Утверждено
приказом МКОУ
«СОШ с. Прималкинского»
от 20.12.2022г. № 272/4 - ОД
Положение
об обеспечении безопасности персональных данных при их обработке
в информационных системах персональных данных
1. Положение об обеспечении безопасности персональных данных при их обработке в
информационных системах персональных данных (далее – Положение) разработано в
соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской
Федерации, Федеральным законом от 29.12.2012г. № 273-ФЗ «Об образовании в Российской
федерации», постановлением Правительства Российской Федерации от 01.11.2012 №119
«Об утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных», приказом Федеральной службы по
техническому и экспортному контролю от 11 февраля 2013 г. № 17 «Об утверждении
требований о защите информации, не составляющей государственную тайну,
содержащейся в государственных информационных системах».
2. Настоящее Положение устанавливает требования к обеспечению безопасности
персональных данных при их обработке в информационных системах персональных
данных, представляющих собой совокупность персональных данных, содержащихся в базах
данных, а также информационных технологий и технических средств, позволяющих
осуществлять обработку таких персональных данных с использованием средств
автоматизации (далее - информационные системы).
3. Информационная система является информационной системой, обрабатывающей
общедоступные персональные данные, если в ней обрабатываются персональные данные
субъектов персональных данных, полученные только из общедоступных источников
персональных данных, созданных в соответствии со статьей 8 Федерального закона "О
персональных данных" от 27.07.2006 № 152-ФЗ.
4. Информационная система является информационной системой, обрабатывающей
персональные данные работников Управления образования (далее - оператор), если в ней
обрабатываются персональные данные только указанных работников. В остальных случаях
информационная система персональных данных является информационной системой,
обрабатывающей персональные данные субъектов персональных данных, не являющихся
работниками оператора.
5. Система защиты персональных данных включает в себя организационные и (или)
технические меры, определенные с учетом актуальных угроз безопасности персональных
данных и информационных технологий, используемых в информационных системах.
6. Под актуальными угрозами безопасности персональных данных понимается
совокупность
условий
и
факторов,
создающих
актуальную
опасность
несанкционированного, в том числе случайного, доступа к персональным данным при их
обработке в информационной системе, результатом которых могут стать уничтожение,
изменение, блокирование, копирование, предоставление, распространение персональных
данных, а также иные неправомерные действия.
7. Определение типа угроз безопасности персональных данных, актуальных для
информационной системы, производится МКОУ «СОШ с. Прималкинского» (далее –
оператор) с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части
1 статьи 18.1 и в соответствии с нормативными правовыми актами, принятыми во
исполнение части 5 статьи 19 Федерального закона "О персональных данных" от 27.07.2006
№ 152-ФЗ.
�8. При обработке персональных данных в информационных системах оператора
установлены 2 и 3 уровни защищенности персональных данных.
9. Для обеспечения уровней защищенности персональных данных при их обработке в
информационных системах выполняются следующие требования:
а) организован режим обеспечения безопасности помещений, в которых размещена
информационная
система,
препятствующего
возможности
неконтролируемого
проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти
помещения;
б) организовано обеспечение сохранности носителей персональных данных;
в) утвержден руководителем оператора документ, определяющего перечень лиц, доступ
которых к персональным данным, обрабатываемым в информационной системе, необходим
для выполнения ими трудовых обязанностей;
г) используются средства защиты информации, прошедшие процедуру оценки соответствия
требованиям законодательства Российской Федерации в области обеспечения безопасности
информации, в случае, когда применение таких средств необходимо для нейтрализации
актуальных угроз.
д) назначено должностное лицо (работник), ответственное за обеспечение безопасности
персональных данных в информационной системе.
Контроль за выполнением настоящих требований организуется и проводится оператором
самостоятельно и с привлечением на договорной основе юридических лиц, имеющих
лицензию на осуществление деятельности по технической защите конфиденциальной
информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки,
определяемые оператором.
10. Под техническими средствами, позволяющими осуществлять обработку персональных
данных, понимаются средства вычислительной техники, информационно- вычислительные
комплексы и сети, средства и системы передачи, приема и обработки персональных данных,
программные средства (операционные системы, системы управления базами данных и т.п.),
средства защиты информации, применяемые в информационных системах.
11. Безопасность
персональных
данных
достигается
путем
исключения
несанкционированного, в том числе случайного, доступа к персональным данным,
результатом которого может стать уничтожение, изменение, блокирование, копирование,
распространение персональных данных, а также иных несанкционированных действий.
12. Безопасность персональных данных при их обработке в информационных системах
обеспечивается с помощью системы защиты персональных данных, включающей
организационные меры и средства защиты информации (в том числе шифровальные
(криптографические) средства, средства предотвращения несанкционированного доступа,
утечки информации по техническим каналам, программно-технических воздействий на
технические средства обработки персональных данных), а также используемые в
информационной системе информационные технологии. Технические и программные
средства должны удовлетворять устанавливаемым в соответствии с законодательством
Российской Федерации требованиям, обеспечивающим защиту информации.
