Файл: Под источниками законодательства о государственной службе следует рассматривать нормативные правовые акты, которые регулируют организацию государственной службы и правовое положение государственных служащих.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 09.11.2023
Просмотров: 106
Скачиваний: 8
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
При этом терминология, подходы в ряде случаев созвучны по названиям, но существенно различаются по содержанию, что приводит к определенной путанице.
Во-вторых, бездумное выполнение требований всего массива нормативных актов в сфере персональных данных приводит к необходимости разработки огромного количества документов (до нескольких десятков), которые специалисты органов государственной власти и особенно органов местного самоуправления зачастую не могут подготовить самостоятельно.
Существующие в настоящее время варианты подобных документов грешат размытостью содержания и многократным дублированием норм действующего законодательства.
В связи с этим, как нам представляется, вполне уместен творческий подход к формированию необходимого пакета документов, обеспечивающий их предельную лаконичность и функциональную направленность, при безусловном выполнении всех требований действующего законодательства.
Последовательность решения задач организации обработки персональных данных и обеспечения их безопасности в информационных системах органов государственной власти и органов местного самоуправления представлена на рис. 1.
Начальным этапом организации обработки и обеспечения безопасности персональных данных в информационных системах органов государственной власти и органов местного самоуправления является назначение должностных лиц, ответственных за организацию обработки персональных данных и за обеспечение их безопасности. Эти сотрудники организуют всю дальнейшую работу и в большинстве случаев осуществляют контроль эффективности проводимых мероприятий. Одновременно с назначением указанных ответственных лиц разрабатываются и утверждаются их должностные инструкции.
Рис.1. Технологическая схема организации обработки и обеспечения безопасности персональных данных в органах государственной власти и местного самоуправления
Результатом работы на данном этапе является правовой акт о назначении ответственных, а также их должностные инструкции, юридически оформленные в виде приложения к этому акту.
Кроме этого, готовятся необходимые изменения в должностные регламенты вновь назначенных ответственных сотрудников или изменения в положения о соответствующих подразделениях.
В случае использования информационных систем персональных данных, требующих обеспечения 1-го уровня защищенности персональных данных в соответствии с требованиями «Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», утвержденных приказом ФСБ России от 10 июля 2014 года № 378, необходимо назначить ответственного за периодический контроль ведения электронного журнала безопасности. Данные полномочия целесообразнее всего возложить на ответственного за обеспечение безопасности персональных данных с отражением соответствующих обязанностей в его должностной инструкции.
Следует отметить, что определение уровня защищенности информационных систем осуществляется на третьем этапе технологической схемы организации обработки и обеспечения безопасности персональных данных, поэтому необходимость назначения данного ответственного на первом этапе трудно предусмотреть.
Следующим этапом организации обработки и обеспечения безопасности персональных данных в информационных системах органов государственной власти и органов местного самоуправления является определение правового основания, целей и сроков обработки персональных данных, в том числе сроков их хранения, категорий субъектов, персональные данные которых подлежат обработке, а также определение перечня функционирующих информационных систем персональных данных.
Исходными данными для выполнения работ являются действующие нормативные правовые акты, организующие работу органа государственной власти или органа местного самоуправления.
Основным исполнителем данного этапа является сотрудник, ответственный за организацию обработки персональных данных. Результатом работы на рассматриваемом этапе является издание приказа (распоряжения) об утверждении перечней обрабатываемых персональных данных и используемых информационных систем персональных данных.
Третьим этапом технологии организации обработки и обеспечения безопасности персональных данных в информационных системах органов государственной власти и органов местного самоуправления является определение уровня защищенности персональных данных, типа и класса защищенности информационных систем персональных данных.
Исходные данные для выполнения работ получаются по итогам выполнения второго этапа технологической схемы.
Реализация всех мероприятий осуществляется совместно сотрудниками, ответственными за организацию обработки и обеспечение безопасности персональных данных. Рекомендация о привлечении именно двух исполнителей для выполнения данной работы далеко не случайна.
В рамках рассматриваемых мероприятий ответственный за обеспечение безопасности персональных данных совершенно обоснованно постарается максимально завысить требования и установит наиболее жесткие условия для использования информационной системы персональных данных, поскольку именно в таких условиях возможно обеспечить требуемый уровень безопасности.
Естественно, что это повлечет за собой необходимость выделения ощутимых финансовых, организационных и технических средств.
В то же время, как было отмечено ранее, сотрудник, ответственный за организацию обработки персональных данных, обычно является руководителем (как минимум среднего звена) в сфере ответственности которого кроме персональных данных достаточно много иных направлений.
