения лица, ответственного за организацию обработки персональных данных;
- осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами;
- определения оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации и настоящих Правил;
- ознакомления работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами Главного управлениям по вопросам обработки персональных данных и (или) организации обучения указанных работников;
- оформления согласия на обработку персональных данных гражданских служащих Главного управления и разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
- оформления обязательства работника Главного управления, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей.
8. Персональные данные, которые обрабатываются в информационных системах, подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
Реализацию требований по обеспечению технической защиты информационных систем, в которых обрабатываются персональные данные, осуществляет управление правового, кадрового и документационного обеспечения Главного управления.
Финансово-экономическое управление Главного управления обеспечивает надлежащее финансирование мероприятий по обеспечению технической защиты информационных систем, в которых обрабатываются персональные данные, за счет выделяемых Главному управлению средств.
9. При обработке персональных данных в информационных системах в соответствии с постановлением Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" должно быть обеспечено:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

III. Цели обработки персональных данных
и содержание обрабатываемых персональных данных

10. Обработка персональных данных в Главном управлении осуществляется в следующих целях:
- реализации служебных или трудовых отношений;
- оказания относящихся к компетенции Главного управления государственных услуг;
- осуществления федерального государственного лесного надзора, федерального государственного пожарного надзора в лесах, федерального государственного охотничьего надзора, регионального государственного экологического надзора;
- рассмотрения обращений граждан, органов государственной власти, органов местного самоуправления, иных юридических лиц;
- исполнения поручений Администрации края;
- организации работы Общественного совета при Главном управлении.
11. Работниками, уполномоченными на обработку персональных данных в Главном управлении, являются:
- при обработке персональных данных в целях реализации служебных или трудовых отношений - гражданские служащие отдела государственной службы и кадров, а также гражданские служащие (иные работники) отдела бухгалтерского учета и отчетности Главного управления;
- при обработке персональных данных в целях оказания государственных услуг - государственные служащие и иные работники отделов Главного управления, осуществляющие предоставление соответствующих государственных услуг;
- при обработке персональных данных в целях осуществления государственного надзора - гражданские служащие Главного управления, уполномоченные на осуществление федерального государственного надзора в соответствии с постановлением Администрации Алтайского края от 10.04.2014 № 175 "Об утверждении перечня должностных лиц Главного управления природных ресурсов и экологии Алтайского края, уполномоченных на осуществление федерального государственного надзора" и приказом Главного управления природных ресурсов и экологии Алтайского края от 10.04.2014 № 178 "Об утверждении перечней должностных лиц Главного управления природных ресурсов и экологии Алтайского края, уполномоченных на осуществление федерального государственного надзора", регионального государственного экологического надзора в соответствии с законом Алтайского края от 11.11.2003 № 52-ЗС "Об органе исполнительной власти Алтайского края и должностных лицах, осуществляющих региональный государственный экологический контроль", а также гражданские служащие юридического отдела, в должностные обязанности которых входит правовое обеспечение деятельности Главного управления;
- при обработке персональных данных в связи с рассмотрением обращений граждан, органов государственной власти, органов местного самоуправления, иных юридических лиц и исполнением поручений Администрации края - работники Главного управления и их непосредственные руководители, на рассмотрении (исполнении) которых находится соответствующее обращение (поручение), а также гражданские служащие (иные работники) отдела документационного обеспечения и организационной работы, в должностные обязанности которых входит организация работы с обращениями (поручениями).
