Перечень информации подлежащей защите в спортивной школе

Обновлено: 16.05.2024

3. Настоящим Положением определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных, права и обязанности субъектов персональных данных, а также ответственность лиц, имеющих доступ к персональным данным, за невыполнение правовых норм, регулирующих обработку и защиту персональных данных.

4. В настоящем Положении используются следующие основные понятия и термины:

персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая личная информация;
защита персональных данных – комплекс мер технического, организационного и организационнотехнического, правового характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных);
персональные данные работника (субъекта) – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника;
персональные данные занимающегося, законного представителя занимающегося (субъектов) – информация, необходимая руководителю в связи с отношениями во время обучения и касающаяся конкретного субъекта;
общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
работник – физическое лицо, вступившее в трудовые отношения с работодателем (учреждением);
работодатель – юридическое лицо (учреждение), вступившее в трудовые отношения с работником;
занимающиеся, законные представители (родители, опекуны, попечители) занимающихся – субъекты, вступившие в правоотношения с учреждением;
оператор – юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных;
обработка персональных данных – действия (операции) с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
информационная система персональных данных – совокупность содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
использование персональных данных – действия (операции) с персональными данными, совершаемые уполномоченными лицами в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных либо иным образом затрагивающих их права и свободы;
конфиденциальность персональных данных – обязательное для соблюдения уполномоченными лицами, получившим доступ к персональным данным, требование не допускать их распространения без согласия или иного законного основания;
блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

5. Персональные данные субъектов относятся к категории конфиденциальной информации.

6. Настоящее Положение является локальным нормативным актом учреждения, который утверждается руководителем с учетом мнения выборного органа первичной профсоюзной организации в порядке, установленном ст. 372 ТК РФ для принятия локальных нормативных актов.

Состав персональных данных

К персональным данным работников, получаемым работодателем и подлежащим хранению у работодателя в порядке, предусмотренном законодательством Российской Федерации и настоящим Положением, относятся следующие документы, содержащиеся в личных делах работников:

копия паспорта (паспортные данные работника);
копия страхового свидетельства государственного пенсионного страхования;
копия документа воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);
копия документа об образовании, квалификации или наличии специальных знаний (при поступлении на работу, требующую специальных знаний или специальной подготовки);
анкетные данные, заполненные работником при поступлении на работу или в процессе работы (в т.ч. сведения о семейном положении работника, перемене фамилии, наличии детей и иждивенцев);
документы, которые с учетом специфики работы и в соответствии с законодательством РФ должны быть предъявлены работником при заключении трудового договора или в период его действия;
трудовой договор (соглашения о внесении изменений и дополнений в него);
заключение по данным психологического исследования (если такое имеется);
копии приказов о приеме, переводах, увольнении, повышении заработной платы, премировании, поощрениях и взысканиях;
личная карточка по форме Т-2;
заявления, объяснительные и служебные записки работника;
документы о прохождении работником аттестации, собеседования, повышения квалификации;
документы, содержащие сведения о работнике, нахождение которых в личном деле работника необходимо для документального оформления трудовых правоотношений с работником.

Документы, содержащие персональные данные работников, создаются путем:

копирования оригиналов;
внесения сведений в учетные формы (на бумажных и электронных носителях);
получения оригиналов необходимых документов.

3. К персональным данным занимающихся и их законных представителей, подлежащим хранению в порядке, предусмотренном действующим законодательством и настоящим Положением, относятся следующие сведения, содержащиеся в информационной системе учреждения:

– копии документов, удостоверяющих личность занимающегося (свидетельство о рождении или паспорт);

– сведения о месте проживания;

– сведения о составе семьи;

– паспортные данные родителей (законных представителей) занимающихся;

– документы, подтверждающие права на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством и локальными актами учреждения;

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО "Сбербанк-АСТ". Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

Программа разработана совместно с АО "Сбербанк-АСТ". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Продукты и услуги Информационно-правовое обеспечение ПРАЙМ Документы ленты ПРАЙМ Приказ Министерства спорта РФ от 13 марта 2019 г. N 197 “Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в сфере физической культуры и спорта”

Обзор документа

Приказ Министерства спорта РФ от 13 марта 2019 г. N 197 “Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в сфере физической культуры и спорта”

В соответствии с частью 5 статьи 19 Федерального закона от 27.06.2006 N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31 (ч. 1), ст. 3451; 2011, N 31, ст. 4701), приказываю:

1. Определить угрозы безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в сфере физической культуры и спорта, согласно приложению.

2. Структурному подразделению Министерства спорта Российской Федерации, ответственному за информационную безопасность, обеспечить безопасность персональных данных, при их обработке в информационных системах персональных данных исходя из угроз безопасности персональных данных, с учетом структурно-функциональных характеристик информационных систем персональных данных в сфере физической культуры и спорта.

3. Контроль за исполнением настоящего приказа оставляю за собой.