В связи с этим он может взвесить важность и актуальность каждого из направлений деятельности органа государственной власти или органа местного самоуправления и реально определить объем сил и средств, которые следует выделить в данный момент времени для решения задач обеспечения безопасности персональных данных.
Результатом работы на данном этапе является акт классификации информационной системы персональных данных, утверждѐнный руководителем органа государственной власти или органом местного самоуправления. В случае наличия в органе государственной власти (органе местного самоуправления) нескольких информационных систем персональных данных, для каждой из них разрабатывается и утверждается отдельный акт классификации.
На четвёртом этапе работы необходимо определить перечень должностей служащих, замещение которых предусматривает осуществление обработки персональных данных, либо доступ к ним. Исходными данными для выполнения работ являются результаты выполнения второго этапа технологической схемы.
Основным исполнителем данного этапа является сотрудник, ответственный за организацию обработки персональных данных.
Исходя из сформированного перечня должностей, определяется список сотрудников, допущенных к обработке персональных данных в информационных системах, и назначается сотрудник, ответственный за проведение мероприятий по обезличиванию персональных данных.
Вместе с проведением названных мероприятий разрабатывается типовое обязательство сотрудника, допущенного к обработке персональных данных прекратить их обработку в случаях, предусмотренных действующим законодательством.
Результатом работы на данном этапе будет приказ (распоряжение) руководителя органа государственной власти (органа местного самоуправления), утверждающий соответствующие перечни должностей и сотрудников, допущенных к обработке персональных данных, а также типовое обязательство прекратить обработку персональных данных.
Пятым этапом организации обработки и обеспечения безопасности персональных данных в информационных системах органов государственной власти и органов местного самоуправления является разработка политики безопасности персональных данных, включающей формирование правил их обработки, рассмотрения запросов субъектов персональных данных или их представителей, осуществления внутреннего контроля соответствия обработки персональных данных требованиям по их защите, порядка доступа в помещения, в которых ведется обработка персональных данных, типовых форм согласия на обработку персональных данных и разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональных данные.
Кроме этого, на рассматриваемом этапе разрабатывается политика учѐта и хранения машинных носителей персональных данных.
Основным исполнителем данного этапа является лицо, ответственное за организацию обработки персональных данных. Результатом работы на данном этапе будет приказ (распоряжение) руководителя органа государственной власти (органа местного самоуправления), утверждающий правила обработки персональных данных и регламент учёта, хранения и уничтожения машинных носителей персональных данных.
Отдельно следует отметить, что в соответствии с требованиями действующего законодательства документы, разработанные на данном этапе и определяющие политику в отношении обработки персональных данных, подлежат опубликованию на официальном сайте органа государственной власти или органа местного самоуправления в течение 10 дней после их утверждения.
Шестым этапом организации обработки и обеспечения безопасности персональных данных в информационных системах органов государственной власти или органов местного самоуправления будет определение угроз и нарушителей безопасности персональных данных при их обработке в информационных системах.
Информационной основой для решения этих задач будут полученные на третьем этапе оценки уровня исходной защищѐнности персональных данных и класса защищѐнности информационной системы. Результатом работы на данном этапе будет сформированная модель угроз безопасности персональных данных при их обработке в информационной системе.
Данная модель утверждается руководителем органа государственной власти или органа местного самоуправления.
Основным исполнителем названных работ является сотрудник, назначенный ответственным за обеспечение безопасности персональных данных. В случае необходимости, а также при наличии организационных и финансовых возможностей для решения данной задачи могут привлекаться иные сотрудники органа власти или органа местного самоуправления (в первую очередь системный администратор и сотрудники, осуществляющие техническое обслуживание информационных систем персональных данных), а также внешние исполнители – лицензиаты ФСБ России и ФСТЭК России.
Наиболее сложным и неоднозначным с точки зрения реализации задач является седьмой этап технологии – формирование облика и внедрение системы защиты персональных данных.
В зависимости от сложности эксплуатирующихся в органах государственной власти и органах местного самоуправления информационных систем этот этап может быть, как исключительно сложным, так и предельно простым.
В первом случае на основе сформированной и утвержденной на шестом этапе модели угроз безопасности персональных данных, в соответствии с действующими стандартами на создание технических систем, готовится техническое задание на разработку системы защиты персональных данных.
В связи с поэтапным введением с 1 января 2014 года в действие Федерального закона от 5 апреля 2013 года № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» все дальнейшие действия связаны с проведением предусмотренных действующим законодательством конкурсных процедур, и их продолжительность растягивается на весьма продолжительное время.