13. Классификация информационной системы проводится в зависимости от значимости
обрабатываемой в ней информации и масштаба информационной системы (федеральный,
региональный, объектовый).
Порядок проведения классификации информационных систем устанавливается совместно
Федеральной службой по техническому и экспортному контролю, Федеральной службой
безопасности Российской Федерации и Министерством информационных
технологий и связи Российской Федерации.
14. Для проведения работ по защите информации в ходе эксплуатации информационной
системы обладателем информации и оператором в соответствии с законодательством
Российской Федерации при необходимости привлекаются организации, имеющие лицензию
на деятельность по технической защите конфиденциальной информации в соответствии с
Федеральным законом от 4 мая 2011 г. № 99-ФЗ "О лицензировании отдельных видов
деятельности".
�15. При обработке в государственной информационной системе информации, содержащей
персональные данные, Требования о защите информации, не составляющей
государственную тайну, содержащейся в государственных информационных системах,
применяются наряду с требованиями к защите персональных данных при их обработке в
информационных системах персональных данных, утвержденных постановлением
Правительства Российской Федерации от 1 ноября 2012 г. № 1119.
16. Обмен персональными данными при их обработке в информационных системах
осуществляется по каналам связи, защита которых обеспечивается путем реализации
соответствующих организационных мер и (или) путем применения технических средств.
17. Размещение информационных систем, специальное оборудование и охрана помещений,
в которых ведется работа с персональными данными, организация режима обеспечения
безопасности в этих помещениях должны обеспечивать сохранность носителей
персональных данных и средств защиты информации, а также исключать возможность
неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
18. Безопасность персональных данных при их обработке в информационной системе
обеспечивает оператор.
19. При обработке персональных данных в информационной системе должно быть
обеспечено:
а) проведение мероприятий, направленных на предотвращение несанкционированного
доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к
такой информации;
б) своевременное обнаружение фактов несанкционированного доступа к персональным
данным;
в) недопущение воздействия на технические средства автоматизированной обработки
персональных данных, в результате которого может быть нарушено их функционирование;
г)
возможность
незамедлительного
восстановления
персональных
данных,
модифицированных или уничтоженных вследствие несанкционированного доступак ним;
д) постоянный контроль за обеспечением уровня защищенности персональных данных.
20. Мероприятия по обеспечению безопасности персональных данных при их обработке в
информационных системах включают в себя:
а) определение угроз безопасности персональных данных при их обработке, формирование
на их основе модели угроз;
б) разработку на основе модели угроз системы защиты персональных данных,
обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и
способов защиты персональных данных, предусмотренных для соответствующего класса
информационных систем;
в) проверку готовности средств защиты информации к использованию с составлением
заключений о возможности их эксплуатации;
г) установку и ввод в эксплуатацию средств защиты информации в соответствии с
эксплуатационной и технической документацией;
д) обучение лиц, использующих средства защиты информации, применяемые в
информационных системах, правилам работы с ними;
е) учет применяемых средств защиты информации, эксплуатационной и технической
документации к ним, носителей персональных данных;
ж) учет лиц, допущенных к работе с персональными данными в информационной системе;
з) контроль за соблюдением условий использования средств защиты информации,
предусмотренных эксплуатационной и технической документацией;
и) разбирательство и составление заключений по фактам несоблюдения условий хранения
носителей персональных данных, использования средств защиты информации, которые
могут привести к нарушению конфиденциальности персональных данных или другим
нарушениям, приводящим к снижению уровня защищенности персональных данных,
разработку и принятие мер по предотвращению возможных опасных последствий подобных
нарушений;
к) описание системы защиты персональных данных;
�л) составление плана внутренних проверок состояния защиты персональных данных.
21. Для разработки и осуществления мероприятий по обеспечению безопасности
персональных данных при их обработке в информационной системе оператором
назначается должностное лицо (работник), ответственный за обеспечение безопасности
персональных данных.
22. Лица, доступ которых к персональным данным, обрабатываемым в информационной
системе, необходим для выполнения трудовых обязанностей, допускаются к
соответствующим персональным данным на основании списка лиц, утвержденного
оператором.
23. Запросы пользователей информационной системы на получение персональных данных,
а также факты предоставления персональных данных по этим запросам регистрируются
автоматизированными средствами информационной системы в электронном журнале
обращений. Содержание электронного журнала обращений периодически проверяется
соответствующими должностными лицами (работниками) оператора.
24. При обнаружении нарушений порядка предоставления персональных данных оператор
незамедлительно приостанавливают предоставление персональных данных пользователям
информационной системы до выявления причин нарушений и устранения этих причин.
�
Персонифицированное дополнительное оразование 
