положение о разграничении прав доступа к обрабатываемым персональным данным в школе
Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости (включая «Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости» и приложения (26 шт.))
5.10. Рекомендации по разработке Положения о разграничении прав доступа к обрабатываемым персональным данным
Положение о разграничении прав доступа к обрабатываемым персональным данным определяет список лиц ответственных за обработку ПДн и уровень их доступа.
Пример Положения о разграничении прав доступа к обрабатываемым персональным данным.
1) Быть оформлено в соответствии с внутренним порядком документооборота Учреждения.
2) Быть утверждено Руководителем Учреждения, на основании Отчета о результатах проведения внутренней проверки.
Дата введения Положения, должна быть последующей после проведения внутренней проверки и принятия отчета о проведении внутренней проверки.
3) В Приложениях к Положению для каждой ИСПДн должен быть представлен список групп пользователей участвующих в обработке. Список групп пользователей берется из Отчета о результатах проведения внутренней проверки.
4) В Приложениях к Положению для каждой ИСПДн должен быть представлен поименный список сотрудников, ответственных за обработку ПДн. Список групп пользователей берется из Отчета о результатах проведения внутренней проверки.
Приложение N 4. Положение о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных Госадмтехнадзора Московской области
к приказу начальника Госадмтехнадзора
от 29 апреля 2016 г. N 35-Пр-о
Положение
о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных Госадмтехнадзора Московской области
1.1. В данном документе представлен список лиц, ответственных за обработку ПДн в ИСПДн Госадмтехнадзора Московской области, а также их уровень прав доступа к обрабатываемым персональным данным.
1.2. Разграничение прав осуществляется на основании законодательства Российской Федерации, исходя из характера и режима обработки ПДн в ИСПДн.
1.3 Список лиц, ответственных за обработку ПДн, а также их уровень прав доступа в ИСПДн представлен в таблице:
Уровень доступа к ПДн
Разрешенные действия с ПДн
ФИО должностного лица
Обладает полной информацией о системном и прикладном программном обеспечении ИСПДн.
Обладает полной информацией о технических средствах и конфигурации ИСПДн.
Имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн.
Обладает правами конфигурирования и административной настройки технических средств ИСПДн.
Сбор, систематизация, накопление, хранение, уточнение, использование, уничтожение.
Обладает правами администратора ИСПДн.
Обладает полной информацией об ИСПДн.
Имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн. Не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных). Обладает всеми необходимыми атрибутами и правами, обеспечивающими доступ ко всем ПДн.
Сбор, систематизация, накопление, хранение, уточнение, использование, уничтожение
Пользователи ИСПДн с правами чтения и записи
Обладает всеми необходимыми атрибутами и правами, обеспечивающими доступ ко всем ПДн.
Сбор, систематизация, накопление, хранение, уточнение, использование, уничтожение
Туманова И.Н., Джурко Е.И., Зыкина И.В., Потапова С.А., Ларин И.А., Мельник Е.А., Скворцова В.В., Павлова Е.И., Кузьмина Н.В., Новикова М.Н., Жалеева Э.Р., Шапурина Е.В., Хопачева Т.В., Булавницева Е.М., Кирюшина Т.В., Климова С.В., Боброва Е.К., Лубова О.В., Лапина Е.М.
Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение 10. Положение о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных учреждения здравоохранения, социальной сферы, труда и занятости
Министерство здравоохранения и социального развития Российской Федерации
УТВЕРЖДАЮ
_______________________
_______________________
«__» ____________ 2009 г.
Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости
Положение
о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных учреждения здравоохранения, социальной сферы, труда и занятости
В данном документе представлен список лиц ответственных за обработку персональных данных в информационных системах персональных данных, а так же их уровень прав доступа к обрабатываемым персональным данным.
Разграничение прав осуществляется на основании Отчета по результатам проведения внутренней проверки, а так же исходя из характера и режима обработки персональных данных в ИСПДн.
Список лиц ответственных за обработку персональных данных в информационных системах персональных данных, а так же их уровень прав доступа для каждой ИСПДн представлен в Приложении NN____.
Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Положение о разграничении прав доступа к обрабатываемым персональным данным в МБОУ «Сакмарская СОШ»
Директор МБОУ «Сакмарская СОШ»
о разграничении прав доступа к обрабатываемым персональным данным
В МБОУ «Сакмарская СОШ»
2. ОСНОВНЫЕ ПОНЯТИЯ
Для целей настоящего Положения используются следующие основные понятия:
— персональные данные учащихся – информация, необходимая образовательному учреждению в связи с отношениями, возникающими между обучающимся, его родителями (законными представителями) и образовательным учреждением.
3. разграничение прав доступа при автоматизированной обработке персональных данНых
3.1. Разграничение прав осуществляется на основании Отчета по результатам проведения внутренней проверки, а так же исходя из характера и режима обработки персональных данных.
3.2. Список групп должностных лиц ответственных за обработку персональных данных в информационных системах персональных данных, а так же их уровень прав доступа в «Хронографе» представлен в таблице № 1
Уровень доступа к ПДн
— Обладает полной информацией о системном и прикладном программном обеспечении.
— Обладает полной информацией о технических средствах и конфигурации.
— Имеет доступ ко всем техническим средствам обработки информации и данным.
— Обладает правами конфигурирования и административной настройки технических средств.
— Обладает правами Администратора.
