УТВЕРЖДАЮЗаместитель директораГосударственного бюджетногоучреждения горо а Москвы«Многофункцио ьные центрыпредоставлен rJi дарственных услуггорода Моск ьА.А.Бринева _«Ж» \-\ 20 \Ь г.

ПОЛИТИКАГосударственного бюджетного учреждения города Москвы

«Многофункциональные центры предоставления государственных услуггорода Москвы»

в отношении обработки и зашиты персональных данных

1. Обшие положения

\.\. Настоящая Политика Государственного бюджетного учреждениягорода Москвы «Многофункциональные центры предоставлениягосударственных услуг города Москвы» (далее соответственно - ГБУ МФЦгорода Москвы, Политика) разработана в соответствии со ст. \8.\Федерального закона от 27.07.2006 N2 152-ФЗ «О персональных данных»(далее - Закон о ПДн) и является основополагающим внутреннимрегулятивным документом ГБУ МФЦ города Москвы, определяющимключевые направления его деятельности в области обработки и защитыперсональных данных (далее - ПДн).

\.2. Политика разработана в целях реализации требованийзаконодательства в области обработки и защиты ПДн и направлена наобеспечение защиты прав и свобод человека и гражданина при обработке егоПДн в ГБУ МФЦ города Москвы, в том числе защиты прав нанеприкосновенность частной жизни, личной и семейной тайн.

2. Основания обработки и состав персональных данных,обрабатываемых в ГБУ МФЦ города Москвы

2.\. Обработка ПДн в ГБУ МФЦ города Москвы осуществляется всвязи с выполнением законодательно возложенных на ГБУ МФЦ городаМосквы функций, определяемых:

1) Федеральным законом Российской Федерации от 27 июля 20\0 г. N2210-ФЗ «Об организации предоставления государственных и муниципальныхуслуг»;

2) постановлением Правительства Российской Федерации от 22 декабря2012 г. N~ 1376 «Об утверждении Правил организации деятельностимногофункциональных центров предоставления государственных имуниципальных услуг»;

3) постановлением Правительства Российской Федерации от 27сентября 20] 1 г. N~797 «О взаимодействии между многофункциональнымицентрами предоставления государственных (муниципальных) услуг ифедеральными органами исполнительной власти, органами государственныхвнебюджетных фондов, органами государственной власти субъектовРоссийской Федерации, органами местного самоуправления»;

4) постановлением Правительства Москвы от 23 апреля 2014 г. N~2] 9-ПП «Об организации деятельности многофункциональных центровпредоставления государственных услуг на территории города Москвы»;

5) постановлением Правительства Москвы от 15 ноября 2011 г. N~ 546-ПП «О предоставлении государственных и муниципальных услуг в городеМоскве»;

6) иными нормативными правовыми актами Российской Федерации игорода Москвы;

7) заключенными соглашениями/договорами о взаимодействии;8) приказами ГБУ МФЦ города Москвы.Кроме того, обработка ПДн в ГБУ МФЦ города Москвы

осушествляется в ходе трудовых и иных непосредственно связанных с нимиотношений, в которых ГБУ МФЦ города Москвы выступает в качествеработодателя.

2.2. Обработка ПДн в ГБУ МФЦ города Москвы осуществляется вцелях организации предоставления и предоставления государственных ииных услуг в ГБУ МФЦ города Москвы и производится на основаниинормативных правовых актов Российской Федерации и города Москвы,соглашений с федеральными органами исполнительной власти РоссийскойФедерации, органами государственных внебюджетных фондов, органамиисполнительной власти города Москвы и подведомственными иморганизациями, непосредственно предоставляющими государственныеуслуги, иными организациями в соответствии с законодательствомРоссийской Федерации.

2.3. В связи с трудовыми и иными непосредственно связанными с нимиотношениями, в которых ГБУ МФЦ города Москвы выступает в качествеработодателя, обрабатываются ПДн лиц, претендующих на трудоустройствов ГБУ МФЦ города Москвы, работников ГБУ МФЦ города Москвы (далее -Работники) и бывших Работников.

