МУНИЦИПАЛЬНОЕ
ОБРАЗОВАНИЕ ГОРОД АРМАВИР КРАСНОДАРСКОГО КРАЯ
МУНИЦИПАЛЬНОЕ
БЮДЖЕТНОЕ ОБЩЕОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ -
21.08.2019 №
01-04/418
Об утверждении и введении в
действие локальных актов и соответствующих инструкций в области защиты, хранения, обработки и передачи
персональных данных в муниципальном бюджетном общеобразовательного
учреждения–средней общеобразовательной школы № 6
В соответствии с Законом № 152-ФЗ «О персональных данных» от 27
июля 2006 г., в связи с вступлением в действие Закона РФ № 273 от 29
декабря 2012 г., в целях обеспечения защиты
прав и свобод человека и гражданина при обработке его персональных данных ПРИКАЗЫВАЮ:
1.1. Положение о порядке обработки персональных
данных в муниципальном бюджетном общеобразовательном учреждении – средней
общеобразовательной школе № 6
(Приложение 1);
1.2. Положение о разграничении прав доступа к
обрабатываемым персональным данным в Муниципальном бюджетном
общеобразовательном учреждении - средней общеобразовательной школе № 6
(Приложение 2);
1.3. Положение об обработке персональных данных
работников Муниципального бюджетного общеобразовательного учреждения - средней
общеобразовательной школы № 6 (Приложение 3);
1.4. Положение о защите, хранении, обработке и
передаче персональных данных обучающихся Муниципального бюджетного
общеобразовательного учреждения - средней общеобразовательной школы № 6
(Приложение 4).
2. Утвердить следующие Инструкции:
2.1. Инструкция по обеспечению безопасности
персональных данных (Приложение 5);
2.2. Инструкция администратора информационных систем
персональных данных МБОУ - СОШ № 6 (Приложение 6);
2.3. Инструкция пользователя информационных систем
персональных данных (ИСПДн) В МБОУ - СОШ № 6
(Приложение 7);
2.4. Инструкция пользователя ИСПДн
по обеспечению обработки персональных данных при возникновении внештатных
ситуаций (Приложение 8);
2.5. Инструкция по организации антивирусной защиты в
Муниципальном бюджетном общеобразовательном учреждении – средней
общеобразовательной школе № 6 (Приложение 9).
Директор
МБОУ-СОШ № 6 С.Д.
Акиншина
Приложение 1
к приказу по школе
от 21.08.2019 г. № 01-04/418
ПОЛОЖЕНИЕ
о порядке обработки персональных данных
в муниципальном бюджетном общеобразовательном учреждении –
средней общеобразовательной школе № 6
1. Общие положения
1.1. Настоящее
Положение о порядке обработки персональных данных в МБОУ - СОШ № 6
разработано в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ
«О персональных данных» (далее – Федеральный закон), постановлением
Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об
утверждении Положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации», постановлением
Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении
Положения об обеспечении безопасности персональных данных при их обработке в
информационных системах персональных данных» и устанавливает единый порядок
обработки персональных в МБОУ - СОШ № 6 муниципального образования город
Армавир Краснодарского края (далее – Школа).
1.2. В целях
настоящего Положения используются следующие термины и понятия:
·
персональные данные – любая информация, относящаяся к определенному или
определяемому на основании такой информации физическому лицу (субъекту
персональных данных). в том числе его фамилия, имя, отчество, год, месяц, дата
и место его рождения, адрес, семейное, социальное, имущественное положение,
образование, профессия, доходы, другая информация;
·
обработка персональных данных – действия (операции) с персональными
данными, включая сбор, систематизацию, накопление, хранение, уточнение
(обновление, изменение), использование, распространение (в том числе передачу),
обезличивание, блокирование, уничтожение персональных данных;
·
информационная система персональных данных – информационная система, представляющая
собой совокупность персональных данных, содержащихся в базе данных, а также
информационных технологий и технических средств, позволяющих осуществлять
обработку таких персональных данных с использованием средств автоматизации или
без использования таких средств;
2. Основные
условия проведения обработки персональных данных
2.1. Обработка
персональных данных осуществляется:
·
после
получения согласия субъекта персональных данных, согласно его заявлению
(Приложение № 1), за исключением случаев, предусмотренных частью 2 статьи 6
Федерального закона;
·
после
направления уведомления об обработке персональных данных в Управление
Федеральной службы по надзору в сфере связи, информационных технологий и
массовых коммуникаций, за исключением случаев, предусмотренных частью 2 статьи
22 Федерального закона;
2.2. В
Школе назначается сотрудник, ответственный за защиту персональных данных, и
определяется перечень лиц, допущенных к обработке персональных данных.
2.3. Лица,
допущенные к обработке персональных данных, в обязательном порядке под роспись
знакомятся с настоящим Положением и подписывают соглашение о неразглашении
информации, содержащей персональные данные (Приложение № 2).
2.4.
Запрещается:
·
обрабатывать
персональные данные в присутствии лиц, не допущенных к их обработке;
3. Порядок
определения защищаемой информации
3.1. Школа
создает в пределах своих полномочий, установленных в соответствии с федеральными
законами, городские информационные системы персональных данных (ИСПДн) в целях обеспечения реализации прав объектов
персональных данных.
3.2. В
школе на основании «Перечня сведений конфиденциального характера»,
утвержденного Указом Президента Российской Федерации 6 марта 1997 года № 188,
определяется и утверждается перечень сведений ограниченного доступа, не
относящихся к государственной тайне (далее – конфиденциальная информация) и
перечень информационных систем персональных данных.
3.3. На стадии
проектирования каждой ИСПДн определяются цели о
содержание обработки персональных данных, утверждается перечень обрабатываемых
персональных данных.
4. Порядок
обработки персональных данных в информационных системах персональных данных с
использованием средств автоматизации
4.1. Обработка
персональных данных в системах персональных данных с использованием средств
автоматизации осуществляется в соответствии с требованиями постановления
Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении
Положения об обеспечении безопасности персональных данных при их обработке и
информационных системах персональных данных», нормативных и руководящих
документов уполномоченных федеральных органов исполнительной власти.
4.2.
Оператором осуществляется классификация информационных систем персональных
данных в соответствии с Приказом ФСТЭК России, ФСБ России, Мининформсвязи
России от 13.02.2008 г. № 55/86/20 «Об утверждении Порядка проведения
классификации информационных систем персональных данных» в зависимости от
категории обрабатываемых данных и их количества.
4.3.
Мероприятия по обеспечению безопасности персональных данных на стадии
проектирования и ввода в эксплуатацию объектов информатизации проводятся в
соответствии с приказом ФСТЭК России от 05.02.2010 г. № 58 «О методах и
способах защиты информации в информационных системах персональных данных».
4.4. Не
допускается обработка персональных данных в информационных системах
персональных данных с использованием средств автоматизации при отсутствии:
5. Порядок
обработки персональных данных без использования средств автоматизации
5.1. Обработка
персональных данных без использования средств автоматизации (далее –
неавтоматизированная обработка персональных данных) может осуществляться в виде
документов на бумажных носителях и в электронном виде (файлы, базы данных) на
электронных носителях информации.
5.2. При
неавтоматизированной обработке различной категории персональных данных должен
использоваться отдельный материальный носитель для каждой категории
персональных данных.
5.3. При
неавтоматизированной обработке персональных данных на бумажных носителях:
5.4. При
использовании типовых форм документов, характер информации в которых
предполагает или допускает включение в них персональных данных (далее – типовые
формы). Должны соблюдаться следующие условия:
5.4.1. Типовая форма или связанные с ней документы
(инструкция по её заполнению, карточки, реестры и журналы) должны содержать
сведения о цели неавтоматизированной обработки персональных данных, имя
(наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта
персональных данных, источник получения персональных данных, сроки обработки
персональных данных, перечень действий с персональными данными, которые будут
совершаться в процессе их обработки, общее описание используемых оператором
способов обработки персональных данных;
5.4.2. Типовая форма должна предусматривать поле, в
котором субъект персональных данных может поставить отметке о своем согласии на
неавтоматизированную обработку персональных данных, - при необходимости
получения письменного согласия на обработку персональных данных;
5.4.3. Типовая форма должна быть составлена таким образом,
чтобы каждый из субъектов персональных данных, содержащихся в документе, имел
возможность ознакомиться со своими персональными данными, содержащимися в
документе, не нарушая прав и законных интересов иных субъектов персональных
данных;
5.4.4. Типовая форма должна исключать объединение полей,
предназначенных для внесения персональных данных, цели обработки которых
заведомо не совместимы.
5.5.
Неавтоматизированная обработка персональных данных в электронном виде
осуществляется на внешних электронных носителях информации.
5.6. При
отсутствии технологической возможности осуществления неавтоматизированной
обработки персональных данных в электронном виде на внешних носителях
информации необходимо принимать организационные (охрана помещений) и
технические меры (установка сертифицированных средств защиты информации),
исключающие возможность несанкционированного доступа к персональным данным лиц,
не допущенных к их обработке.
5.7.
Электронные носители информации, содержащие персональные данные, учитываются в
журнале учета электронных носителей персональных данных (Приложение № 3). К
каждому электронному носителю оформляется опись файлов, содержащихся на нем, с
указанием цели обработки и категории персональных данных.
5.8. При
несовместимости целей неавтоматизированной обработки персональных данных,
зафиксированных на одном электронном носителе, если электронный носитель не
позволяет осуществлять обработку персональных данных отдельно от других
зафиксированных на том же носителе персональных данных, должны быть приняты
меры по обеспечению раздельной обработки персональных данных, в частности:
5.8.1. при необходимости использования или распространения
определенных персональных данных отдельно от находящихся на том же материальном
носителе других персональных данных осуществляется копирование персональных
данных, подлежащих распространению или использованию, способом, исключающим
одновременное копирование персональных данных, не подлежащих распространению и
использованию, и используется (распространяется) копия персональных данных;
5.8.2. при необходимости уничтожения или блокирования
части персональных данных уничтожается или блокируется материальный носитель с
предварительным копированием сведений, не подлежащих уничтожению или
блокированию, способом, исключающим одновременное копирование персональных
данных, подлежащих уничтожению или блокированию.