Обработка персональных данных осуществляется работниками, уполномоченными на обработку персональных данных, в объеме, необходимом для исполнения ими своих должностных обязанностей.
12. Доступ к персональным данным имеют:
- работники управления, уполномоченные на обработку персональных данных, начальник Главного управления;
- заместители начальника Главного управления, начальники управлений - к персональным данным работников курируемых ими управлений, лиц, принимаемых на работу в эти управления либо состоящих в кадровом резерве на замещение вакантных должностей в этих управлениях, а также лиц, персональные данные которых стали известны в связи с оказанием государственных услуг и осуществлением государственных функций;
- начальники и заместители начальников отделов - к персональным данным работников возглавляемых ими отделов, лиц, принимаемых на работу в эти отделы либо состоящих в кадровом резерве на замещение вакантных должностей в этих отделах, а также лиц, персональные данные которых стали известны в связи с оказанием соответствующим отделом государственных услуг и осуществлением государственных функций;
- члены аттестационных, конкурсных, квалификационных комиссий Главного управления, комиссии по соблюдению требований к служебному поведению государственных гражданских служащих Главного управления и урегулированию конфликта интересов - к персональным данным гражданских служащих, в отношении которых рассматриваются вопросы, относящиеся к компетенции соответствующей комиссии.
Указанные в настоящем пункте гражданские служащие и иные лица имеют право на доступ только к тем персональным данным, которые необходимы им для рассмотрения вопросов, относящихся к их компетенции.
13. Содержание обрабатываемых персональных данных включает в себя:
- анкетные и биографические данные гражданина, в том числе данные о месте жительства и регистрации;
- паспортные данные или данные иного документа, удостоверяющего личность и гражданство;
- сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки;
- сведения о трудовой деятельности, повышении квалификации и переподготовке;
- сведения о составе семьи, бывших супругах, наличии иждивенцев, о месте работы или учебы указанных лиц;
- сведения о состоянии здоровья и наличии заболеваний (в случаях, установленных законом);
- сведения об отношении к воинской обязанности;
- сведения о доходах и обязательствах имущественного характера, в том числе членов семьи;
- сведения об идентификационном номере налогоплательщика;
- сведения о социальных льготах и социальном статусе;
- сведения о номере и серии страхового свидетельства государственного пенсионного страхования;
- сведения о привлечении к административной ответственности при осуществлении федерального государственного надзора, регионального государственного экологического надзора;
- иные сведения, необходимые для обработки оператором персональных данных.
Перечни персональных данных, включающие содержание обрабатываемых персональных данных для каждой цели их обработки, утверждаются приказом начальника Главного управления.
Сведения о доходах, об имуществе и обязательствах имущественного характера гражданских служащих, замещающих высшие и главные должности гражданской службы, должности гражданской службы, указанные в приказе Главного управления от 13.03.2014 № 97 "Об утверждении перечня должностей гражданской службы, установленных в Главном управлении природных ресурсов и экологии Алтайского края, при назначении на которые граждане и при замещении которых государственные гражданские служащие обязаны представить сведения о доходах, расходах, об имуществе и обязательствах имущественного характера своих супруги (супруга) и несовершеннолетних детей" размещаются в 14-дневный срок со дня истечения срока, установленного для их представления, на официальном сайте Главного управления и предоставляются для опубликования средствам массовой информации по их запросам в порядке, определяемом нормативными правовыми актами Российской Федерации.
14. Указанные в пунктах 11, 12 настоящих Правил гражданские служащие и иные лица несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты персональных данных работников Главного управления.