Министр

П.А. Колобков

Приложение
к приказу Минспорта России
от 13 марта 2019 г. N 197

Угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных в сфере физической культуры и спорта

1. К угрозам безопасности персональных данных, актуальным при обработке персональных данных в информационных системах персональных данных в сфере физической культуры и спорта (далее - информационные системы), относятся:

угрозы безопасности персональных данных, защищаемых без использования средств криптографической защиты информации (далее - СКЗИ);

угрозы целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых с использованием СКЗИ персональных данных или создания условий для этого.

2. Угрозы безопасности персональных данных, защищаемых без использования СКЗИ, включают:

1) угрозы, связанные с особенностями функционирования технических, программно-технических и программных средств, обеспечивающих хранение, обработку и передачу информации;

2) угрозы несанкционированного доступа (воздействия) к персональным данным лицами, обладающими полномочиями в информационных системах, в том числе в ходе создания, эксплуатации, технического обслуживания и (или) ремонта, модернизации, снятия с эксплуатации информационных систем;

3) угрозы воздействия вредоносного кода, вредоносной программы, внешних по отношению к информационным системам;

4) угрозы использования методов воздействия на лиц, обладающих полномочиями в информационных системах;

5) угрозы несанкционированного доступа (воздействия) к отчуждаемым носителям персональных данных, включая переносные персональные компьютеры пользователей информационных систем;

6) угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в организации защиты персональных данных;

7) угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в системном и прикладном программном обеспечении информационных систем;

8) угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи данных, в том числе с использованием протоколов межсетевого взаимодействия;

9) угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в обеспечении защиты вычислительных сетей информационных систем;

10) угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей, вызванных несоблюдением требований по эксплуатации средств защиты информации;

11) угрозы, связанные с возможностью использования новых информационных технологий.

3. Угрозы целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых с использованием СКЗИ персональных данных или создания условий для этого включают:

1) создание способов, подготовка и проведение атак без привлечения специалистов в области разработки и анализа СКЗИ;

2) создание способов, подготовка и проведение атак на различных этапах жизненного цикла СКЗИ;

3) проведение атаки нарушителем, находясь вне пространства, в котором исключено неконтролируемое пребывание сотрудников и посетителей оператора и посторонних транспортных, технических и иных материальных средств (далее - контролируемая зона);

4) проведение на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) следующих атак:

а) внесение несанкционированных изменений в СКЗИ и (или) в компоненты аппаратных и программных средств, совместно с которыми штатно функционируют СКЗИ и в совокупности представляющие среду функционирования СКЗИ (далее - СФ), которые способны повлиять на выполнение предъявляемых к СКЗИ требований, в том числе с использованием вредоносных программ;

б) внесение несанкционированных изменений в технические и организационно-распорядительные документы на СКЗИ и компоненты СФ;

5) проведение атак на этапе эксплуатации СКЗИ на:

а) персональные данные;

б) ключевую, аутентифицирующую и парольную информацию СКЗИ;

в) программные компоненты СКЗИ;

г) аппаратные компоненты СКЗИ;

д) программные компоненты СФ, включая программное обеспечение базовых систем ввода (вывода);

е) аппаратные компоненты СФ;

ж) данные, передаваемые по каналам связи;

з) иные объекты, которые установлены при формировании совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак с учетом применяемых в информационной системе информационных технологий, аппаратных средств (далее - АС) и программного обеспечения (далее - ПО);

6) получение из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть "Интернет") следующей информации об информационной системе, в которой используется СКЗИ:

а) общие сведения об информационной системе, в которой используется СКЗИ (назначение, состав, оператор, объекты, в которых размещены ресурсы информационной системы);

б) сведения об информационных технологиях, базах данных, АС, ПО, используемых в информационной системе совместно с СКЗИ, за исключением сведений, содержащихся только в конструкторской документации на информационные технологии, базы данных, АС, ПО, используемые в информационной системе совместно с СКЗИ;

в) содержание конструкторской документации на СКЗИ;

г) содержание находящейся в свободном доступе документации на аппаратные и программные компоненты СКЗИ и СФ;

д) общие сведения о защищаемой информации, используемой в процессе эксплуатации СКЗИ;

е) сведения о каналах связи, по которым передаются защищаемые СКЗИ персональные данные (далее - канал связи);

ж) данные, передаваемые в открытом виде по каналам связи, не защищенным от несанкционированного доступа к информации организационными и техническими мерами;

з) сведения о нарушениях правил эксплуатации СКЗИ и СФ в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами;

и) сведения о неисправностях и сбоях аппаратных компонентов СКЗИ и СФ, проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами;

к) сведения, получаемые в результате анализа сигналов от аппаратных компонентов СКЗИ и СФ;

а) находящихся в свободном доступе или используемых за пределами контролируемой зоны АС и ПО, включая аппаратные и программные компоненты СКЗИ и СФ;