5.9. Документы и
внешние электронные носители информации, содержащие персональные данные, должны
храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах
(сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их
сохранность.
5.10. Уничтожение или обезличивание
части персональных данных, если это допускается материальным носителем, может
производиться способом, исключающим дальнейшую обработку этих персональных
данных, зафиксированных на материальном носителе (удаление, вымарывание).
6.
Ответственность должностных лиц
6.1. Работники
Школы, допущенные к персональным данным, виновные в нарушении норм,
регулирующих получение, обработку и защиту персональных данных, несут
дисциплинарную административную, гражданско-правовую или уголовную
ответственность в соответствии с законодательством Российской Федерации.
Согласие субъекта
на обработку его персональных данных (образец)
Оператор, получающий
согласие субъекта персональных данных:
наименование
_________________________
_______________________________________
адрес _________________________________
_______________________________________
_______________________________________
Субъект персональных данных:
фамилия _______________________________
имя ___________________________________
отчество _______________________________
адрес __________________________________
документ, удостоверяющий личность (наиме-нование, серия,
номер, дата выдачи, выдавший орган) _________________________________
_______________________________________
1.
Цель обработки персональных данных
________________________________
_________________________________________________________________
2.
Перечень персональных данных, на
обработку которых дается согласие
субъекта персональных данных ______________________________________
__________________________________________________________________
3.
Перечень действий с персональными
данными, на совершение которых дается согласие
__________________________________________________________
__________________________________________________________________
4.
Используемые оператором способы
обработки персональных данных ______
__________________________________________________________________
__________________________________________________________________
5.
Срок, в течение которого действует данное
согласие _____________________
6.
Способ отзыва данного согласия:
_____________________________________
__________________________________________________________________
«___» __________
2015 г. Подпись субъекта персональных
данных __________
Приложение 1
В муниципальное бюджетное образовательное
учреждение - средняя общеобразовательная школа № 6
352931, Краснодарский край, г. Армавир,
ул. Кирова,9
ЗАЯВЛЕНИЕ
о согласии на обработку персональных данных сотрудников
Я,
__________________________________________________________________
(фамилия, имя,
отчество)
проживающ___ по адресу
_________________________________________
(адрес места
регистрации)
паспорт_____________________________________________________________
(серия и номер,
дата выдачи, название выдавшего органа)
в соответствии с требованиями статьи 9 Федерального закона от
27.07.2006 г. «О персональных данных» № 152-ФЗ подтверждаю свое согласие на обработку Муниципальным
бюджетным общеобразовательным учреждением - средняя общеобразовательная школа №
6, города Армавира Краснодарского края (далее – Оператор) моих
персональных данных с целью обеспечения расчета и начисления заработной платы,
уплаты налогов и выполнения иных обязанностей в соответствии с действующим
законодательством..
К персональным данным, на обработку которых даю своё согласие,
относятся:
-
паспортные данные, ИНН;
-
данные страхового свидетельства государственного пенсионного страхования;
-
данные документов об образовании, квалификации или наличии специальных знаний;
-
анкетные данные, (в том числе сведения о семейном положении, перемене фамилии,
наличии детей и иждивенцев);
-
документы о возрасте малолетних детей и месте их обучения;
-
документы о состоянии здоровья детей и других родственников (включая справки об
инвалидности, о наличии хронических заболеваний);
-
документы о состоянии здоровья (сведения об инвалидности, о беременности и
т.п.);
-
сведения, содержащиеся в приказах о приеме, переводах, увольнении, повышении
заработной платы, премировании, поощрениях и взысканиях;
-
документы о прохождении аттестации, повышения квалификации;
-
иные документы, содержащие сведения, необходимые для расчета заработной платы,
выплаты стимулирующих и компенсационных выплат.
Предоставляю Оператору право осуществлять все действия
(операции) с моими персональными данными, включая сбор, систематизацию,
накопление, хранение, обновление, изменение, использование, обезличивание,
блокирование, уничтожение. Оператор вправе обрабатывать мои персональные данные
посредством внесения их в электронную базу данных, включения в списки (реестры)
и отчетные формы, предусмотренные документами, регламентирующими предоставление
отчетных данных (документов), и передавать их уполномоченным органам.
Персональные данные могут быть также использованы для
формирования банка данных работников образовательных учреждений в целях
обеспечения управления системой образования.
Срок хранения персональных данных составляет семьдесят пять лет.
Настоящее согласие дано мной ______________ (дата)
и действует бессрочно.
Я подтверждаю, что мне известно о праве отозвать свое согласие
посредством составления соответствующего письменного документа, который может
быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением
о вручении либо вручен лично под расписку представителю Оператора.
Об ответственности за достоверность представленных сведений
предупрежден (предупреждена) нужное подчеркнуть.
Подтверждаю, что ознакомлен с Положением о
защите персональных данных и положениями Федерального закона от 27 июля
2006 года № 152-ФЗ «О персональных данных», права и
обязанности в области защиты персональных данных мне
разъяснены.
«___»__________20__г.
___________________
(подпись)
Приложение 2
Соглашение о неразглашении
персональных
данных субъекта (сотрудника школы)
Я,__________________________________________________________________,
(фамилия, имя,
отчество)
паспорт серия________ номер ___________,
выданный _____________________________________________________________________
____________________________________
«____» _____________ _________ года, понимаю, что получаю доступ к персональным
данным работников Муниципального бюджетного общеобразовательного учреждения -
средняя общеобразовательная школа № 6.
Я также понимаю, что во время исполнения своих обязанностей, мне приходится
заниматься сбором, обработкой и хранением персональных данных.
Я понимаю, что разглашение такого рода информации может нанести ущерб субъектам
персональных данных, как прямой, так и косвенный.
В связи с этим, даю обязательство, при работе (сбор, обработка и хранение) с
персональными данными соблюдать все описанные в «Положении об обработке и
защите персональных данных» требования.
Я подтверждаю, что не имею права разглашать сведения:
-
анкетные и биографические данные;
-
сведения об образовании;
-
сведения о трудовом и общем стаже;
-
сведения о составе семьи;
-
паспортные данные;
-
сведения о воинском учете;
-
сведения о заработной плате сотрудника;
-
сведения о социальных льготах;
-
специальность;
-
занимаемая должность;
-
наличие судимостей;
-
адрес места жительства;
-
домашний телефон;
-
место работы или учебы членов семьи и родственников;
-
характер взаимоотношений в семье;
-
содержание трудового договора;
-
подлинники и копии приказов по личному составу;
-
личные дела и трудовые книжки сотрудников;
-
основания к приказам по личному составу;
-
дела, содержащие материалы по повышению квалификации и переподготовке, их
аттестации;
-
копии отчетов, направляемые в органы статистики.….
Я предупрежден (а) о том, что в случае разглашения мной сведений, касающихся
персональных данных или их утраты я несу ответственность в соответствии со ст.
90 Трудового Кодекса Российской Федерации.
« ___ » __________ 20__ г.
____________________
(подпись)
Приложение № 3
Начат «____» __________ ______г.
Окончен «___» _________ _____ г.
На ___________
листах.
ЖУРНАЛ
учёта электронных носителей персональных
данных
|
Учётный номер |
Дата постановки на учёт |
Вид электронного носителя, место его хранения (размещения) |
Ответственный за использование и хранение |
||
|
ФИО |
подпись |
дата |
|||
|
1 |
2 |
3 |
4 |
5 |
6 |
|
|
|
|
|
|
|
Приложение 2
к приказу по школе
от
21.08.2019 г. № 01-04/418
ПОЛОЖЕНИЕ
о
разграничении прав доступа
к
обрабатываемым персональным данным
в
Муниципальном бюджетном общеобразовательном учреждении – средней
общеобразовательной школе № 6
1. Общие положения
1.1.
Настоящее Положение о разграничении прав доступа к обрабатываемым персональным
данным (далее - Положение) в Муниципальном бюджетном общеобразовательном
учреждении - средней общеобразовательной школе № 6 (далее – Школа) разработано
в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О
персональных данных», Правилами внутреннего трудового распорядка Школы и
определяет уровень доступа должностных лиц к персональным данным работников и
учащихся.
2.
Основные понятия
2.1.
Для целей настоящего Положения используются следующие основные понятия:
3.
Разграничение прав доступа при автоматизированной обработке информации
3.1.
Разграничение прав осуществляется на основании Отчета по результатам проведения
внутренней проверки, а так же исходя из характера и
режима обработки персональных данных в ИСПДн.
3.2. Список
групп должностных лиц ответственных за обработку персональных данных в
информационных системах персональных данных, а так же
их уровень прав доступа в ИСПДн представлен в таблице
№ 1.
Таблица № 1
Список групп должностных лиц
ответственных за обработку персональных
данных
|
Группа |
Уровень доступа к ПДн |
Разрешенные действия |
|
Администратор безопасности
(первый заместитель директора) |
- Обладает правами
Администратора ИСПДн. - Обладает полной информацией
об ИСПДн. - Имеет доступ к средствам
защиты информации и протоколирования и к части ключевых элементов ИСПДн. - Имеет праав
доступа к конфигурированию технических средств сети за исключением
контрольных (инспекционных). |
- сбор - систематизация - накопление - хранение - уточнение - использование - уничтожение |
|
Электроник |
Обладает всеми необходимыми
атрибутами и правами, обеспечивающими доступ ко всем ПДн. |
- сбор - систематизация - накопление - хранение - уточнение - использование - уничтожение |
4. Разграничение
прав доступа при неавтоматизированной обработке персональных данных
4.1.
Разграничение прав
осуществляется исходя из характера и режима обработки персональных данных на
материальных носителях.
4.2.
Список лиц
ответственных за неавтоматизированную обработку персональных, а так же их уровень прав доступа к персональным данным
представлен в таблице № 2.