IV. Субъекты, персональные данные которых обрабатываются

15. Категории субъектов, персональные данные которых обрабатываются:
1) гражданские служащие Главного управления, иные работники Главного управления;
2) лица, претендующие на замещение должностей гражданской службы в Главном управлении и должностей, не отнесенных к должностям гражданской службы (в том числе лица, состоящие в кадровом резерве на замещение вакантной должности государственной гражданской службы в Главном управлении, и лица, принимаемые на работу в Главное управление);
3) лица, обратившиеся в Главное управление в связи с предоставлением государственных услуг, относящихся к компетенции Главного управления;
4) лица, персональные данные которых обрабатываются в связи с осуществлением федерального государственного лесного надзора, федерального государственного пожарного надзора в лесах, федерального государственного охотничьего надзора, регионального государственного экологического надзора;
5) иные обратившиеся в Главное управление лица;
6) лица, доступ к персональным данным которых получен в связи с исполнением поручений Администрации Алтайского края, рассмотрением обращений граждан, органов государственной власти, органов местного самоуправления, иных юридических лиц;
7) персональные данные членов Общественного совета при Главном управлении.

V. Обработка и хранение персональных данных

16. Персональные данные обрабатываются с использованием и без использования средств автоматизации.
Обработка персональных данных осуществляется в соответствии с постановлениями Правительства РФ от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
17. Обработка персональных данных осуществляется после получения согласия субъекта персональных данных на обработку его персональных данных в соответствии с типовой формой согласия, утвержденной приказом начальника Главного управления. В случае, если предоставление персональных данных является обязательным, субъекту персональных данных разъясняются юридические последствия отказа предоставить его персональные данные согласно типовой форме, утвержденной приказом начальника Главного управления.
18. Сроки обработки и хранения персональных данных гражданских служащих, иных работников Главного управления определяются нормами законодательства Российской Федерации в области государственной гражданской службы, трудового законодательства, законодательства об архивном деле.
Сроки обработки и хранения персональных данных иных лиц определяются исходя из целей обработки персональных данных, если иной срок не установлен федеральным законом или договором, стороной которого является Главное управление.
19. Изменения в персональные данные вносятся в течение 7 рабочих дней со дня предоставления соответствующих сведений субъектом персональных данных (его представителем) в соответствии с Правилами рассмотрения запросов субъектов персональных данных, утвержденных приказом начальника Главного управления.

VI. Уничтожение персональных данных

20. Решение о необходимости уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований принимает лицо, непосредственно осуществляющее обработку персональных данных, по согласованию с непосредственным руководителем соответствующего структурного подразделения.
21. При получении от субъекта персональных данных (его представителя) сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Главное управление уничтожает такие персональные данные в течение 7 рабочих дней со дня получения запроса субъекта персональных данных в соответствии с Правилами рассмотрения запросов субъектов персональных данных, утвержденными приказом начальника Главного управления.
22. Уничтожение персональных данных производится путем физического уничтожения носителя персональных данных или путем удаления персональных данных без физического повреждения носителя персональных данных.
При необходимости уничтожения части персональных данных, содержащихся на бумажном носителе, с указанного носителя предварительно копируются сведения, не подлежащие уничтожению, затем уничтожается сам носитель.
23. Факт уничтожения персональных данных оформляется соответствующим актом.
24. Структурные подразделения Главного управления ведут учет уничтоженных персональных данных в специальном журнале, относящемся к конфиденциальным документам, с указанием следующих сведений:
- категория персональных данных,
- субъект персональных данных,
- цели обработки персональных данных,
- дата и номер акта об уничтожении,
- сведения о лице, принявшем решение об уничтожении персональных данных (фамилия, имя, отчество, должность, наименование структурного подразделения).
Внесенная в журнал запись подтверждается подписью лица, принявшего решение об уничтожении персональных данных.
25. Иные требования к уничтожению персональных данных при достижении целей обработки или при наступлении иных законных оснований определяются нормами законодательства Российской Федерации в области государственной гражданской службы, трудового законодательства, законодательства об архивном деле.





Утверждены
Приказом
Главного управления
природных ресурсов и экологии
Алтайского края
от 25 марта 2015 г. № 248

ПРАВИЛА
РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ
ДАННЫХ В ГЛАВНОМ УПРАВЛЕНИИ ПРИРОДНЫХ РЕСУРСОВ
И ЭКОЛОГИИ АЛТАЙСКОГО КРАЯ
Список изменяющих документов
(в ред. Приказа Главного управления природных ресурсов
и экологии Алтайского края от 19.05.2015 № 463)

1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", за исключением случаев ограничения указанного права федеральными законами в соответствии с частью 8 статьи 14 Федерального закона "О персональных данных".
2. Сведения должны быть предоставлены Главным управлением природных ресурсов и экологии Алтайского края (далее - Главное управление) субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
3. Сведения предоставляются Главным управлением субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.
Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Главным управлением, либо сведения, иным образом подтверждающие факт обработки персональных данных Главным управлением;
- подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
4. Поступивший в Главное управление запрос субъекта персональных данных или его представителя подлежит регистрации в качестве входящего документа.
5. В случае, если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Главное управление или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
6. Субъект персональных данных вправе обратиться повторно или направить повторный запрос в Главное управление в целях получения сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 5 настоящих Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 3 настоящих Правил, должен содержать обоснование направления повторного запроса.
(п. 6 в ред. Приказа Главного управления природных ресурсов и экологии Алтайского края от 19.05.2015 № 463)
7. Главное управление вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 5 и 6 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Главном управлении.
8. Запросы субъекта персональных данных или его представителя рассматриваются в 30-дневный срок со дня их регистрации с особенностями, установленными пунктами 8, 9 настоящих Правил.
Результат рассмотрения запроса (запрошенные сведения, отказ, информация о внесенных изменениях, уничтожении данных, иная информация) предоставляется субъекту персональных данных или его представителю непосредственно (с росписью в получении) либо направляются на указанный в запросе электронный или почтовый адрес.
9. Субъект персональных данных вправе требовать от Главного управления уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
10. В течение 7 рабочих дней со дня получения от субъекта персональных данных или его представителя сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Главное управление вносит в них необходимые изменения.
11. В течение 7 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Главное управление уничтожает такие персональные данные.
12. О внесенных изменениях в персональные данные или об уничтожении персональных данных Главное управление информирует субъекта персональных данных (его представителя).