— Обладает полной информацией об.
— Имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов.
— Не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных).
Обладает всеми необходимыми атрибутами и правами, обеспечивающими доступ ко всем ПДн.
4. Разграничение прав доступа при неавтоматизированной обработке персональных данНых
4.1. Разграничение прав осуществляется исходя из характера и режима обработки персональных данных на материальных носителях.
4.2. Список лиц ответственных за неавтоматизированную обработку персональных, а так же их уровень прав доступа к персональным данным представлен в таблице № 2.
Уровень доступа к ПДн
— Обладает полной информацией о персональных данных учащихся и их родителей, работников школы.
— Имеет доступ к личным делам учащихся и работников, информации на материальных носителях, содержащей персональные данные учащихся, их родителей (законных представителей) и работников школы.
— сбор и систематизация
— накопление и хранение
— уточнение (обновление, изменение)
— Имеет доступ к личным делам учащихся, информации на материальных носителях, содержащей персональные данные учащихся, их родителей.
— сбор и систематизация
— накопление и хранение
— уточнение (обновление, изменение)
— Имеет доступ к личным делам учащихся и информации на материальных носителях, содержащей персональные данные учащихся только своего класса.
— сбор и систематизация
— уточнение (обновление, изменение)
Воспитатели групп продленного дня, педагоги дополнительного образования.
— Имеет доступ к информации на материальных носителях (классный журнал, журнал группы продленного дня, журнал работы объединения в системе дополнительного образования), содержащей персональные данные учащихся и контактной информации родителей учащихся своей группы (кружка, секции).
— уточнение (обновление, изменение)
— Имеет доступ к информации на материальных носителях (классный журнал), содержащей персональные данные учащихся и контактной информации родителей учащихся классов, обучающихся предмету учителя.
— Имеет доступ к информации на материальных носителях (формуляр читателя библиотеки), содержащей персональные данные учащихся
* Распространение (передача) информации, содержащей персональные данные, может быть осуществлена только с разрешения администрации школы в соответствии с Положением о порядке обработки и защиты персональных данных работников и учащихся ГОУ средняя общеобразовательная школа № 000 и в установленном действующим законодательством порядке.
ПОЛОЖЕНИЕ о порядке обработки персональных данных учащихся
Директор МБОУ СШ № 51
к приказу № 301 от 26.08.2016 г.
о порядке обработки персональных данных учащихся
1.1. Настоящее Положение о порядке обработки персональных данных в МБОУ СШ № 51 разработано в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон), постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и устанавливает единый порядок обработки персональных в МБОУ СШ № 51 муниципального образования «Город Архангельск» (далее – Школа).
1.2. В целях настоящего Положения используются следующие термины и понятия:
персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). в том числе его фамилия, имя, отчество, год, месяц, дата и место его рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
обработка персональных данных без использования средств автоматизации (неавтоматизированная) – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлечённых из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
2. Основные условия проведения обработки персональных данных
2.1. Обработка персональных данных осуществляется:
после получения согласия субъекта персональных данных, согласно его заявлению, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона;
после принятия необходимых мер по защите персональных данных.
2.2. В школе назначается сотрудник, ответственный за защиту персональных данных, и определяется перечень лиц, допущенных к обработке персональных данных.
2.3. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают соглашение о неразглашении информации, содержащей персональные данные (Приложение № 1).
обрабатывать персональные данные в присутствии лиц, не допущенных к их обработке;
осуществлять ввод персональных данных под диктовку.
3. Порядок определения защищаемой информации
3.1. Школа наполняет персональными данными в пределах своих полномочий, установленных в соответствии с федеральными законами, автоматизированные информационные системы персональных данных в целях обеспечения реализации прав объектов персональных данных.
3.2. Школой определяются цели о содержание обработки персональных данных, утверждается перечень обрабатываемых персональных данных.
4. Порядок обработки персональных данных в информационных системах персональных данных с использованием АИС «ЭлЖур»
4.1. Обработка персональных данных в ЭлЖур осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке и информационных системах персональных данных», нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.
4.2. Мероприятия по обеспечению безопасности персональных данных на стадии ввода объектов информатизации проводятся в соответствии с приказом ФСТЭК России от 05.02.2010 г. № 58 «О методах и способах защиты информации в информационных системах персональных данных
5. Порядок обработки персональных данных без использования средств автоматизации
5.1. Обработка персональных данных без использования средств автоматизации (далее – неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.
5.2. При неавтоматизированной обработке различной категории персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.
5.3. При неавтоматизированной обработке персональных данных на бумажных носителях:
не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы;
персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
5.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовые формы). Должны соблюдаться следующие условия:
5.4.1. Типовая форма или связанные с ней документы (инструкция по её заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
5.4.3. Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
5.4.4. Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
5.5. Неавтоматизированная обработка персональных данных в электронном виде осуществляется на внешних электронных носителях информации.
5.6. Электронные носители информации, содержащие персональные данные, учитываются в журнале учета электронных носителей персональных данных (Приложение № 2). К каждому электронному носителю оформляется опись файлов, содержащихся на нем, с указанием цели обработки и категории персональных данных.
5.7. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых шкафах. При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
5.8. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, зафиксированных на материальном носителе (удаление, вымарывание).
6. Ответственность должностных лиц
6.1. Работники Школы, допущенные к персональным данным, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.