Таблица № 2
Список лиц ответственных
за неавтоматизированную обработку
персональных данных
|
Группа |
Уровень доступа к ПДн |
Разрешенные действия |
|
Администрация школы |
-
Обладает полной информацией о персональных данных обучающихся и их родителей
(законных представителей), работников школы. -
Имеет доступ к личным делам обучающихся и работников, информации на
материальных носителях, содержащей персональные данные обучающихся, их
родителей (законных представителей) и работников школы. |
- сбор и систематизация - накопление и хранение - уточнение (обновление,
изменение) - использование - уничтожение - распространение - блокирование - обезличивание |
|
Делопроизводитель-секретарь |
-
Обладает полной информацией о персональных данных обучающихся и их родителей
(законных представителей), работников школы. -
Имеет доступ к личным делам обучающихся и работников, информации на
материальных носителях, содержащей персональные данные обучающихся, их
родителей (законных представителей) и работников школы. |
- сбор и систематизация - накопление и хранение - уточнение (обновление,
изменение) - использование - уничтожение - распространение - блокирование - обезличивание |
|
Социальный педагог |
-
Имеет доступ к личным делам обучающихся, информации на материальных
носителях, содержащей персональные данные обучающихся, их родителей (законных
представителей). |
- сбор и систематизация - накопление и хранение - уточнение (обновление,
изменение) - использование |
|
Педагог- психолог |
-
Имеет доступ к личным делам обучающихся, информации на материальных
носителях, содержащей персональные данные обучающихся, их родителей (законных
представителей). |
- сбор и систематизация - накопление и хранение - уточнение (обновление,
изменение) - использование |
|
Классные руководители |
-
Имеет доступ к личным делам обучающихся и информации на материальных
носителях, содержащей персональные данные обучающихся только своего
класса. |
- сбор и систематизация - уточнение (обновление,
изменение) - использование - уничтожение |
|
Преподаватель-организатор ОБЖ |
-
Имеет доступ к личным делам обучающихся и информации на материальных
носителях, содержащей персональные данные обучающихся допризывного возраста,
всех сотрудников школы, в том числе военнообязанных |
- сбор и систематизация - уточнение (обновление,
изменение) - использование - уничтожение |
|
Педагоги дополнительного
образования |
-
Имеет доступ к информации на материальных носителях (журнал работы
объединения в системе дополнительного образования), содержащей персональные
данные обучающихся и контактной информации родителей (законных
представителей) обучающихся своей группы (кружка, секции),
детской общественной организации, органов детского самоуправления |
- уточнение (обновление,
изменение) - использование |
|
Учителя – предметники. |
- Имеет доступ к информации
на материальных носителях (классный журнал), содержащей персональные данные
учащихся и контактной информации родителей учащихся классов, обучающихся
предмету учителя. |
- использование |
|
Библиотекарь |
- Имеет доступ к информации
на материальных носителях (формуляр читателя библиотеки), содержащей
персональные данные учащихся |
- использование - хранение |
|
Старшая вожатая |
- Имеет доступ к информации
на материальных носителях (классные журналы) содержащие персональные данные
обучающихся детской общественной организации, органов детского самоуправления |
- использование |
*
Распространение (передача) информации, содержащей персональные данные, может
быть осуществлена только с разрешения администрации школы в соответствии с
Положением о порядке обработки и защиты персональных данных работников и
учащихся МБОУ - СОШ № 6 и в установленном действующим законодательством
порядке.
Приложение 3
к приказу по школе
от
21.08.2019 г. № 01-04/418
ПОЛОЖЕНИЕ
об обработке персональных данных
работников Муниципального бюджетного общеобразовательного учреждения - средней
общеобразовательной школы № 6
1. Общие положения
1.1. Настоящее
Положение об обработке персональных данных работников (далее — Положение)
Муниципального бюджетного образовательного учреждения - средней
общеобразовательной школы № 6 (далее Школа) разработано в соответствии с
Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским
кодексом Российской Федерации, Федеральным законом 27 июля 2006 года № 149-ФЗ
«Об информации, информационных технологиях и о защите информации», Федеральным
законом от 27 июля 2006 года № 152-Фз «О персональных данных», Постановлением
Правительства Российской Федерации от 17 ноября № 781 «Об утверждении Положения
об обеспечении безопасности персональных данных при их обработке в
информационных системах персональных данных», Правилами внутреннего трудового
распорядка Школы.
1.2.
Цель разработки Положения - определение порядка обработки персональных данных;
обеспечение защиты прав и свобод работников Школы при обработке их персональных
данных, а также установление ответственности должностных лиц, имеющих доступ к
персональным данным работников Школы, за невыполнение требований норм,
регулирующих обработку и защиту персональных данных.
1.3.
Порядок ввода в действие и изменения Положения.
1.3.1.
Настоящее Положение вступает в силу с 01.09.2014 г. и действует бессрочно, до
замены его новым Положением.
1.3.2.
Все изменения в Положение вносятся приказом по Школе.
1.4.
Все работники Школы должны быть ознакомлены с настоящим Положением под роспись.
1.5.
Режим конфиденциальности персональных данных снимается в случаях их обезличивания
и по истечении 75 лет срока их хранения, или продлевается на основании
заключения экспертной комиссии Школы, если иное не определено законом.
2.
Основные понятия и состав персональных данных работников
2.1.
Для целей настоящего Положения используются следующие основные понятия[1]:
2.2. В
состав персональных данных работников входят документы, содержащие информацию о
паспортных данных, образовании, отношении к воинской обязанности, семейном
положении, месте жительства, состоянии здоровья, а также о предыдущих местах их
работы.
2.3.
Комплекс документов, сопровождающий процесс оформления трудовых отношений
работника при его приеме, переводе и увольнении.
2.3.1. Информация, представляемая работником при
поступлении на работу в Школу, должна иметь документальную форму. При
заключении трудового договора в соответствии со ст. 65 Трудового кодекса
Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
2.3.2. При оформлении работника делопроизводителем-секретарем
заполняется унифицированная форма Т-2 «Личная карточка работника», в которой
отражаются следующие анкетные и биографические данные работника:
В дальнейшем в личную карточку вносятся:
2.3.3. В Школе создаются и хранятся следующие группы документов,
содержащие данные о работниках в единичном или сводном виде:
2.3.3.1. Документы, содержащие
персональные данные работников (комплексы документов, сопровождающие процесс
оформления трудовых отношений при приеме на работу, переводе, увольнении;
комплекс материалов по анкетированию, тестированию; проведению собеседований с
кандидатом на должность; подлинники и копии приказов по личному составу; личные
дела и трудовые книжки работников; дела, содержащие основания к приказу по
личному составу; дела, содержащие материалы аттестации работников; служебных
расследований; справочно-информационный банк данных по персоналу (картотеки,
журналы); подлинники и копии отчетных, аналитических и справочных материалов,
передаваемых администрации Школы, копии отчетов, направляемых в государственные
органы статистики, налоговые инспекции, вышестоящие органы управления и другие
учреждения).
2.3.3.2. Документация по
организации работы (положения, должностные инструкции работников, приказы,
распоряжения); документы по планированию, учету, анализу и отчетности в части
работы с персоналом Школы.
3. Сбор, обработка и
защита персональных данных
3.1.
Порядок получения персональных данных.
3.1.1. Все персональные данные работника Школы следует
получать у него самого. Если персональные данные работника, возможно, получить
только у третьей стороны, то работник должен быть уведомлен об этом заранее и
от него должно быть получено письменное согласие. Должностное лицо работодателя
должно сообщить работнику о целях, предполагаемых источниках и способах
получения персональных данных, а также о характере подлежащих получению
персональных данных и последствиях отказа работника дать письменное согласие на
их получение[4].
3.1.2. Работодатель не имеет права получать и обрабатывать
персональные данные работника о его расовой, национальной принадлежности,
политических взглядах, религиозных или философских убеждениях, состоянии здоровья,
интимной жизни. В случаях, непосредственно связанных с вопросами трудовых
отношений, в соответствии со ст. 24 Конституции Российской Федерации
работодатель вправе получать и обрабатывать данные о частной жизни работника
только с его письменного согласия[5]. Обработка указанных персональных данных работников
работодателем возможна только с их согласия либо без их согласия в следующих
случаях:
3.1.3. Работодатель вправе обрабатывать персональные
данные работников только с их письменного согласия.
3.1.4. Письменное согласие работника («Заявление о
согласии работника на обработку персональных данных» - Приложение 1) на
обработку своих персональных данных должно включать в себя:
3.1.5.
Согласие работника не требуется в следующих случаях:
3.2. Порядок
обработки, передачи и хранения персональных данных.
3.2.1. Работник Школы
предоставляет делопроизводителю-секретарю достоверные сведения о себе.
Делопроизводитель-секретарь проверяет достоверность сведений, сверяя данные,
предоставленные работником, с имеющимися у работника документами.
3.2.2. В соответствии со ст. 86, гл. 14 ТК РФ в целях
обеспечения прав и свобод человека и гражданина директор Школы (Работодатель) и
его представители при обработке персональных данных работника должны соблюдать
следующие общие требования:
3.2.2.1. Обработка персональных
данных может осуществляться исключительно в целях обеспечения соблюдения
законов и иных нормативных правовых актов, содействия работникам в
трудоустройстве, обучении и продвижении по службе, обеспечения личной
безопасности работников, контроля количества и качества выполняемой работы и
обеспечения сохранности имущества[7].
3.2.2.2. При определении объема и
содержания, обрабатываемых персональных данных Работодатель должен
руководствоваться Конституцией Российской Федерации, Трудовым кодексом
Российской Федерации и иными федеральными законами[8].
3.2.2.3. При принятии решений,
затрагивающих интересы работника, Работодатель не имеет права основываться на
персональных данных работника, полученных исключительно в
результате их автоматизированной обработки или электронного получения[9].
3.2.2.4. Защита персональных
данных работника от неправомерного их использования или утраты обеспечивается
Работодателем за счет его средств в порядке, установленном федеральным законом[10].
3.2.2.5. Работники и их
представители должны быть ознакомлены под расписку с документами Школы,
устанавливающими порядок обработки персональных данных работников, а также об
их правах и обязанностях в этой области[11].
3.2.2.6. Во всех случаях отказ
работника от своих прав на сохранение и защиту тайны недействителен[12].
4.