Утверждены
Приказом
Главного управления
природных ресурсов и экологии
Алтайского края
от 25 марта 2015 г. № 248

ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ В ГЛАВНОМ УПРАВЛЕНИИ ПРИРОДНЫХ
РЕСУРСОВ И ЭКОЛОГИИ АЛТАЙСКОГО КРАЯ ВНУТРЕННЕГО КОНТРОЛЯ
СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ
К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. В целях обеспечения соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Главного управления природных ресурсов и экологии Алтайского края (далее - Главное управление), осуществляется внутренний контроль.
2. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - внутренний контроль) в Главном управлении организуются периодические проверки условий обработки персональных данных.
Периодические проверки условий обработки персональных данных проводятся в форме плановых и внеплановых проверок, назначенных приказом начальника Главного управления.
3. Проверки осуществляются лицом, ответственным за организацию обработки персональных данных в Главном управлении, либо комиссией, образуемой приказом начальника Главного управления.
4. В проведении проверки не может участвовать гражданский служащий, иной работник Главного управления, заинтересованный прямо или косвенно в ее результатах.
5. Плановые проверки проводятся не реже 1 (одного) раза в год в соответствии с планом, утвержденным начальником Главного управления.
6. Основанием для проведения внеплановой проверки является решение начальника Главного управления либо поступившее письменное заявление гражданина или юридического лица о нарушениях правил обработки персональных данных.
7. Проведение внеплановой проверки на основании поступившего заявления о нарушениях правил обработки персональных данных организуется в течение 7 рабочих дней со дня поступления этого заявления.
8. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
- нарушения требований Федерального закона "О защите персональных данных", иных нормативных правовых актов и локальных актов Главного управления, принятых в области защиты персональных данных;
- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
- порядок и условия применения средств защиты информации;
- эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- состояние учета машинных носителей персональных данных;
- соблюдение правил доступа к персональным данным;
- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
- осуществление мероприятий по обеспечению целостности персональных данных;
- виновность лиц, допустивших нарушения установленных требований в области защиты персональных данных.
9. Ответственный за организацию обработки персональных данных в Главном управлении (члены комиссии) имеет право:
- запрашивать у работников Главного управления информацию, необходимую для проведения проверки;
- требовать от работников Главного управления, осуществляющих обработку персональных данных, уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
- вносить начальнику Главного управления предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
- вносить начальнику Главного управления предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
10. В отношении персональных данных, ставших известными лицам, проводившим проверку, должна обеспечиваться конфиденциальность персональных данных.
11. Проверка проводится в течение месяца со дня принятия решения о ее проведении.
12. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, составляется и направляется начальнику Главного управления заключение, подписываемое лицом, ответственным за организацию обработки персональных данных, либо председателем комиссии.





Утвержден
Приказом
Главного управления
природных ресурсов и экологии
Алтайского края
от 25 марта 2015 г. № 248

ПЕРЕЧЕНЬ
ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ,
ФУНКЦИОНИРУЮЩИХ В ГЛАВНОМ УПРАВЛЕНИИ ПРИРОДНЫХ
РЕСУРСОВ И ЭКОЛОГИИ АЛТАЙСКОГО КРАЯ

№ п/п
Наименование ИСПДн (ее составные части)
Наименование объекта
Отраслевая (ведомственная) принадлежность
Адрес объекта
Исходные данные классификации ИСПДн
Класс ИСПДн
Структура ИСПДн
Наличие подключений к сети Интернет и сетям общего пользования
Режим обработки ПДн
Разграничение доступа пользователей
Нахождение ИСПДн в пределах РФ
1
2
3
4
5
6
7
8
9
1.
1С Предприятие
8.2 "Бухгалтерия государственного учреждения"
Главное управление природных ресурсов и экологии
г. Барнаул, ул. Чкалова, 230
Распределенная Информационная система
Нет
Многопользовательский
С разграничением прав доступа
Расположение в пределах РФ
К4
2.
Система для работы с отчетными данными "СБИС++"
Автоматизированное рабочее место
Подключение к Интернет
Однопользовательский
Без разграничения прав доступа
Расположение в пределах РФ
К4
3.
Система для работы с налоговой отчетностью "Налогоплательщик ЮЛ"
Главное управление природных ресурсов и экологии
г. Барнаул, ул. Чкалова, 230
Локальная информационная система
Нет
Однопользовательский
Без разграничения прав доступа
Расположение в пределах РФ
К4
4.
Программа подготовки отчетных документов для ПФР "Spu_orb"
Локальная информационная система
Нет
Однопользовательский
Без разграничения прав доступа
Расположение в пределах РФ
К4