2.4. В связи с реализацией своих прав и обязанностей какюридического лица, ГБУ МФЦ города Москвы обрабатываются ПДнфизических лиц, являющихся контрагентами (возможными контрагентами)ГБУ МФЦ города Москвы по гражданско-правовым договорам, ПДнруководителей, членов коллегиальных исполнительных органов ипредставителей юридических лиц, ПДн иных физических лиц,

представленные участниками закупки, физических лиц, ПДн которыхиспользуются для осуществления пропускного режима в занимаемых ГБУМФЦ города Москвы помещениях, а также граждан, письменнообращающихся в ГБУ МФЦ города Москвы по вопросам его деятельности.

2.5. Обработка ПДн осуществляется на основании федеральныхзаконов и иных нормативных правовых актов Российской Федераuии, а внеобходимых случаях - при наличии письменного согласия субъекта ПДн.

2.6. ГБУ МФЦ города Москвы предоставляет обрабатываемые им ПДнгосударственным органам и организациям, имеющим, в соответствии сфедеральным законом, право на получение соответствующих ПДн.

2.7. При обработке ПДн обеспечиваются их точность, достаточность, апри необходимости - и актуальность по отношению к целям обработки.

3. Принципы обеспечения безопасности персональных данных

3.1. Основной задачей обеспечения безопасности ПДн при ихобработке в ГБУ МФЦ города Москвы является предотвращениенесанкционированного доступа к ним третьих лиц, предупреждениепреднамеренных программ но-технических и иных воздействий с цельюхищения ПДн, разрушения (уничтожения) или искажения их в процесс еобработки.

3.2. Для обеспечения безопасности ПДн ГБУ МФЦ города Москвыруководствуется следующими принципами:

1) законность: защита ПДн основывается на положениях нормативныхправовых актов и методических документов уполномоченныхгосударственных органов в области обработки и защиты ПДн;

2) системность: обработка ПДн осуществляется с учетом всехвзаимосвязанных, взаимодействующих и изменяющихся во времениэлементов, условий и факторов, значимых для понимания и решенияпроблемы обеспечения безопасности ПДн;

3) комплексность: защита ПДн строится с использованиемфункциональных возможностей информационных технологий,реализованных в информационных системах, используемых в ГБУ МФЦгорода Москвы;

4) непрерывность: защита ПДн обеспечивается на всех этапах ихобработки и во всех режимах функционирования систем обработки ПДн, втом числе при проведении ремонтных и регламентных работ;

5) своевременность: меры, обеспечивающие надлежащий уровеньбезопасности ПДн, принимаются до начала их обработки;

6) преемственность и непрерывность совершенствования:модернизация и наращивание мер и средств Зашиты ПДн осуществляется наосновании результатов анализа практики обработки ПДн в ГБУ МФЦ городаМосквы с учетом выявления новых способов и средств реализации угрозбезопасности ПДн, отечественного и зарубежного опыта в сфере защитыинформации;

7) персональная ответственность: ответственность за обеспечениебезопасности ПДн возлагается на Работников в пределах их обязанностей,связанных с обработкой и защитой ПДн;

8) минимизация прав доступа: доступ к ПДн предоставляетсяРаботникам только в объеме, необходимом для выполнения их должностныхобязанностей;

9) гибкость: обеспечение выполнения функций защиты ПДн приизменении характеристик функционирования информационных систем,используемых в ГБУ МФЦ города Москвы, а также объема и составаобрабатываемых ПДн;

1О) открытость алгоритмов и механизмов защиты: структура,технологии и алгоритмы функционирования системы защиты ПДн (далее -СЗПДн) не дают возможности преодоления имеющихся в ГБУ МФЦ городаМосквы систем защиты возможными нарушителями безопасности ПДн;

11) научная обоснованность и техническая реализуемость: уровень мерпо защите ПДн определяется современным уровнем развитияинформационных технологий и средств защиты информации;

12) специализация и профессионализм: реализация мер по обеспечениюбезопасности ПДн и эксплуатация СЗПДн осуществляются Работниками,имеющими необходимые для этого квалификацию и опыт;

13) эффективность процедур отбора кадров и выбора контрагентов:кадровая политика ГБУ МФЦ города Москвы предусматривает тщательныйподбор персонала и мотивацию Работников, позволяющую исключить илиминимизировать возможность нарушения ими безопасности ПДН;минимизация вероятности возникновения угрозы безопасности ПДн,источники которых связаны с человеческим фактором, обеспечиваетсяполучением наиболее полной информации о контрагентах ГБУ МФЦ городаМосквы до заключения договоров;

14) наблюдаемость и прозрачность: меры по обеспечениюбезопасности ПДн должны быть спланированы так, чтобы результаты ихприменения были явно наблюдаемы (прозрачны) и могли быть оцененылицами, осуществляющими контроль;

15) непрерывность контроля и оценки: устанавливаются процедурыпостоянного контроля использования систем обработки и защиты ПДн, арезультаты контроля регулярно анализируются.