Передача и хранение персональных данных
4.1. При
передаче персональных данных работника Работодатель должен соблюдать следующие
требования[13]:
4.1.1. Не сообщать персональные данные работника третьей
стороне без письменного согласия работника, за исключением случаев, когда это
необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в
случаях, установленных федеральным законом.
4.1.2. Не сообщать персональные данные работника в
коммерческих целях без его письменного согласия (Приложение №4).
4.1.3. Предупредить лиц, получивших персональные данные
работника, о том, что эти данные могут быть использованы лишь в целях, для
которых они сообщены, и требовать от этих лиц подтверждения того, что это
правило соблюдено. Лица, получившие персональные данные работника, обязаны
соблюдать режим секретности (конфиденциальности) (Приложение № 5). Данное
Положение не распространяется на обмен персональными данными работников в
порядке, установленном федеральными законами.
4.1.4. Осуществлять передачу персональных данных
работников в пределах Школы в соответствии с настоящим Положением.
4.1.5. Разрешать доступ к персональным данным работников
только специально уполномоченным лицам, при этом указанные лица должны иметь
право получать только те персональные данные работника, которые необходимы для
выполнения конкретной функции.
4.1.6. Не запрашивать информацию о состоянии здоровья
работника, за исключением тех сведений, которые относятся к вопросу о
возможности выполнения работником трудовой функции.
4.1.7.
Передавать персональные данные работника представителям работников в порядке,
установленном Трудовым кодексом Российской Федерации, и ограничивать эту
информацию только теми персональными данными работника, которые необходимы для
выполнения указанными представителями их функции.
5.
Хранение и использование персональных данных работников[14]:
5.2.
Персональные данные работников обрабатываются и хранятся у
делопроизводителя-секретаря.
5.2.1. Персональные данные работников могут быть получены,
проходить дальнейшую обработку и передаваться на хранение, как на бумажных
носителях, так и в электронном виде.
5.2.2. Персональные данные работника могут быть получены
не от работника, а от третьей стороны, Использование персональных данных,
полученных таким способом, возможно только с его
письменного согласия (Приложение № 3).
5.2.3. При получении персональных данных не от работника
(за исключением случаев, если персональные данные были предоставлены
работодателю на основании федерального закона или если персональные данные
являются общедоступными) работодатель до начала обработки таких персональных
данных обязан предоставить работнику следующую информацию:
6.
Доступ к персональным данным работников
6.1.
Право доступа к персональным данным работников имеют:
6.2.
Работник имеет право:
6.2.1.
Получать доступ к своим персональным данным и ознакомление с ними, включая
право на безвозмездное получение копий любой записи, содержащей персональные
данные работника.
6.2.2.
Требовать от Работодателя уточнения, исключения или исправления неполных,
неверных, устаревших, недостоверных, незаконно полученных или не являющих
необходимыми для Работодателя персональных данных.
6.2.3.
Получать от Работодателя:
6.2.4. Требовать извещения Работодателем всех лиц, которым
ранее были сообщены неверные или неполные персональные данные, обо всех
произведенных в них исключениях, исправлениях или дополнениях.
6.2.5. Обжаловать в уполномоченный орган по защите прав
субъектов персональных данных или в судебном порядке неправомерные действия или
бездействия Работодателя при обработке и защите его персональных данных.
6.3. Копировать
и делать выписки персональных данных работника разрешается исключительно в
служебных целях с разрешения директора Школы.
6.4. Передача
информации третьей стороне возможна только при письменном согласии работников
(Приложение № 4).
7.
Ответственность за нарушение норм, регулирующих обработку и защиту персональных
данных
7.1. Работники
Школы, виновные в нарушении норм, регулирующих получение, обработку и защиту
персональных данных работника, несут дисциплинарную административную,
гражданско-правовую или уголовную ответственность в соответствии с федеральными
законами.
7.2. Директор
Школы за нарушение норм, регулирующих получение, обработку и защиту
персональных данных работника, несет административную ответственность согласно
ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской
Федерации, а также возмещает работнику ущерб, причиненный неправомерным
использованием информации, содержащей персональные данные работника.
Приложение 1
В Муниципальное бюджетное
общеобразовательное учреждение -
средняя
общеобразовательная школа № 6
352931, Краснодарский край, г. Армавир,
ул. Кирова,9
ЗАЯВЛЕНИЕ
о согласии на обработку персональных данных
Я,
_______________________________________________________________
(фамилия, имя,
отчество)
проживающ___ по адресу
_________________________________________
(адрес места
регистрации)
паспорт______________________________________________________________
(серия и номер,
дата выдачи, название выдавшего органа)
в соответствии с требованиями статьи 9 Федерального закона от
27.07.2006 г. «О персональных данных» № 152-ФЗ подтверждаю свое согласие на обработку Муниципальным
бюджетным образовательным учреждением - средняя общеобразовательная школа № 6,
города Армавира Краснодарского края (далее – Оператор) моих персональных данных
с целью обеспечения расчета и начисления заработной платы, уплаты налогов и
выполнения иных обязанностей в соответствии с действующим законодательством..
К
персональным данным, на обработку которых даю своё согласие, относятся:
-
паспортные данные, ИНН;
-
данные страхового свидетельства государственного пенсионного страхования;
-
данные документов об образовании, квалификации или наличии специальных знаний;
-
анкетные данные, (в том числе сведения о семейном положении, перемене фамилии,
наличии детей и иждивенцев);
-
документы о возрасте малолетних детей и месте их обучения;
-
документы о состоянии здоровья детей и других родственников (включая справки об
инвалидности, о наличии хронических заболеваний);
-
документы о состоянии здоровья (сведения об инвалидности, о беременности и
т.п.);
-
сведения, содержащиеся в приказах о приеме, переводах, увольнении, повышении
заработной платы, премировании, поощрениях и взысканиях;
-
документы о прохождении аттестации, повышения квалификации;
-
иные документы, содержащие сведения, необходимые для расчета заработной платы,
выплаты стимулирующих и компенсационных выплат.
Предоставляю
Оператору право осуществлять все действия (операции) с моими персональными
данными, включая сбор, систематизацию, накопление, хранение, обновление,
изменение, использование, обезличивание, блокирование, уничтожение. Оператор
вправе обрабатывать мои персональные данные посредством внесения их в
электронную базу данных, включения в списки (реестры) и отчетные формы,
предусмотренные документами, регламентирующими предоставление отчетных данных
(документов), и передавать их уполномоченным органам.
Персональные
данные могут быть также использованы для формирования банка данных работников
образовательных учреждений в целях обеспечения управления системой образования.
Срок
хранения персональных данных составляет семьдесят пять лет.
Настоящее
согласие дано мной ______________ (дата) и
действует бессрочно.
Я
подтверждаю, что мне известно о праве отозвать свое согласие посредством
составления соответствующего письменного документа, который может быть
направлен мной в адрес Оператора по почте заказным письмом с уведомлением о
вручении либо вручен лично под расписку представителю Оператора.
Об
ответственности за достоверность представленных сведений предупрежден
(предупреждена) нужное подчеркнуть.
Подтверждаю,
что ознакомлен с Положением о защите
персональных данных и положениями Федерального закона от 27 июля 2006 года № 152-ФЗ
«О персональных данных», права и обязанности в
области защиты персональных данных мне разъяснены.
«___»__________20__г.
___________________
(подпись)
Приложение 2
Отзыв согласия на
обработку персональных данных
В Муниципальное
бюджетное
общеобразовательное
учреждение - средняя
общеобразовательная
школа № 6
352931,
Краснодарский край, г. Армавир,
ул. Кирова,9
_________________________________________________
Ф.И.О. субъекта персональных данных
_________________________________________________
Адрес,
где зарегистрирован субъект персональных
данных
_________________________________________________
Номер основного документа, удостоверяющего
его
личность
_________________________________________________
Дата выдачи указанного документа
_________________________________________________
Наименование органа, выдавшего документ
Заявление
Прошу Вас прекратить обработку моих
персональных данных в связи с
__________________________________________________________________
(указать причину)
«__»__________ 20__ г.
____________ _____________________
(подпись) (расшифровка подписи)
Приложение 3
В
Муниципальное бюджетное
общеобразовательное
учреждение - средняя
общеобразовательная
школа № 6
352931,
Краснодарский край, г. Армавир,
ул. Кирова,9
Заявление-согласие
субъекта на получение его персональных
данных у третьей стороны.
Я, ________________________________________________________________,
(фамилия, имя,
отчество)
паспорт серия________ номер ___________,
выданный _____________________________________________________________________
____________________________________
«____» _____________ _________ года, в соответствии со статьей 86 Трудового
Кодекса Российской Федерации_____________________
(согласен / не согласен)
на получение моих персональных данных, а именно:
-
паспортные данные, ИНН;
-
данные страхового свидетельства государственного пенсионного страхования;
-
данные документов об образовании, квалификации или наличии специальных знаний;
-
анкетные данные, (в том числе сведения о семейном положении, перемене фамилии,
наличии детей и иждивенцев);
-
документы о возрасте малолетних детей и месте их обучения;
-
документы о состоянии здоровья детей и других родственников (включая справки об
инвалидности, о наличии хронических заболеваний);
-
документы о состоянии здоровья (сведения об инвалидности, о беременности и
т.п.);
-
сведения, содержащиеся в приказах о приеме, переводах, увольнении, повышении
заработной платы, премировании, поощрениях и взысканиях;
-
документы о прохождении аттестации, повышения квалификации;
-
иные документы, содержащие сведения, необходимые для расчета заработной платы,
выплаты стимулирующих и компенсационных выплат.
Для обработки в целях обеспечения
расчета и начисления заработной платы, уплаты налогов и выполнения иных
обязанностей в соответствии с действующим законодательством.
У следующих лиц
_____________________________________________________________
__________________________________________________________________________________________________________________________________________
(указать Ф.И.О.
физического лица или наименование организации, которым сообщаются данные)
Я также утверждаю, что ознакомлен с
возможными последствиями моего отказа дать письменное согласие на их получение.
« ___ » ____________ 20__ г.
____________________
(подпись)
Приложение 4
В
Муниципальное бюджетное
общеобразовательное
учреждение - средняя
общеобразовательная
школа № 6
352931,
Краснодарский край, г. Армавир,
ул. Кирова,9
Заявление-согласие
субъекта на передачу его персональных данных третьей стороне.