Утвержден
Приказом
Главного управления
природных ресурсов и экологии
Алтайского края
от 25 марта 2015 г. № 248

ПЕРЕЧЕНЬ
ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ГЛАВНОМ УПРАВЛЕНИИ
ПРИРОДНЫХ РЕСУРСОВ И ЭКОЛОГИИ АЛТАЙСКОГО КРАЯ, В СВЯЗИ
С РЕАЛИЗАЦИЕЙ СЛУЖЕБНЫХ (ТРУДОВЫХ) ОТНОШЕНИЙ

В связи с реализацией служебных или трудовых отношений, оказанием государственных услуг и осуществлением государственных функций в Главном управлении природных ресурсов и экологии Алтайского края обрабатываются следующие персональные данные:
- анкетные и биографические данные гражданина, в том числе адрес регистрации по месту жительства, адрес фактического проживания;
- паспортные данные или данные иного документа, удостоверяющего личность (включая серию, номер, дату выдачи, наименование органа, выдавшего документ), гражданство;
- сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки;
- сведения о трудовой деятельности, опыте работы, занимаемой должности, трудовом стаже, повышении квалификации и переподготовке;
- сведения о составе семьи и наличии иждивенцев, сведения о месте работы или учебы членов семьи;
- сведения о состоянии здоровья и наличии заболеваний (в случаях, установленных законом);
- сведения об отношении к воинской обязанности;
- сведения о воинском или специальном звании;
- сведения о доходах, имуществе и обязательствах имущественного характера, в том числе членов семьи;
- сведения об идентификационном номере налогоплательщика;
- сведения о номере и серии страхового свидетельства государственного пенсионного страхования;
- сведения о прежних фамилии, имени, отчестве (в случае изменения);
- фотографическое изображение;
- сведения о допуске к государственной тайне;
- сведения о пребывании за границей, проживании близких родственников за границей;
- сведения о наградах и знаках отличия;
- сведения, содержащиеся в личной карточке работника, личной карточке государственного (муниципального) служащего;
- сведения о страховом номере индивидуального лицевого счета;
- сведения о наличии классного чина, дипломатического ранга, квалификационного разряда;
- сведения о наличии (отсутствии) судимости либо привлечения к административной ответственности, в том числе близких родственников;
- сведения о лицевых счетах;
- номер контактного телефона или сведения о других способах связи.





Утвержден
Приказом
Главного управления
природных ресурсов и экологии
Алтайского края
от 25 марта 2015 г. № 248

ПЕРЕЧЕНЬ
ДОЛЖНОСТЕЙ ГРАЖДАНСКИХ СЛУЖАЩИХ ГЛАВНОГО УПРАВЛЕНИЯ
ПРИРОДНЫХ РЕСУРСОВ И ЭКОЛОГИИ АЛТАЙСКОГО КРАЯ,
ЗАМЕЩЕНИЕ КОТОРЫХ ПРЕДУСМАТРИВАЕТ ОСУЩЕСТВЛЕНИЕ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ЛИБО ОСУЩЕСТВЛЕНИЕ
ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ

Начальник Главного управления
Заместители начальника Главного управления, начальники управлений
Заместители начальников управлений, начальники отделов
Далее по отделам:
Отдел государственной службы и кадров:
Начальник отдела
Консультант
Главный специалист
Ведущий специалист
Специалист 1 категории
Юридический отдел:
Начальник отдела
Заместитель начальника отдела
Главные специалисты
Специалист 1 категории
Отдел документационного обеспечения и организационной работы:
Начальник отдела
Главный специалист
Главный специалист по 10 разряду ЕТС
Специалист 1 категории
Консультант
Отдел бухгалтерского учета и отчетности:
Начальник отдела
Ведущие специалисты
Специалист 1 категории
Отдел мониторинга и контроля:
Начальник отдела
Главные специалисты
Ведущий специалист
Заведующий хозяйством
Финансово-экономический отдел:
Начальник отдела
Главный специалист
Ведущие специалисты
Отдел регионального государственного экологического надзора:
Начальник отдела
Консультант
Главные специалисты (инспекторы)
Отдел особо охраняемых природных территорий:
Начальник отдела
Главные специалисты
Ведущий специалист по 8 разряду ЕТС
Отдел экспертизы и нормирования:
Заместитель начальника отдела
Главные специалисты
Главный специалист по 10 разряду ЕТС
Ведущий специалист по 9 разряду ЕТС
Ведущий специалист по 8 разряду ЕТС
Отдел водных ресурсов:
Начальник отдела
Консультант
Главные специалисты
Главный специалист по 10 разряду ЕТС
Отдел природных ресурсов:
Начальник отдела
Главные специалисты
Главный специалист по 10 разряду ЕТС
Отдел федерального государственного лесного надзора:
Ведущие специалисты
Специалист 1 категории
Отдел охраны и защиты лесов:
Начальник отдела
Ведущий специалист
Специалист II категории
Отдел организации и обеспечения использования лесов:
Начальник отдела
Заместитель начальника отдела
Ведущие специалисты
Специалист 1 категории
Сектор лесного реестра, кадастра и лесоустройства:
Ведущий специалист
Специалист 2 категории
Отдел лесовосстановления и защитного лесоразведения:
Начальник отдела
Заместитель начальника отдела
Ведущий специалист
Специалист 1 категории
Специалисты 2 категории
Отделы обеспечения полномочий в области лесных отношений по лесничествам:
Начальники-лесничие
Ведущие специалисты-помощники лесничих
Специалисты 2 категории
Участковые лесничие
Отдел организации охотничьего хозяйства:
Ведущий специалист
Отдел учета и использования объектов животного мира:
Начальник отдел
Главный специалист
Ведущий специалист
Отдел водных биологических ресурсов:
Начальник отдела
Главный специалист
Ведущий специалист
Специалист 1 категории





Утвержден
Приказом
Главного управления
природных ресурсов и экологии
Алтайского края
от 25 марта 2015 г. № 248

ПОРЯДОК
ДОСТУПА ГРАЖДАНСКИХ СЛУЖАЩИХ И ИНЫХ РАБОТНИКОВ
ГЛАВНОГО УПРАВЛЕНИЯ ПРИРОДНЫХ РЕСУРСОВ И ЭКОЛОГИИ
АЛТАЙСКОГО КРАЯ В ПОМЕЩЕНИЯ, В КОТОРЫХ ВЕДЕТСЯ
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Настоящий Порядок доступа служащих Главного управления в помещения, в которых ведется обработка персональных данных, разработан в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" и постановления Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
2. Помещения, в которых ведется обработка персональных данных, должны обеспечивать сохранность информации и технических средств, исключать возможность бесконтрольного проникновения в помещение и их визуального просмотра посторонними лицами.
3. Персональные данные на бумажных носителях должны находиться в недоступном для посторонних лиц месте.
Бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) хранятся в шкафах, оборудованных замками.
4. Помещения, в которых ведется обработка персональных данных, запираются на ключ. Ключи от помещений ежедневно сдаются на вахту здания.
Гражданские служащие, имеющие доступ в помещения, в которых ведется обработка персональных данных, получают ключ на вахте и самостоятельно заходят в кабинеты.
5. Вскрытие и закрытие помещений, в которых ведется обработка персональных данных, производится гражданскими служащими.
6. Перед закрытием помещений, в которых ведется обработка персональных данных, по окончании служебного дня гражданские служащие, имеющие право доступа в помещения, обязаны:
- убрать бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) в шкафы, закрыть шкафы;
- отключить технические средства (кроме постоянно действующей техники) и электроприборы от сети, выключить освещение;
- закрыть окна;
- закрыть двери;
- сдать ключи от помещений, в которых ведется обработка персональных данных, на вахту здания.
7. Перед открытием помещений, в которых ведется обработка персональных данных, гражданские служащие, имеющие право доступа в помещения, обязаны:
- получить ключи от помещения, в которых ведется обработка персональных данных, на вахте здания;
- провести внешний осмотр с целью установления целостности двери и замка;
- открыть дверь и осмотреть помещение, проверить наличие и целостность замков на шкафах.
8. При обнаружении неисправности двери и запирающих устройств гражданские служащие обязаны:
- не вскрывая помещение, в котором ведется обработка персональных данных, доложить непосредственному руководителю;
- в присутствии не менее двух иных гражданских, включая непосредственного руководителя, вскрыть помещение и осмотреть его;
- составить акт о выявленных нарушениях и передать руководителю Главного управления правления.
9. Право самостоятельного входа в помещения, где обрабатываются персональные данные, имеют только гражданские служащие, непосредственно работающие в данном помещении.
Иные гражданские служащие и граждане имеют право пребывать в помещениях, где обрабатываются персональные данные, только в присутствии гражданских служащих, непосредственно работающих в данных помещениях.
10. При работе с информацией, содержащей персональные данные, двери помещений должны быть всегда закрыты.
Присутствие гражданских служащих и граждан, не имеющих права доступа к персональным данным, должно быть исключено.
11. Техническое обслуживание компьютерной и организационной техники, сопровождение программных средств, уборка помещения, в котором ведется обработка персональных данных, а также проведение других работ осуществляются в присутствии гражданского служащего, работающего в данном помещении.
12. Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на начальников структурных подразделений, обрабатывающих персональные данные.