4. Доступ к обрабатываемым персональным данным

4.1. Доступ к обрабатываемым в ГБУ МФЦ города Москвы ПДн имеютлица, уполномоченные приказом ГБУ МФЦ города Москвы, лица, которымГБУ МФЦ города Москвы поручило обработку ПДн на основаниизаключенного договора, а также лица, чьи ПДн подлежат обработке.

4.2. Доступ Работников к обрабатываемым ПДн осуществляется в. соответствии с их должностными обязанностями и требованиями внутреннихрегулятивных документов ГБУ МФЦ города Москвы.

Москвы осуществляется ознакомлениеосуществляющих обработку ПДн, с

Допущенные к обработке ПДн Работники под роспись знакомятся сдокументами ГБУ МФЦ города Москвы, устанавливающими порядокобработки ПДн, включая документы, устанавливающие права и обязанностиконкретных Работников.

4.3. Порядок доступа субъекта ПДн к его ПДн, обрабатываемым ГБУМФЦ города Москвы, определяется в соответствии с законодательством иопределяется внутренними регулятивными документами ГБУ МФЦ городаМосквы.

5. Реализуемые требования к защите персональных данных

5.1. ГБУ МФЦ города Москвы принимает правовые, организационныеи технические меры (или обеспечивает их принятие), необходимые идостаточные для обеспечения исполнения обязанностей, предусмотренныхЗаконом о ПДн и принятыми В соответствии с ним нормативными правовымиактами, для защиты ПДн от неправомерного или случайного доступа к ним,уничтожения, изменения, блокирования, копирования, предоставления,распространения ПДн, а также от иных неправомерных действий вотношении ПДн.

5.2. Состав указанных в пункте 5.1 Политики мер, включая ихсодержание и выбор средств защиты ПДн, определяется, а внутренниерегулятивные документы об обработке и защите ПДн утверждаются(издаются) ГБУ МФЦ города Москвы исходя из требований:

Закона о ПДн;главы 14 Трудового кодекса Российской Федерации;постановления Правительства Российской Федерации от 1 ноября

2012 г. N2 1119 «Об утверждении требований к защите персональных данныхпри их обработке в информационных системах персональных данных»;

приказа ФСТЭК России от 18 февраля 2013 г. N2 21 «Обутверждении Состава и содержания организационных и технических мер пообеспечению безопасности ПДн при их обработке в информационныхсистемах ПДн»;

иных нормативных правовых актов Российской Федерации игорода Москвы об обработке и защите ПДн.

5.3. В предусмотренных законодательством случаях обработка ПДносуществляется ГБУ МФЦ города Москвы с согласия субъектов ПДн.

ГБУ МФЦ города Москвы производится устранение выявленныхнарушений законодательства об обработке и защите ПДн.

5.4. Хранение ПДн осуществляется в форме, позволяющей определитьсубъекта ПДн, не дольще чем этого требуют цели обработки ПДн, если срокхранения не установлен федеральным законом, договором, сторонойкоторого, выгодоприобретателем или поручителем по которому являетсясубъект ПДн.

5.5. ГБУ МФЦ городаРаботников, непосредственно

положениями законодательства о ПДн, в том числе требованиями к защитеПДн, Политикой и иными внутренними регулятивными документами повопросам обработки ПДн, и (или) обучение указанных работников повопросам обработки и защиты ПДн.