б) специально разработанных АС и ПО;

8) использование на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки:

а) каналов связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами;

б) каналов распространения сигналов, сопровождающих функционирование СКЗИ и СФ;

9) проведение на этапе эксплуатации атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, если информационные системы, в которых используются СКЗИ, имеют выход в эти сети;

10) использование на этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из состава средств информационной системы, применяемых на местах эксплуатации СКЗИ (далее - штатные средства);

11) проведение атаки при нахождении в пределах контролируемой зоны;

12) на этапе эксплуатации СКЗИ возможное уничтожение и несанкционированный доступ к:

а) документации на СКЗИ и компоненты СФ;

б) помещениям, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее - СВТ), на которых реализованы СКЗИ и СФ;

13) получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:

а) сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы;

б) сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы;

в) сведений о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ;

14) использование штатных средств, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий;

15) физический доступ к СВТ, на которых реализованы СКЗИ и СФ;

16) наличие у нарушителя аппаратных компонентов СКЗИ и СФ, реализованных в информационной системе, в которой используется СКЗИ.

Обзор документа

Минспорт определил угрозы безопасности персональных данных (ПД), актуальные при их обработке в информсистемах в сфере физкультуры и спорта. Это могут быть внешние вредоносные коды или программы, несанкционированный доступ к ПД и пр.

Для просмотра актуального текста документа и получения полной информации о вступлении в силу, изменениях и порядке применения документа, воспользуйтесь поиском в Интернет-версии системы ГАРАНТ:

Перечень персональных данных, подлежащих защите в информационных системах персональных данных

Перечень пдн, подлежащих защите в испдн

Настоящий Перечень персональных данных , подлежащих защите в информационных системах персональных данных ( ИСПДн ) ( далее – Перечень ) МБОУ ДО СШ № 8 МО г. Краснодар ( далее – Учреждение )) содержит полный список категорий данных , безопасность которых должна обеспечиваться системой защиты персональных данных ( СЗПДн ).

Общие положения

Объектами защиты являются – информация , обрабатываемая в ИСПДн , и технические средства ее обработки и защиты .

Объекты защиты каждой ИСПДн включают :

- персональные данные субъектов ПДн ( раздел 2.1.1);

- персональные данные сотрудников ( раздел 2.1.2);

Технологическая информация ( раздел 2.2).

Программно-технические средства обработки ( раздел 2.3).

Средства защиты ПДн ( раздел 2.4).

Каналы информационного обмена и телекоммуникации ( раздел 2.5).

Объекты и помещения , в которых размещены компоненты ИСПДн ( раздел 2.6).

1.1 Обрабатываемая информация

1.1.1 Перечень персональных данных субъектов ПДн

Персональные данные субъектов ПДн включают :

1.1.2 Перечень персональных данных сотрудников Учреждения

Персональные данные сотрудников Учреждения включают :

- Фамилия , имя, отчество ;

- Место , год и дата рождения ;

- Адрес по прописке ;

- Адрес проживания (реальный);

- Паспортные данные (серия, номер паспорта, кем и когда выдан);

- Информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);

- Информация о трудовой деятельности до приема на работу;

- Информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения);

- Телефонный номер (домашний, рабочий, мобильный);

- Семейное положение и состав семьи (муж/жена, дети);

- Информация о знании иностранных языков;

- Данные о трудовом договоре (номер трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, номер и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);

- Сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);

- Данные об аттестации работников;

- Данные о повышении квалификации;

- Данные о наградах, медалях, поощрениях, почетных званиях;

- Информация о приеме на работу, перемещении по должности, увольнении;

- Информация об отпусках;

- Информация о командировках;

- Информация о болезнях;

- Информация о негосударственном пенсионном обеспечении.

1.2 Технологическая информация

Технологическая информация, подлежащая защите, включает:

- управляющую информацию (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

- технологическую информацию средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

- информацию на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащих защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

- информацию о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

- информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

1.3 Программно-технические средства обработки

Программно-технические средства включают в себя:

- общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);

- резервные копии общесистемного программного обеспечения;

- инструментальные средства и утилиты систем управления ресурсами ИСПДн;

- аппаратные средства обработки ПДн (АРМ и сервера);

- сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

1.4 Средства защиты ПДн

Средства защиты ПДн состоят из аппаратно-программных средств, включают в себя:

- средства управления и разграничения доступа пользователей;

- средства обеспечения регистрации и учета действий с информацией;

- средства, обеспечивающие целостность данных;

- средства антивирусной защиты;

- средства межсетевого экранирования;

- средства анализа защищенности;

- средства обнаружения вторжений;

- средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

1.5 Каналы информационного обмена и телекоммуникации

Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.

1.6 Объекты и помещения, в которых размещены компоненты ИСПДн

Объекты и помещения являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.