Утверждено
Приказом
Главного управления
природных ресурсов и экологии
Алтайского края
от 25 марта 2015 г. № 248

ТИПОВОЕ ОБЯЗАТЕЛЬСТВО
работника Главного управления природных ресурсов и экологии
Алтайского края, непосредственно осуществляющего обработку
персональных данных, о неразглашении персональных данных

Я, ____________________________________________________________________
(фамилия, имя, отчество)
___________________________________________________________________________
(должность)
_________________________________________________________________, обязуюсь
при исполнении своих должностных обязанностей соблюдать требования,
установленные для работы с персональными данными Федеральным законом
от 27.07.2006 № 152-ФЗ "О персональных данных", принятыми в соответствии с
ним нормативными правовыми актами и локальными правовыми актами Главного
управления.
Обязуюсь не разглашать персональные данные, ставшие мне известными в
связи с исполнением должностных обязанностей.
Обязуюсь прекратить обработку персональных данных, ставших известными
мне в связи с исполнением должностных обязанностей, в случае расторжения со
мной контракта (договора), освобождения меня от замещаемой должности и
увольнения.
В соответствии со статьей 7 Федерального закона "О персональных
данных" я уведомлен(а) о том, что персональные данные являются
конфиденциальной информацией и я обязан(а) не раскрывать третьим лицам и не
распространять персональные данные, ставшие известными мне в связи с
исполнением должностных обязанностей, без согласия субъекта персональных
данных.
Ответственность, предусмотренная Федеральным законом "О персональных
данных" и другими федеральными законами, мне разъяснена.
____________________
дата
________________________________________________________________
подпись фамилия, имя, отчество





Утверждена
Приказом
Главного управления
природных ресурсов и экологии
Алтайского края
от 25 марта 2015 г. № 248

ТИПОВАЯ ФОРМА
согласия на обработку персональных данных гражданских
служащих Главного управления природных ресурсов и экологии
Алтайского края

Я, ___________________________________________________________________,
(фамилия, имя, отчество)

