Политика информационной безопасности ГУ - Амурского регионального отделения Фонда социального страхования РФ в части обработки персональных данных
1. Общие положения
1.1.
Настоящей Политикой регулируются отношения, связанные с обработкой персональных
данных, осуществляемой Государственным учреждением – Амурским региональным
отделением Фонда социального страхования Российской Федерации (далее -
региональное отделение Фонда) с использованием средств автоматизации и без
использования таких средств. Действие Политики не распространяется на
отношения, возникающие при обработке персональных данных, отнесенных в
установленном
порядке к сведениям,
составляющим государственную тайну.
1.2. Региональное отделение Фонда для автоматизированной обработки персональных данных использует сервисы доступные в Амурском региональном сегменте Федеральной Государственной информационной системы «ЕИИС Соцстрах» (далее - ЕИИС «Соцстрах») ФГИС «ЕИИС «Соцстрах» включена в реестр Федеральных Государственных информационных систем.
1.3. Региональное отделение Фонда обрабатывает персональные данные субъектов персональных данных в следующих целях:
- предоставление региональным отделением Фонда государственных услуг;
- осуществление функций работодателя.
1.4. Основные понятия, используемые в настоящей Политике:
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
- оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- угроза безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;
- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2. Правовые основания обработки персональных данных
2.1. Региональное отделение Фонда является оператором персональных данных.
2.2. Региональное отделение Фонда обрабатывает персональные данные своих работников, застрахованных лиц, страхователей, инвалидов и отдельных категорий граждан из числа ветеранов техническими на основании:
- Трудового Кодекса Российской Федерации;
- Федерального закона от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;
- Федерального закона от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
- Федерального закона от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
- Федерального закона от 19.05.1999 № 81-ФЗ «О государственных пособиях гражданам, имеющим детей»;
- Федерального закона от 24.11.1995 № 181-ФЗ «О социальной защите инвалидов в Российской Федерации»;
- Федерального закона от 17.07.1999 № 178-ФЗ «О государственной социальной помощи»;
- Постановления Правительства РФ от 21.04.2011 № 294 «Об особенностях финансового обеспечения, назначения и выплаты в 2012 - 2020 годах территориальными органами Фонда социального страхования Российской Федерации застрахованным лицам страхового обеспечения по обязательному социальному страхованию на случай временной нетрудоспособности и в связи с материнством и по обязательному социальному страхованию от несчастных случаев на производстве и профессиональных заболеваний, осуществления иных выплат и возмещения расходов страхователя на предупредительные меры по сокращению производственного травматизма и профессиональных заболеваний работников, а также об особенностях уплаты страховых взносов по обязательному социальному страхованию на случай временной нетрудоспособности и в связи с материнством и по обязательному социальному страхованию от несчастных случаев на производстве и профессиональных заболеваний»;
- иных нормативных правовых актов Российской Федерации, регулирующих правоотношения: по обязательному социальному страхованию от несчастных случаев на производстве и профессиональных заболеваний, по обязательному социальному страхованию на случай временной нетрудоспособности и в связи с материнством, по обеспечению инвалидов и отдельных категорий граждан из числа ветеранов техническими средствами реабилитации / протезно-ортопедическими изделиями / услугами, по предоставлению инвалидам и отдельным категориям граждан из числа ветеранов, при наличии у них медицинских показаний, путевок на санаторно-курортное лечение и бесплатного проезда к месту лечения и обратно.
2.3. Региональное отделение Фонда обрабатывает персональные данные специальных категорий в соответствии со ст. 10 Федерального закона от 27.07.2006 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ).
3. Принципы и условия обработки персональных данных
3.1. Обработка персональных данных осуществляется на законной и справедливой основе.
3.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.4. В информационной системе регионального отделения Фонда обрабатываются только персональные данные, отвечающие целям их обработки.
3.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки.
3.6. При обработке персональных данных обеспечены точность персональных данных, их достаточность, актуальность по отношению к целям обработки персональных данных. Региональное отделение Фонда принимает необходимые меры по удалению или уточнению неполных, или неточных данных.
3.7. В региональном отделении Фонда обеспечивается конфиденциальность персональных данных.
3.8. Хранение персональных данных на бумажных носителях осуществляется в соответствии Федеральным законом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Законом Амурской области 27.06.2005 № 21-ОЗ «Об управлении архивным делом в Амурской области», Приказом ФСС РФ от 02.07.1999 № 102 "Об утверждении Правил учета и хранения в исполнительных органах Фонда социального страхования Российской Федерации документов, подтверждающих право пострадавших на обеспечение по обязательному социальному страхованию от несчастных случаев на производстве и профессиональных заболеваний»
3.9. Права субъекта персональных данных реализованы в соответствии со ст. 14 Федерального закона № 152-ФЗ.
3.10. Субъекту персональных данных в соответствии со ст. 17 Федерального закона № 152-ФЗ предоставлено право на обжалования действий или бездействия оператора персональных данных.
4. Меры, направленные на обеспечение выполнения региональным отделением Фонда обязанностей, предусмотренных действующим Российским законодательством в области защиты персональных данных
4.1. Проведена классификация регионального сегмента ЕИИС «Соцстрах» по уровню защищенности в соответствии с Постановлением Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
4.2. Определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.
4.3. Проведена классификация ЕИИС «Соцстрах» по требованиям к классу защищенности регионального сегмента ЕИИС «Соцстрах» в соответствии с приказом ФСТЭК от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей Государственную тайну, содержащейся Государственных информационных системах».
4.4. Разработан и внедрен комплекс технических и организационно-распорядительных мероприятий в соответствии с действующим Российским законодательством в области защиты информации, в том числе:
4.4.1. Назначены ответственные лица:
- за организацию обработки персональных данных;
- за обеспечение защиты персональных данных при их обработке с использованием ЕИИС «Соцстрах»;
- за обеспечение защиты персональных данных при их обработке без использования средств автоматизации.
4.4.2. Создана комиссия по защите персональных данных.
4.4.3. Назначено структурное подразделение, ответственное за обеспечение защиты конфиденциальной информации, в т.ч. персональных данных при их обработке в ЕИИС «Соцстрах».
4.4.4. Установлен порядок доступа к персональным данным, обрабатываемым в ЕИИС «Соцстрах», а также обеспечена регистрация и учета всех действий, совершаемых с персональными данными в ЕИИС «Соцстрах».
4.4.5. Организован учет машинных носителей персональных данных.
4.4.6. Для технической защиты информации применяются средства прошедшие в установленном порядке процедуру оценки соответствия (сертифицированные по информационной безопасности).
4.4.7. На федеральном уровне предусмотрены средства обнаружения фактов несанкционированного доступа к данным ЕИИС «Соцстрах».
4.4.8. Предусмотрена возможность оперативного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
4.4.9. Разработаны меры внутреннего контроля соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.
4.4.10. Выполнено ознакомление работников регионального отделения Фонда, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных под роспись.
Политика ГУ – Амурского регионального отделения Фонда социального страхования Российской Федерации в области защиты персональных данных утверждена приказом Государственного учреждения – Амурского регионального отделения Фонда социального страхования Российской Федерации от 05.10.2020 № 86А (скачать)