5.6. При обработке ПДн с использованием средств автоматизации ГБУМФЦ города Москвы, в частности, применяются следующие меры:

1) назначается ответственный за организацию обработки ПДн;2) утверждаются (издаются) внутренние регулятивные документы по

вопросам обработки и защиты ПДн, в том числе устанавливающиепроцедуры, направленные на предотвращение и выявление нарушенийзаконодательства, устранение последствий таких нарушений;

3) осуществляется внутренний контроль и (или) аудит соответствияобработки ПДн Закону о ПДн и принятым В соответствии с нимнормативным правовым актам, требованиям к защите ПДн, Политике ивнутренним регулятивным документам ГБУ МФЦ города Москвы;

4) проводится оценка вреда, который может быть причинен субъектамПДн в случае нарушения Закона о ПДн, определяется соотношениеуказанного вреда и принимаемых ГБУ МФЦ города Москвы мер,направленных на обеспечение исполнения обязанностей, предусмотренныхЗаконом о ПДн.

5.7. Обеспечение безопасности ПДн в ГБУ МФЦ города Москвы приих обработке в ИСПДн достигается, в частности, путем:

1) определения угроз безопасности ПДн. Тип актуальных угрозбезопасности ПДн и необходимый уровень защищенности ПДнопределяются в соответствии с требованиями законодательства и с учетомпроведения оценки возможного вреда;

2) определения в установленном порядке состава и содержания мер пообеспечению безопасности ПДн, выбора средств защиты информации. Приневозможности технической реализации отдельных выбранных мер пообеспечению безопасности ПДн, а также с учетом экономическойцелесообразности могут разрабатываться компенсирующие меры,направленные на нейтрализацию актуальных угроз безопасности ПДн. Вэтом случае в ходе разработки СЗПДн проводится обоснование применениякомпенсирующих мер для обеспечения безопасности ПДн;

3) применения организационных и технических мер по обеспечениюбезопасности ПДн, необходимых для выполнения требований к защите ПДн,обеспечивающих определенные уровни защищенности ПДн, включаяприменение средств защиты информации, прошедших процедуру оценкисоответствия, когда применение таких средств необходимо длянейтрализации актуальных угроз.

В ГБУ МФЦ города Москвы, в том числе, осуществляются:оценка эффективности принимаемых и реализованных мер по

обеспечению безопасности ПДн;учет машинных носителей ПДн, обеспечение их сохранности;обнаружение фактов несанкционированного доступа к ПДн и

обеспечению

Москвы при ихавтоматизации,

принятие соответствующих мер;восстановление ПДн, модифицированных или уничтоженных

вследствие несанкционированного доступа к ним;установление правил доступа к обрабатываемым ПДн, а также

обеспечение регистрации и учета действий, совершаемых с ПДн;организация режима обеспечения безопасности помещений, в

которых размещена информационная система, препятствующеговозможности неконтролируемого проникновения или пребывания в этихпомещениях лиц, не имеющих права доступа в эти помещения;

контроль за принимаемыми мерами побезопасности ПДн, уровня защищенности.

5.8. Обеспечение защиты ПДн в ГБУ МФЦ городаобработке, осуществляемой без использования средствдостигается, в частности, путем:

1) обособления ПДн от иной информации;2) недопущения фиксации на одном материальном носителе ПДн, цели

обработки которых заведомо не совместимы;3) использования отдельных материальных носителей для обработки

каждой категории ПДн;4) принятия мер по обеспечению раздельной обработки ПДн при

несовместимости целей обработки ПДн, зафиксированных на одномматериальном носителе, если материальный носитель не позволяетосуществлять обработку ПДн отдельно от других зафиксированных на томже носителе ПДн.

5.9. В состав мер по обеспечению безопасности ПДн, реализуемых врамках СЗПДн с учетом актуальных угроз безопасности ПДн и применяемыхинформационных технологий, входят:

идентификация и аутентификация субъектов доступа и объектовдоступа;

управление доступом субъектов доступа к объектам доступа;ограничение программной среды;защита машинных носителей информации, на которых хранятся и

(или) обрабатываются персональные данные (далее - машинные носителиперсональных данных);

регистрация событий безопасности;антивирусная защита;обнаружение (предотвращение) вторжений;контроль (анализ) защищенности персональных данных;обеспечение целостности информационной системы и

персональных данных;обеспечение доступности персональных данных;защита среды виртуализации;защита технических средств;защита информационной системы, ее средств, систем связи и

передачи данных;

выявление инцидентов (одного события или группы событий),которые могут привести к сбоям или нарушению функционированияинформационной системы и (или) к возникновению угроз безопасностиперсональных данных (далее - инциденты), и реагирование на них;

управление конфигурацией информационной системы и системызашиты персональных данных.