Я,__________________________________________________________________
,
(фамилия, имя,
отчество)
паспорт серия________ номер ___________,
выданный _____________________________________________________________________
____________________________________
«____» _____________ _________ года, в соответствии со статьей 86 Трудового
Кодекса Российской Федерации_____________________
(согласен
/ не согласен)
на передачу моих персональных данных, а
именно:
-
паспортные данные, ИНН;
-
данные страхового свидетельства государственного пенсионного страхования;
-
данные документов об образовании, квалификации или наличии специальных знаний;
-
анкетные данные, (в том числе сведения о семейном положении, перемене фамилии,
наличии детей и иждивенцев);
-
документы о возрасте малолетних детей и месте их обучения;
-
документы о состоянии здоровья детей и других родственников (включая справки об
инвалидности, о наличии хронических заболеваний);
-
документы о состоянии здоровья (сведения об инвалидности, о беременности и
т.п.);
-
сведения, содержащиеся в приказах о приеме, переводах, увольнении, повышении
заработной платы, премировании, поощрениях и взысканиях;
-
документы о прохождении аттестации, повышения квалификации;
-
иные документы, содержащие сведения, необходимые для расчета заработной платы,
выплаты стимулирующих и компенсационных выплат.
Для
обработки в целях обеспечения расчета и начисления заработной платы, уплаты
налогов и выполнения иных обязанностей в соответствии с действующим
законодательством.
Следующим лицам
_____________________________________________________________
_____________________________________________________________________
(указать Ф.И.О.
физического лица или наименование организации, которым сообщаются данные)
Я также утверждаю, что ознакомлен с
возможными последствиями моего отказа дать письменное согласие на их передачу.
« ___ » ____________ 20__ г.
____________________
(подпись)
Приложение 5
Соглашение
о неразглашении
персональных
данных субъекта (сотрудника школы)
Я,__________________________________________________________________
,
(фамилия, имя, отчество)
паспорт серия________ номер ___________,
выданный ______________________________
____________________________________
«____» _____________ _________ года, понимаю, что получаю доступ к персональным
данным работников Муниципального бюджетного общеобразовательного учреждения -
средняя общеобразовательная школа № 6.
Я также понимаю, что во время исполнения своих обязанностей, мне приходится
заниматься сбором, обработкой и хранением персональных данных.
Я понимаю, что разглашение такого рода информации может нанести ущерб субъектам
персональных данных, как прямой, так и косвенный.
В связи с этим, даю обязательство, при работе (сбор, обработка и хранение) с
персональными данными соблюдать все описанные в «Положении об обработке и
защите персональных данных» требования.
Я подтверждаю, что не имею права разглашать сведения:
-
анкетные и биографические данные;
-
сведения об образовании;
-
сведения о трудовом и общем стаже;
-
сведения о составе семьи;
-
паспортные данные;
-
сведения о воинском учете;
-
сведения о заработной плате сотрудника;
-
сведения о социальных льготах;
-
специальность;
-
занимаемая должность;
-
наличие судимостей;
-
адрес места жительства;
-
домашний телефон;
-
место работы или учебы членов семьи и родственников;
-
характер взаимоотношений в семье;
-
содержание трудового договора;
-
подлинники и копии приказов по личному составу;
-
личные дела и трудовые книжки сотрудников;
-
основания к приказам по личному составу;
-
дела, содержащие материалы по повышению квалификации и переподготовке, их
аттестации;
-
копии отчетов, направляемые в органы статистики.….
Я предупрежден (а) о том, что в случае разглашения мной сведений, касающихся
персональных данных или их утраты я несу ответственность в соответствии со ст.
90 Трудового Кодекса Российской Федерации.
« ___ » __________ 20__
г.
____________________
(подпись)
Ссылки:
[1] Федеральный закон от 27 июля 2006 г. № 152-ФЗ
«О персональных данных»: глава 1, ст. 3.
[2] Федеральный закон от 27.07.2006 №149-ФЗ «Об информации,
информационных технологиях и о защите информации», ст. 2.
[3] В законодательно определенных случаях
может предусматриваться необходимость предъявления при заключении трудового
договора дополнительных документов.
[4] ТК РФ, гл. 14, ст. 86, п. 3.
[5] ТК РФ, гл. 14, ст. 86, п. 4.
[6] ТК РФ, гл. 14, ст. 86, п. 5.
[7] ТК РФ, гл. 14, ст. 86, п. 1.
[8] ТК РФ, гл. 14, ст. 86, п. 2.
[9] ТК РФ, гл. 14, ст. 86, п. 6.
[10] ТК РФ, гл. 14, ст. 86, п. 7.
[11] ТК РФ, гл. 14, ст. 86, п. 8.
[12] ТК РФ, гл. 14, ст. 86, п. 9.
[13] ТК РФ, гл. 14, ст. 88.
[14] ТК РФ, гл. 14, ст. 87.
[15] Дата проставляется работником собственноручно.
[16] Регистрационный номер заявления проставляется сотрудником
организации после регистрации документа.
Приложение 4
к приказу по школе
от 21.08.2019 г. № 01-04/418
ПОЛОЖЕНИЕ
о защите, хранении, обработке и передаче
персональных данных обучающихся Муниципального бюджетного общеобразовательного
учреждения – средней общеобразовательной школы № 6
Настоящее
Положение разработано на основании Конституции Российской Федерации,
Федерального закона от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции
Совета Европы о защите физических лиц при автоматизированной обработке
персональных данных», Федерального закона от 27 июля 2006 г. № 152-ФЗ «Об
информации, информационных технологиях и о защите информации» и Постановления
Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении
Положения об обеспечении безопасности персональных данных при их обработке в
информационных системах персональных данных» с целью обеспечения уважения прав
и основных свобод каждого обучающегося при обработке его персональных данных, в
том числе защиты прав на неприкосновенность частной жизни, личную и семейную
тайну.
1.
Общие положения
1.1. Персональные данные
обучающегося – сведения о фактах, событиях и обстоятельствах жизни
обучающегося, позволяющие идентифицировать его личность, необходимые
администрации Муниципального бюджетного общеобразовательного учреждения –
средней общеобразовательной школы № 6 (далее – администрация школы) в связи с
отношениями обучения и воспитания обучающегося и касающиеся обучающегося.
1.2. К персональным
данным обучающегося относятся:
-
сведения, содержащиеся в свидетельстве о рождении, паспорте или ином документе,
удостоверяющем личность;
-
информация, содержащаяся в личном деле обучающегося;
-
информация, содержащаяся в личном деле обучающегося, лишенного родительского
попечения;
-
сведения, содержащиеся в документах воинского учета 9при их наличии);
-
информация об успеваемости;
-
информация о состоянии здоровья;
- документ
о месте проживания;
-
иные сведения, необходимые для определения отношения обучения и воспитания.
1.3. Администрация школы
может получить от самого обучающегося данные о:
-
фамилии, имени, отчестве, дате рождения, месте жительства
обучающегося;
-
фамилии, имени, отчестве родителей (законных представителей) обучающегося.
Иные персональные данные обучающегося,
необходимые в связи с отношениями обучения и воспитания, администрация школы
может получить только с письменного согласия одного из родителей (законного
представителя). К таким данным относятся документы, содержащие сведения,
необходимые для предоставления обучающемуся гарантий и компетенций,
установленным действующим законодательством:
-
документы о составе семьи;
-
документы о состоянии здоровья (сведения об инвалидности, о наличии хронических
заболеваний и т.п.);
-
документы, подтверждающие право на дополнительные гарантии и компенсации по
определенным основаниям, предусмотренным законодательством (родители-инвалиды,
неполная семья, ребенок-сирота и т.п.).
В случаях, когда администрация школы
может получить необходимые персональные данные обучающегося только у третьего
лица, администрация школы должна уведомить об этом одного из родителей
(законного представителя) заранее и получить от него письменное согласие.
1.4. Администрация школы
обязана сообщить одному из родителей (законному представителю) о целях,
способах и источниках получения персональных данных, а также о характере
подлежащих получению персональных данных и возможных последствиях отказа одного
из родителей (законного представителя) дать письменное согласие на их
получение.
1.5. Персональные данные
обучающегося являются конфиденциальной информацией и не могут быть использованы
администрацией школы или любым иным лицом в личных целях.
1.6. При определении объема
и содержания персональных данных обучающегося администрация руководствуется
Конституцией Российской Федерации, федеральными законами и настоящим
Положением.
2. Хранение, обработка
и передача персональных данных обучающегося
2.1. Обработка персональных
данных обучающегося осуществляется для обеспечения соблюдения законов и иных
нормативных правовых актов в целях воспитания и обучения обучающегося,
обеспечения его личной безопасности, контроля качества образования, пользования
льготами, предусмотренными законодательством Российской Федерации и локальными
актами школы.
2.2. Право доступа к
персональным данным обучающегося имеют:
-
работники управления образования (при наличии соответствующих полномочий,
установленных приказом управления образования);
-
директор школы;
-
заместители директора по учебно-воспитательной, учебно-методической,
воспитательной работе;
-
секретарь-делопроизводитель школы;
-
классные руководители (только к персональным данным обучающихся своего класса);
-
библиотекарь, социальный педагог, педагог-психолог, преподаватель-организатор
ОБЖ, допризывной подготовки, старшая вожатая;
-
медицинский работник.
2.3. Директор школы
осуществляет приём обучающегося в школу. Директор школы может передавать
персональные данные обучающегося третьим лицам, только если это необходимо в
целях предупреждения угрозы жизни и здоровья обучающегося, а также в случаях,
установленных федеральными законами.
2.4.
Секретарь-делопроизводитель:
-
принимает или оформляет вновь личное дело обучающегося и вносит в него
необходимые данные;
-
предоставляет свободный доступ родителям (законным представителям) обучающегося
к персональным данным на основании письменного заявления, к которому
прилагается копия документа, удостоверяющего личность, и копия документа,
подтверждающего полномочия законного представителя;
- не
имеет права предоставлять информацию об обучающемся родителю (законному
представителю) лишенному или ограниченному в родительских правах на основании
вступившего в законную силу постановления суда.