документ, удостоверяющий личность: ________________________________________
(наименование, серия и номер)
___________________________________________________________________________
(дата выдачи, организация, выдавшая документ)
В соответствии с требованиями статьи 9 Федерального закона
от 27.07.2006 № 152-ФЗ "О персональных данных" даю добровольное согласие на
обработку моих персональных данных Главному управлению природных ресурсов и
экологии Алтайского края, расположенному по адресу ________________________
__________________________________________ (далее - Оператор), в целях
обеспечения соблюдения Конституции Российской Федерации, трудового
законодательства и иных нормативных правовых актов, содействия в
прохождении государственной гражданской службы, обучении и продвижении по
гражданской службе, обеспечения моей безопасности и членов моей семьи, а
также в целях обеспечения сохранности имущества, учета результатов
исполнения должностных обязанностей и других целей осуществления трудовых
отношений с Оператором, включая взаимоотношения Оператора с Федеральной
налоговой службой, Пенсионным фондом России, Фондом социального страхования
и подразделениями названных организаций.
Согласие дается Оператору для обработки следующих персональных данных:
фамилия, имя, отчество, пол, дата и место рождения, адрес регистрации и
места фактического проживания, контактный телефон, реквизиты полисов
обязательного и добровольного медицинского страхования, страховой номер
индивидуального лицевого счета в Пенсионном фонде РФ (СНИЛС),
идентификационный номер налогоплательщика (ИНН), паспортные данные,
сведения о воинском учете, сведения о государственных наградах, семейное
положение и состав семьи, сведения об образовании и трудовом стаже, о
заработной плате, иных доходах, подоходном налоге, взносах в пенсионный
фонд, социальных льготах, содержание служебного контракта (трудового
договора), об имуществе и обязательствах имущественного характера,
фотографии, сведения о состоянии здоровья в установленной форме.
Предоставляю Оператору право осуществлять любые действия (операции) по
обработке моих персональных данных, включая сбор, запись, систематизацию,
накопление, хранение, уточнение (обновление, изменение), извлечение,
использование, передачу (распространение, предоставление, доступ),
обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор вправе использовать мои персональные данные в следующих целях:
- для формирования кадровых документов и для выполнения Оператором
всех требований трудового законодательства и законодательства о
государственной гражданской службе;
- для осуществления расчетов Оператора со мной как работником (включая
передачу в финансово-кредитное учреждение (банк) для зачисления денежных
средств (заработной платы, премий, материальной помощи и т.д.) на счет моей
банковской карты);
- для размещения моей фотографии, фамилии, имени, отчества, должности,
классного чина на доске Почета, в документах управления, на стендах в
помещениях управления, на официальном сайте управления;
- для создания и размножения (включая размещение на официальном сайте
управления) визитных карточек и телефонных справочников с моей фамилией,
именем и отчеством, рабочим телефоном для осуществления трудовой функции;
для указания моих данных (фамилия, имя, отчество, должность, рабочий
телефон) в документах, подготовленных (согласованных) мною либо касающихся
исполнения моих должностных обязанностей, а также в докладах, отчетах,
обзорах, подготовленных по результатам деятельности Оператора и его
структурных подразделений;
- для передачи в медицинское учреждение при прохождении плановой
диспансеризации;
- при участии в общественных мероприятиях.
Оператор вправе обрабатывать мои персональные данные посредством
внесения их в электронные базы данных, включения в списки (реестры) и
отчетные формы.
Срок хранения моих персональных данных в электронных базах данных,
банках данных или хранилищах данных соответствует сроку хранения приказов
по личному составу учреждения (организации) и составляет 75 (семьдесят
пять) лет.
Настоящее согласие вступает в законную силу в день его подписания и
действует бессрочно.
Настоящее заявление может быть отозвано мною в письменной форме в
любое время по моему усмотрению.
Также подтверждаю, что ознакомлен(а) с положениями Федерального закона
от 27.07.2006 № 152-ФЗ "О персональных данных", права и обязанности в
области защиты персональных данных мне разъяснены.

_____________ ______________ __________________________________________
дата подпись фамилия, имя, отчество





Утверждена
Приказом
Главного управления
природных ресурсов и экологии
Алтайского края
от 25 марта 2015 г. № 248

ТИПОВАЯ ФОРМА
разъяснения субъекту персональных данных юридических
последствий отказа предоставить свои персональные данные

Мне, ______________________________________________________, разъяснены
юридические последствия отказа предоставить свои персональные данные
Главному управлению природных ресурсов и экологии Алтайского края (далее -
Главное управление).
В соответствии со статьями 26, 42 Федерального закона от 27.07.2004
№ 79-ФЗ "О государственной гражданской службе Российской Федерации",
Положением о персональных данных государственного гражданского служащего
Российской Федерации и ведении его личного дела, утвержденного Указом
Президента Российской Федерации от 30.05.2005 № 609, определен перечень
персональных данных, которые субъект персональных данных обязан
предоставить Главному управлению в связи с поступлением или прохождением
государственной гражданской службы.
Без представления субъектом персональных данных обязательных для
заключения служебного контракта сведений служебный контракт не может быть
заключен.
На основании пункта 11 части 1 статьи 33 Федерального закона "О
государственной гражданской службе Российской Федерации" служебный контракт
прекращается вследствие нарушения установленных обязательных правил его
заключения, если это нарушение исключает возможность замещения должности
гражданской службы.

_____________________ ____________________________________________________
подпись фамилия, имя, отчество


------------------------------------------------------------------