Постановление Администрации муниципального образования — Новомичуринское городское поселение Пронского муниципального района Рязанской области от 28.03.2014 N 124

Об утверждении Правил работы с обезличенными данными

В целях реализации Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", в соответствии с Постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" администрация муниципального образования - Новомичуринское городское поселение постановляет:
1. Утвердить Правила работы с обезличенными данными согласно приложению к настоящему постановлению.
2. Назначить инженера - системного программиста Наконечного Игоря Николаевича ответственным за проведение мероприятий по обезличиванию обрабатываемых персональных данных в администрации Новомичуринского городского поселения.
3. Настоящее постановление подлежит официальному опубликованию в газете "Муниципальный вестник".
4. Общему отделу администрации Новомичуринского городского поселения (Е.В.Колекина):
4.1. Разместить настоящее постановление на официальном сайте администрации муниципального образования - Новомичуринское городское поселение в сети Интернет в течение 10 дней после его утверждения;
4.2. Ознакомить под роспись муниципальных служащих администрации Новомичуринского городского поселения с настоящим постановлением.
5. Настоящее постановление вступает в силу с момента его официального опубликования.
6. Контроль за исполнением настоящего постановления возложить на заместителя главы Новомичуринского городского поселения Кирьянова И.В.

Глава Новомичуринского городского поселения И.Н.КРЕЧКО

Приложение к Постановлению администрации Новомичуринского городского поселения от 28 марта 2014 г. N 124

ПРАВИЛА РАБОТЫ С ОБЕЗЛИЧЕННЫМИ ДАННЫМИ


1. Термины и определения

Перечень сокращений:

ПДн
Персональные данные
НСД
Несанкционированный доступ
АИС
Автоматизированная информационная система
ИСПДн
Информационная система персональных данных
Администрация
Администрация Новомичуринского городского поселения

В рамках данного документа используются следующие термины и определения:
Доступ к информации - возможность получения информации и ее использования.
Защита информации от несанкционированного доступа (защита от НСД) или воздействия - деятельность, направленная на предотвращение получения информации заинтересованным субъектом (или воздействия на информацию) с нарушением установленных прав или правил.
Информация - сведения (сообщения, данные) независимо от формы их представления.
Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
АИС Администрации - объединение информационных систем, в том числе информационных систем персональных данных, компьютерного, телекоммуникационного и офисного оборудования всех отделов (подразделений) Администрации, посредством их подключения к единой компьютерной сети передачи данных с использованием различных физических и логических каналов связи.
Нарушение информационной безопасности - событие, при котором компрометируется один или несколько аспектов безопасности информации (доступность, конфиденциальность или целостность).
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Пользователь информационной системы - сотрудник Администрации (штатный, временный, работающий по контракту и т.п.), а также прочие лица (подрядчики, аудиторы и т.п.), зарегистрированные в АИС Администрации в установленном порядке.

2. Общие положения

Настоящие Правила работы с обезличенными персональными данными Администрации разработаны с учетом Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", Постановления Правительства РФ от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных", Приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (с приложением "Требований и методов по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ") и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

3. Порядок работы с обезличенными ПДн

Обезличивание ПДн должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых ПДн.
К свойствам обезличенных данных относятся:
- полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);
- структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);
- релевантность (возможность обработки запросов по обработке ПДн и получения ответов в одинаковой семантической форме);
- семантическая целостность (сохранение семантики ПДн при их обезличивании);
- применимость (возможность решения задач обработки ПДн, стоящих перед оператором, осуществляющим обезличивание ПДн, обрабатываемых в ИСПДн, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее - оператор, операторы), без предварительного деобезличивания всего объема записей о субъектах);
- анонимность (невозможность однозначной идентификации субъектов ПДн, полученных в результате обезличивания, без применения дополнительной информации).
К характеристикам (свойствам) методов обезличивания ПДн (далее - методы обезличивания), определяющим возможность обеспечения заданных свойств обезличенных данных, относятся:
- обратимость (возможность преобразования, обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность ПДн конкретному субъекту, устранить анонимность);
- вариативность (возможность внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных);
- изменяемость (возможность внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания);
- стойкость (стойкость метода к атакам на идентификацию субъекта ПДн);
- возможность косвенного деобезличивания (возможность проведения деобезличивания с использованием информации других операторов);
- совместимость (возможность интеграции ПДн, обезличенных различными методами);
- параметрический объем (объем дополнительной (служебной) информации, необходимой для реализации метода обезличивания и деобезличивания);
- возможность оценки качества данных (возможность проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям).
Требования к методам обезличивания подразделяются на:
- требования к свойствам обезличенных данных, получаемых при применении метода обезличивания;
- требования к свойствам, которыми должен обладать метод обезличивания.
К требованиям к свойствам получаемых обезличенных данных относятся:
- сохранение полноты (состав обезличенных данных должен полностью соответствовать составу обезличиваемых ПДн);
- сохранение структурированности обезличиваемых ПДн;
- сохранение семантической целостности обезличиваемых ПДн;
- анонимность отдельных данных не ниже заданного уровня (количества возможных сопоставлений обезличенных данных между собой для деобезличивания как, например, k-anonymity).
К требованиям к свойствам метода обезличивания относятся:
- обратимость (возможность проведения деобезличивания);
- возможность обеспечения заданного уровня анонимности;
- увеличение стойкости при увеличении объема обезличиваемых ПДн.
Методы обезличивания должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам), быть практически реализуемыми в различных программных средах и позволять решать поставленные задачи обработки ПДн.
Обезличенные ПДн не подлежат разглашению и нарушению конфиденциальности.
Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
При обработке обезличенных ПДн с использованием средств автоматизации необходимо соблюдение:
- парольной политики;
- антивирусной политики;
- правил работы со съемными носителями (если они используется);
- правил резервного копирования;
- правил доступа в помещения, где расположены элементы информационных систем.
При обработке обезличенных ПДн без использования средств автоматизации необходимо соблюдение:
- правил хранения бумажных носителей;
- правил доступа к ним и в помещения, где они хранятся.

Ответственность

Ответственность за осуществление общего контроля выполнения требований настоящих Правил несет ответственный за организацию обработки ПДн в Администрации.
Ответственность за выполнение настоящих Правил возлагается на всех сотрудников Администрации, допущенных к обработке ПДн.
Сотрудник Администрации несет ответственность за все действия, совершенные от имени его учетной записи, если не доказан факт несанкционированного использования учетной записи другими лицами при соблюдении пользователем требований настоящих Правил.
Сотрудники Администрации несут персональную ответственность за ущерб, причиненный Администрации и субъектам ПДн вследствие нарушения ими установленных требований в области обработки и обеспечения защиты ПДн, в соответствии с законодательством Российской Федерации.