2.5. При передаче
персональных данных обучающихся сотрудники школы, имеющие право доступа к
персональным данным, обязаны не сообщать персональные данные обучающегося или
его родителей (законных представителей) без письменного согласия одного из
родителей (законного представителя), за исключением случаев, когда это
необходимо в целях предупреждения угрозы жизни и здоровью обучающегося, а также
в случаях, установленных федеральным законом.
2.6. Все сотрудники школы,
имеющие доступ к персональным данным обучающихся и их родителей (законных
представителей) предупреждаются об ответственности за их разглашение (Приложение
№ 1).
2.7. При передаче
персональных данных обучающегося директор, секретарь-делопроизводитель,
заместители директора по учебно-воспитательной, учебно-методической,
воспитательной работе, классные руководители, социальный педагог,
педагог-психолог, преподаватель-организатор ОБЖ, допризывной подготовки,
старшая вожатая, медицинский работник школы обязаны:
- предупредить лиц,
получающих данную информация, о том, что эти данные могут быть использованы
лишь в целях, для которых они сообщены;
- потребовать от этих
лиц письменное подтверждение соблюдения этого условия (Приложение №1).
2.8. Иные права,
обязанности, действия работников, в трудовые обязанности которых входит
обработка персональных данных обучающегося, определяются трудовыми договорами и
должностными инструкциями.
2.9. Все сведения о передаче
персональных данных обучающихся регистрируются в Журнале учета передачи
персональных данных обучающихся школы в целях контроля правомерности
использования данной информации лицами, её получившими.
3. Обязанности
работников, имеющих доступ к персональным данным обучающегося, по их хранению и
защите
3.1. Работники, имеющие
доступ к персональным данным обучающегося, обязаны:
3.1.1. Не сообщать персональные
данные обучающегося третьей стороне без письменного согласия одного из
родителей (законного представителя), кроме случаев, когда в соответствии с
федеральными законами такого согласия не требуется;
3.1.2. Использовать персональные
данные обучающегося, полученные только от него лично или с письменного согласия
одного из родителей (законного представителя);
3.1.3. Обеспечить защиту
персональных данных обучающегося от их неправомерного использования или утраты,
в порядке, установленном законодательством Российской Федерации;
3.1.4. Ознакомить родителя
(родителей) или законного представителя с настоящим Положением и их правами и обязанностями в области защиты персональных
данных, под роспись; соблюдать требования конфиденциальности персональных
данных обучающегося;
3.1.5. Исключать или исправлять по
письменному требованию одного из родителей (законного представителя)
обучающегося его недостоверные или неполные персональные данные, а также
данные, обработанные с нарушением требований законодательства;
3.1.6. Ограничивать персональные
данные обучающегося при передаче уполномоченным работникам правоохранительных
органов или работникам управления образования только той информацией, которая
необходима для выполнения указанными лицами их функций;
3.1.7. Запрашивать информацию о
состоянии здоровья обучающегося только у родителей (законных представителей);
3.1.8. Обеспечить обучающемуся или
одному из его родителей (законному представителю) свободный доступ к
персональным данным обучающегося, включая право на получение копий любой
записи, содержащей его персональные данные;
3.1.9. Предоставлять по требованию
одного из родителей (законного представителя) обучающегося полную информацию о
его персональных данных и обработке этих данных.
3.2. Лица, имеющие доступ к
персональным данным обучающегося, не вправе:
3.2.1. Получать и обрабатывать
персональные данные обучающегося о его религиозных и иных убеждениях, семейной
или личной жизни;
3.2.2. Предоставлять персональные
данные обучающегося в коммерческих целях.
3.3. При принятии решений затрагивающих интересы обучающегося, администрации
школы запрещается основываться на персональных данных, полученных исключительно
в результате их автоматизированной обработки или электронного получения.
4. Права и
обязанности обучающегося, родителя (законного представителя)
4.1. В целях обеспечения
защиты персональных данных, хранящихся у администрации школы, обучающийся,
родитель (законный представитель) имеют право на;
4.1.1. Требование об исключении
или исправлении неверных или неполных персональных
данных, а также данных, обработанных с нарушением требований законодательства.
При отказе администрации школы исключить или исправить персональные данные
обучающегося родитель (законный представитель) имеет право заявить в письменной
форме администрации школы о своем несогласии с соответствующим обоснованием
такого несогласия. Персональные данные оценочного характера родитель (законный
представитель) имеет право дополнить заявлением, выражающим его собственную
точку зрения;
4.1.2. Требование об извещении
администрацией школы всех лиц, которым ранее были сообщены неверные или
неполные персональные данные обучающегося, обо всех произведенных в них
исключениях, исправлениях или дополнениях;
4.1.3. Обжалование в суд любых
неправомерных действий или бездействий администрации школы при обработке и
защите персональных данных обучающегося;
4.1.4. Возмещение убытков и (или)
компенсацию морального вреда в судебном порядке.
4.2. Родитель (законный
представитель) обязан сообщать администрации школы сведения, которые могут
повлиять на принимаемые администрацией школы решения в отношении обучающегося.
5. Хранение
персональных данных обучающегося
5.1. Должны храниться в
запирающемся шкафу на бумажных носителях и на электронных носителях с
ограниченным доступом документы:
-
поступившие от родителя (законного представителя);
-
сведения об обучающемся, поступившие от третьих лиц с письменного согласия
родителя (законного представителя);
-
иная информация, которая касается отношений обучения и воспитания обучающегося.
6.
Ответственность администрации школы и её сотрудников.
6.1. Защита прав
обучающегося, установленных законодательством Российской Федерации и настоящим
Положением, осуществляется судом в целях пресечения неправомерного
использования персональных данных обучающегося, восстановления нарушенных прав
и возмещения причиненного ущерба, в том числе морального вреда.
6.2. Лица, виновные в
нарушении норм, регулирующих получение, обработку и защиту персональных данных
обучающегося, привлекаются к дисциплинарной и материальной ответственности, а
также привлекаются к гражданско-правовой, административной и уголовной
ответственности в порядке, установленном федеральными законами.
Приложение 1
Соглашение
о неразглашении
персональных
данных субъекта
(обучающегося
или родителя (законного представителя))
Я,__________________________________________________________________
,
(фамилия, имя,
отчество)
паспорт серия________ номер ___________,
выданный ______________________________
____________________________________
«____» _____________ _________ года, понимаю, что получаю доступ к персональным
данным обучающихся и их родителей (законных представителей) Муниципального
бюджетного общеобразовательного учреждения - средняя общеобразовательная школа № 6.
Я также понимаю, что во время исполнения своих обязанностей, мне приходится
заниматься сбором, обработкой и хранением персональных данных.
Я понимаю, что разглашение такого рода информации может нанести ущерб субъектам
персональных данных, как прямой, так и косвенный.
В связи с этим, даю обязательство, при работе (сбор, обработка и хранение) с
персональными данными соблюдать все описанные в «Положении об обработке и
защите персональных данных» требования.
Я подтверждаю, что не имею права разглашать сведения:
-
ФИО;
-
домашний адрес;
-
адрес электронной почты;
-
фото;
-
номер мобильного телефона;
-
сведения об успеваемости и достижениях учащегося;
-
сведения о соблюдении учащимися внутреннего распорядка школы;
-
сведения о жилищно-бытовых условиях проживания;
-
номер медицинского полиса;
-
сведения о состоянии здоровья;
-
данные медицинских осмотров, заключения и рекомендации врачей;
-
сведения об установлении инвалидности.
Я подтверждаю, что не имею право
разглашать сведения о родителях (законных представителях) обучающихся
Школы:
-
ФИО;
-
домашний адрес;
-
номера телефонов (домашний, служебный, мобильный);
-
место работы и занимаемой должности.
Я предупрежден (а) о том, что в случае разглашения мной сведений, касающихся
персональных данных или их утраты я несу ответственность в соответствии со ст.
90 Трудового Кодекса Российской Федерации.
« ___ » __________ 20__
г.
____________________
(подпись)
Приложение 5
к приказу по школе
от 21.08.2019 г. № 01-04/418
Инструкция
по обеспечению
безопасности персональных данных
1. Общие
положения
1.1. Настоящая Инструкция
разработана в соответствии со ст. 19 Федерального закона РФ от 27.07.2006 г. №
152-ФЗ «О персональных данных», на основании Федерального закона РФ от
27.07.2007 г. № 149-ФЗ «Об информации, информационных технологиях и о защите
информации», Постановления Правительства РФ от 17.01.2007 г. № 781 «Об
утверждении положения об обеспечении безопасности персональных данных при их
обработке в информационных системах персональных данных», Приказа Федеральной
службы по техническому и экспортному контролю (ФСТЭК России), Федеральной
службы безопасности РФ (ФСБ России), Министерства информационных технологий и
связи РФ (Мининформсвязи России) от 13.02.2008 г. №
55/86/20 «Об утверждении Порядка проведения классификации информационных систем
персональных данных», Письма Федерального агентства по образованию №
ФАО-6748/52/17-02-09/72 «Об обеспечении безопасности персональных данных»,
Положения о работе с персональными данными работников и учащихся.
1.2. Для обеспечения
безопасности персональных данных необходимо исключить несанкционированный, в
том числе случайный, доступ к персональным данным, результатом которого может
стать уничтожение, изменение, блокирование, копирование, распространение
персональных данных, а также иные несанкционированные действия.
1.3. Средства защиты
информации, предназначенные для обеспечения безопасности персональных данных
при их обработке в информационных системах, подлежат учету с использованием индексов
или условных наименований и регистрационных номеров.
1.4. Ответственность за
безопасность персональных данных возлагается на лиц, допущенных к их обработке.
2. Обеспечение
безопасности перед началом обработки персональных данных
2.1. Перед началом обработки
персональных данных необходимо изучить настоящую Инструкцию.
2.2. Перед началом обработки
персональных данных необходимо убедиться в том, что:
3.
Обеспечение безопасности во время обработки персональных данных
3.1.
Во время обработки персональных данных необходимо обеспечить:
4.
Обеспечение безопасности в экстремальных ситуациях
4.1.
При модификации или уничтожения персональных данных, вследствие
несанкционированного доступа к ним необходимо обеспечить возможность их
незамедлительного восстановления.
4.2.
При нарушении порядка предоставления персональных данных пользователям
информационной системы необходимо приостановить их предоставление.
4.3.
При обнаружении несанкционированного доступа к персональным данным необходимо
немедленно прервать этот доступ.
4.4.
В случае несоблюдения условий хранения носителей персональных данных,
использования средств защиты информации, которые могут привести к нарушению
конфиденциальности персональных данных или другим нарушениям, приводящим к
снижению уровня защищенности персональных данных необходимо произвести
разбирательство и составление заключений по данным фактам, разработку и
принятие мер по предотвращению возможных опасных последствий подобных
нарушений.
4.5.
Обо всех экстремальных ситуациях необходимо немедленно поставить в известность
директора школы и произвести разбирательство.
5.
Обеспечение безопасности при завершении обработки персональных данных
5.1.
После завершения сеанса обработки персональных данных необходимо обеспечить:
6.
Заключительные положения
6.1.
Проверка и пересмотр настоящей инструкции осуществляются в следующих случаях:
Ответственность за своевременную
корректировку настоящей инструкции возлагается на директора школы.
Приложение 6
к приказу по школе
от 21.08.2019 г. № 01-04/418
ИНСТРУКЦИЯ
администратора
информационных систем персональных данных
МБОУ -
СОШ № 6
1. Общие
положения
1.1. Администратор
информационных систем персональных данных (ИСПДн)
(далее – Администратор) назначается приказом директора МБОУ - СОШ № 6, на
основании Положение о разграничении прав доступа к обрабатываемым персональным
данным.
1.2. Администратор
подчиняется директору школы.
1.3. Администратор в своей
работе руководствуется настоящей инструкцией, руководящими и нормативными
документами ФСТЭК России и регламентирующими документами МБОУ - СОШ № 6.
1.4. Администратор отвечает
за обеспечение устойчивой работоспособности элементов ИСПДн
и средств защиты при обработке персональных данных.
2. Должностные
обязанности
Администратор
обязан:
2.1.
Знать и выполнять требования действующих нормативных и руководящих документов,
а также внутренних инструкций, руководства по защите информации и распоряжений,
регламентирующих порядок действий по защите информации.
2.2.
Обеспечивать установку, настройку и своевременное обновление элементов ИСПДн:
-
программного обеспечения автоматизированных рабочих мест (АРМ) и серверов
(операционные системы, прикладное и специальное программное обеспечение (ПО));
-
аппаратных средств;
-
аппаратных и программных средств защиты.
2.3.
Обеспечивать работоспособность элементов ИСПДн и
локальной вычислительной сети.
2.4.
Осуществлять контроль за порядком учета, создания, хранения и использования
резервных и архивных копий массивов данных, машинных (выходных) документов.
2.5.
Обеспечивать функционирование и поддерживать работоспособность средств защиты.
2.6.
В случае отказа работоспособности технических средств и программного
обеспечения элементов ИСПДн, в том числе средств
защиты информации, принимать меры по их своевременному восстановлению и
выявлению причин, приведших к отказу работоспособности.
2.7.
Проводить периодический контроль принятых мер по защите, в
пределах возложенных на него функций.
2.8.
Хранить, осуществлять прием и выдачу персональных паролей пользователей, осуществлять
контроль за правильностью использования персонального пароля Оператором ИСПДн.
2.9.
Обеспечивать постоянный контроль за выполнением пользователями установленного
комплекса мероприятий по обеспечению безопасности информации.
2.10. Информировать
ответственного за обеспечение защиты персональных данных о фактах нарушения
установленного порядка работ и попытках несанкционированного доступа к
информационным ресурсам ИСПДн.
2.11. Требовать
прекращения обработки информации, как в целом, так и для отдельных
пользователей, в случае выявления нарушений установленного порядка работ или
нарушения функционирования ИСПДн или средств защиты.
2.12. Обеспечивать
строгое выполнение требований по обеспечению безопасности информации при
организации обслуживания технических средств и отправке их в ремонт.
Техническое обслуживание и ремонт средств вычислительной техники,
предназначенных для обработки персональных данных, проводятся организациями,
имеющими соответствующие лицензии. При проведении технического обслуживания и
ремонта запрещается передавать ремонтным организациям узлы и блоки с элементами
накопления и хранения информации. Вышедшие из строя элементы и блоки средств
вычислительной техники заменяются на элементы и блоки, прошедшие специальные исследования
и специальную проверку.
2.13. Присутствовать
при выполнении технического обслуживания элементов ИСПДн,
сторонними физическими людьми и организациями.
2.14. Принимать меры
по реагированию, в случае возникновения внештатных ситуаций и аварийных
ситуаций, с целью ликвидации их последствий.
3. Права и
ответственность администратора ИСПДн
3.1.
Администратор ИСПДн имеет право в отведенное ему
время решать поставленные задачи в соответствии с полномочиями доступа к
ресурсам ИСПДн, в том числе производить установку и
настройку элементов ИСПДн, контролировать и
поддерживать работоспособность ИСПДн и выполнять
прочие действия в рамках должностных обязанностей.
3.2.
Администраторы ИСПДн, виновные в несоблюдении
Настоящей инструкции расцениваются как нарушители Федерального закона РФ
27.07.2006 г. N 152-ФЗ "О персональных данных" и несут гражданскую,
уголовную, административную, дисциплинарную и иную предусмотренную
законодательством Российской Федерации ответственность.
Приложение 7
к приказу по школе
от 21.08.2019 г. № 01-04/418
ИНСТРУКЦИЯ
пользователя
информационных систем персональных данных (ИСПДн)
в МБОУ -
СОШ № 6
1. Общие
положения
1.1.
Пользователь информационных систем персональных данных (ИСПДн)
(далее – Пользователь) осуществляет обработку персональных данных в
информационной системе персональных данных.
1.2.
Пользователем является каждый сотрудник МБОУ – СОШ № 6, участвующий в рамках
своих функциональных обязанностей в процессах автоматизированной обработки
информации и имеющий доступ к аппаратным средствам, программному обеспечению,
данным и средствам защиты.
1.3.
Пользователь несет персональную ответственность за свои действия.
1.4.
Пользователь в своей работе руководствуется настоящей инструкцией, руководящими
и нормативными документами ФСТЭК России и регламентирующими документами МБОУ -
СОШ № 6.
1.5.
Методическое руководство работой пользователя осуществляется ответственным за
обеспечение защиты персональных данных.
2. Должностные
обязанности
Пользователь обязан:
2.1.
Знать и выполнять требования действующих нормативных и руководящих документов,
а также внутренних инструкций, руководства по защите информации и распоряжений,
регламентирующих порядок действий по защите информации.
2.2.
Выполнять на автоматизированном рабочем месте (АРМ) только те процедуры,
которые определены для него в Положении о разграничении прав доступа к
обрабатываемым персональным данным.
2.3.
Знать и соблюдать установленные требования по режиму обработки персональных
данных, учету, хранению и пересылке носителей информации, обеспечению
безопасности ПДн, а также руководящих и
организационно-распорядительных документов.
2.4.
Соблюдать требования парольной политики.
2.5.
Соблюдать правила при работе в сетях общего доступа и (или) международного
обмена – Интернет и других.
2.6.
Экран монитора в помещении располагать во время работы так, чтобы исключалась
возможность несанкционированного ознакомления с отображаемой на них информацией
посторонними лицами, шторы на оконных проемах должны быть завешаны (жалюзи
закрыты).
2.7.
Обо всех выявленных нарушениях, связанных с информационной безопасностью МБОУ -
СОШ № 6, а так же для получений консультаций по
вопросам информационной безопасности, необходимо обратиться в МБОУ - СОШ № 6 по
электронной почте: armavir-shkola6@yandex.ru
или по телефону 3 23 76 .
2.8.
Для получения консультаций по вопросам работы и настройке элементов ИСПДн необходимо обращаться к Администратору ИСПДн.
2.9.
Пользователям запрещается:
-
разглашать защищаемую информацию третьим лицам;
-
копировать защищаемую информацию на внешние носители без разрешения своего
руководителя;
-
самостоятельно устанавливать, тиражировать, или модифицировать программное
обеспечение и аппаратное обеспечение, изменять установленный алгоритм
функционирования технических и программных средств;
-
несанкционированно открывать общий доступ к папкам на своей рабочей станции;
-
запрещено подключать к рабочей станции и корпоративной информационной сети
личные внешние носители и мобильные устройства;
-
отключать (блокировать) средства защиты информации;
-
обрабатывать на АРМ информацию и выполнять другие работы, не предусмотренные
перечнем прав пользователя по доступу к ИСПДн;
-
сообщать (или передавать) посторонним лицам личные ключи и атрибуты доступа к
ресурсам ИСПДн;
-
привлекать посторонних лиц для производства ремонта или настройки АРМ, без
согласования с ответственным за обеспечение защиты персональных данных.
2.10. При отсутствии
визуального контроля за рабочей станцией доступ к компьютеру должен быть
немедленно заблокирован. Для этого необходимо нажать одновременно комбинацию
клавиш <Ctrl><Alt><Del> и выбрать опцию <Блокировка>.
2.11. Принимать меры
по реагированию, в случае возникновения внештатных ситуаций и аварийных
ситуаций, с целью ликвидации их последствий, в пределах
возложенных на него функций.
3. Организация
парольной защиты
3.1.
Личные пароли доступа к элементам ИСПДн выдаются
пользователям Администратором информационной безопасности, Администратором ИСПДн или создаются самостоятельно.
3.2.
Полная плановая смена паролей в ИСПДн проводится не
реже одного раза в 3 месяца.
3.3.
Правила формирования пароля:
-
пароль не может содержать имя учетной записи пользователя или какую-либо его
часть;
-
пароль должен состоять не менее чем из 8 символов;
- в
пароле должны присутствовать символы трех категорий из числа следующих четырех:
1) прописные буквы
английского алфавита от A до Z;
2) строчные буквы
английского алфавита от a до z;
3) десятичные цифры
(от 0 до 9);
4) символы, не
принадлежащие алфавитно-цифровому набору (например, !,
$, #, %).
-
запрещается использовать в качестве пароля имя входа в систему, простые пароли
типа «123», «111», «qwerty» и им подобные, а так же имена и даты рождения своей личности и своих
родственников, клички домашних животных, номера автомобилей, телефонов и другие
пароли, которые можно угадать, основываясь на информации о пользователе;
-
запрещается использовать в качестве пароля один и тот же повторяющийся символ
либо повторяющуюся комбинацию из нескольких символов;
-
запрещается использовать в качестве пароля комбинацию символов, набираемых в
закономерном порядке на клавиатуре (например, 1234567 и т.п.);
-
запрещается выбирать пароли, которые уже использовались ранее.
3.4.
Правила ввода пароля:
-
ввод пароля должен осуществляться с учётом регистра, в котором пароль был
задан;
- во
время ввода паролей необходимо исключить возможность его подсматривания
посторонними лицами или техническими средствами (видеокамеры и др.).
3.5.
Правила хранение пароля:
-
запрещается записывать пароли на бумаге, в файле, электронной записной книжке и
других носителях информации, в том числе на предметах;
-
запрещается сообщать другим пользователям личный пароль и регистрировать их в
системе под своим паролем.
3.6.
Лица, использующие паролирование, обязаны:
-
четко знать и строго выполнять требования настоящей инструкции и других
руководящих документов по паролированию;
-
своевременно сообщать Администратору информационной безопасности об утере,
компрометации, несанкционированном изменении паролей и несанкционированном
изменении сроков действия паролей.
4.
Правила работы в сетях общего доступа и (или) международного обмена
4.1.
Работа в сетях общего доступа и (или) международного обмена (сети Интернет и
других) (далее – Сеть) на элементах ИСПДн, должна
проводиться при служебной необходимости.
4.2.
При работе в Сети запрещается:
-
осуществлять работу при отключенных средствах защиты (антивирус и других);
-
передавать по Сети защищаемую информацию без использования средств шифрования;
-
запрещается скачивать из Сети программное обеспечение и другие файлы;
-
запрещается посещение сайтов сомнительной репутации (порно-сайты, сайты,
содержащие нелегально распространяемое ПО и другие);
-
запрещается нецелевое использование подключения к Сети.
5. Права и
ответственность пользователей ИСПДн
5.1.
Пользователь имеет право в отведенное ему время решать поставленные задачи в
соответствии с полномочиями доступа к ресурсам ИСПДн.
5.2.
Пользователи, виновные в несоблюдении Настоящей инструкции расцениваются как
нарушители Федерального закона РФ 27.07.2006 г. N 152-ФЗ "О персональных
данных" и несут гражданскую, уголовную, административную, дисциплинарную и
иную предусмотренную законодательством Российской Федерации ответственность.
Приложение 8
к приказу по школе
от 21.08.2019 г. № 01-04/418
ИНСТРУКЦИЯ
пользователя
ИСПДн по обеспечению безопасности обработки
персональных данных при возникновении внештатных ситуаций
1. Назначение и
область действия
1.1.
Настоящая инструкция определяет возможные аварийные ситуации, связанные с
функционированием ИСПДн МБОУ - СОШ № 6, меры и
средства поддержания непрерывности работы и восстановления работоспособности ИСПДн после аварийных ситуаций.
1.2.
Целью настоящего документа является превентивная защита элементов ИСПДн от прерывания в случае реализации рассматриваемых
угроз.
1.3.
Задачей настоящей Инструкции является:
1.4.
Действие настоящей Инструкции распростаняется на всех
пользователей, имеющих доступ к ресурсам ИСПДн, а
также на основные системы обеспечения непрерывности работы и восстановления
ресурсов при возникновении аварийных ситуаций, в том числе:
1.5.
Пересмотр настоящего документа осуществляется по мере необходимости, но не реже
одного раза в два года.
2. Порядок
реагирования на аварийную ситуацию
2.1.
Действия при возникновении аварийной ситуации
2.1.1. В настоящем документе под
аварийной ситуацией понимается некоторое происшествие, связанное со сбоем в
функционировании элементов ИСПДн, предоставляемых
пользователям ИСПДн. Аварийная ситуации становится
возможной в результате реализации одной из угроз, приведенных в таблице
«Источники угроз».
Источники угроз
|
|
Технологические угрозы |
|
1 |
Пожар в здании |
|
2 |
Повреждение водой (прорыв системы водоснабжения,
канализационных труб, систем охлаждения) |
|
3 |
Взрыв (бытовой газ, теракт, взрывчатые вещества или приборы,
работающие под давлением) |
|
4 |
Химический выброс в атмосферу |
|
|
Внешние угрозы |
|
5 |
Массовые беспорядки |
|
6 |
Сбои общественного транспорта |
|
7 |
Эпидемия |
|
8 |
Массовое отравление персонала |
|
|
Стихийные бедствия |
|
9 |
Удар молнии |
|
10 |
Сильный снегопад |
|
11 |
Сильные морозы |
|
12 |
Просадка грунта (подмыв грунтовых вод, подземные работы) с
частичным обрушением здания |
|
13 |
Затопление водой в период паводка |
|
14 |
Наводнение, вызванное проливным дождем |
|
15 |
Подтопление здания (воздействие подпочвенных вод, вызванное
внезапным и непредвиденным повышением уровня грунтовых вод) |
|
|
Телекоммуникационные и ИТ угрозы |
|
16 |
Сбой системы кондиционирования |
|
17 |
Сбой ИТ – систем |
|
|
Угроза, связанная с человеческим фактором |
|
18 |
Ошибка персонала, имеющего доступ к серверной |
|
19 |
Нарушение конфиденциальности, целостности и доступности
конфиденциальной информации |
|
|
Угрозы, связанные с внешними поставщиками |
|
20 |
Отключение электроэнергии |
|
21 |
Сбой в работе Интернет-провайдера |
|
22 |
Физический разрыв внешних каналов связи |
2.1.2. Все действия в процессе
реагирования на аварийные ситуации должны документироваться ответственным за
реагирование сотрудником в «Журнале по учету мероприятий по контролю».
2.1.3. В кратчайшие сроки, не
превышающие одного рабочего дня, ответственные за реагирование сотрудники Школы
(Администратор безопасности, Администратор и Оператор ИСПДн)
предпринимают меры по восстановлению работоспособности системы. Принимаемые
меры по возможности согласуются с вышестоящим руководством. По мере
необходимости, иерархия может быть нарушена, с целью получения
высококвалифицированной консультации в кратчайшие сроки.
2.2.
Уровни реагирования на инцидент
При реагировании на инцидент, важно,
чтобы пользователь правильно классифицировал критичность инцидента. Критичность
оценивается на основе следующей классификации:
К авариям относятся следующие инциденты:
1. Отказ элементов ИСПДн
и средств защиты из-за:
-
повреждения водой (провыв системы водоснабжения, канализационных труб, систем
охлаждения), а также подтопления в период паводка или проливных дождей;
-
сбоя системы кондиционирования.
2. Отсутствие Администратора ИСПДн и Администратора безопасности более чем на сутки
из-за:
-
химического выброса в атмосферу;
-
сбоев общественного транспорта;
-
эпидемии;
-
массового отравления персонала;
-
сильного снегопада;
-
сильных морозов.
К катастрофам относятся следующие
инциденты:
-
пожар в здании;
-
взрыв;
-
просадка грунта с частичным обрушением здания;
-
массовые беспорядки в непосредственной близости от объекта.
3.1.
Технические меры
3.1.1. К техническим мерам
обеспечения непрерывной работы и восстановления относятся программные,
аппаратные и технические средства и системы, используемые для предотвращения и
возникновения аварийных ситуаций, такие как:
Системы жизнеобеспечения ИСПДн включают:
3.1.2. Все критические помещения
МБОУ - СОШ № 6 (помещения, в которых размещаются элементы ИСПДн
и средства защиты) должны быть оборудованы средствами пожарной сигнализации и
пожаротушения.
3.1.3. Порядок предотвращения
потерь информации и организации системы жизнеобеспечения ИСПДн
описан в Порядке резервирования и восстановления работоспособности технических
систем и программного обеспечения, баз данных и средств защиты информации.
3.2.
Организационные
меры
3.2.1. Ответственные за
реагирование сотрудники ознакомляют всех сотрудников МБОУ - СОШ № 6,
находящихся в их зоне ответственности, с данной Инструкцией в срок, не
превышающий трех рабочих дней с момента выхода нового сотрудника на работу. По
окончании ознакомления сотрудник расписывается в листе ознакомления. Подпись
сотрудника должна соответствовать его подписи в документе, удостоверяющем его
личность.
3.2.2. Должно быть проведено
обучение должностных лиц МБОУ - СОШ № 6, имеющих доступ к ресурсам ИСПДн, порядку действий при возникновении аварийных
ситуаций. Должностные лица должны получить базовые знания в следующих областях:
3.2.3. Администраторы ИСПДн и Администраторы безопасности должны быть дополнительно
обучены методам частичного и полного восстановления работоспособности элементов
ИСПДн.
Навыки и знания должностных лиц по
реагированию на аварийные ситуации должны регулярно проверяться. При
необходимости должно проводиться дополнительное обучение должностных лиц
порядку действий при возникновении аварийной ситуации.
Приложение 9
к приказу по школе
от 21.08.2019 г. № 01-04/418
ИНСТРУКЦИЯ
по
организации антивирусной защиты в Муниципальном бюджетном общеобразовательном
учреждении - средней общеобразовательной школе № 6
- на
защищаемом автоматизированном рабочем месте (АРМ) - ответственным за
обеспечение информационной безопасности.
-
приостановить работу;
-
немедленно поставить в известность о факте обнаружения зараженных вирусом
файлов руководителя и ответственного за антивирусную защиту Школы, владельца
зараженных файлов, а также сотрудников, использующих эти файлы в работе;
-
совместно с владельцем зараженных вирусом файлов провести анализ необходимости
дальнейшего их использования;
-
провести лечение или уничтожение зараженных файлов.