РУС БЕЛ ENG

Политика в отношении обработки персональных данных

УКАЗ ПРЕЗИДЕНТА РЕСПУБЛИКИ БЕЛАРУСЬ 16 апреля 2013 г. № 196 "О некоторых мерах по совершенствованию защиты информации"

 

Изменения и дополнения:

 

Указ Президента Республики Беларусь от 29 ноября 2013 г. № 529 (Национальный правовой Интернет-портал Республики Беларусь, 30.11.2013, 1/14649);

Указ Президента Республики Беларусь от 1 апреля 2016 г. № 121 (Национальный правовой Интернет-портал Республики Беларусь, 06.04.2016, 1/16359);

Указ Президента Республики Беларусь от 18 июня 2018 г. № 239 (Национальный правовой Интернет-портал Республики Беларусь, 21.06.2018, 1/17759);

Указ Президента Республики Беларусь от 9 декабря 2019 г. № 449 (Национальный правовой Интернет-портал Республики Беларусь, 13.12.2019, 1/18704);

Указ Президента Республики Беларусь от 22 июня 2023 г. № 178 (Национальный правовой Интернет-портал Республики Беларусь, 27.06.2023, 1/20901)

 

(Извлечение)

 

В целях совершенствования технической и криптографической защиты информации постановляю:

1. Утвердить:

Положение о технической и криптографической защите информации (прилагается);

Положение о порядке отнесения объектов информатизации к критически важным объектам информатизации (прилагается).

2. Внести изменения и дополнения в следующие указы Президента Республики Беларусь:

2.1. утратил силу;

2.2. в Указе Президента Республики Беларусь от 16 октября 2009 г. № 510 «О совершенствовании контрольной (надзорной) деятельности в Республике Беларусь» (Национальный реестр правовых актов Республики Беларусь, 2009 г., № 253, 1/11062; Национальный правовой Интернет-портал Республики Беларусь, 31.07.2012, 1/13654):

в пункте 21:

после абзаца третьего дополнить пункт абзацем следующего содержания:

«контроля за технической и криптографической защитой информации в государственных органах и иных организациях, являющихся собственниками (владельцами) объектов, на которых такая защита является обязательной в соответствии с законодательными актами, за исключением мероприятий по контролю за соблюдением законодательства о лицензировании, лицензионных требований и условий осуществления лицензируемого вида деятельности;»;

абзацы четвертый – двадцать восьмой считать соответственно абзацами пятым – двадцать девятым;

часть первую пункта 15 Положения о порядке организации и проведения проверок, утвержденного этим Указом, после слов «Оперативно-аналитическим центром» дополнить словами «при Президенте»;

2.3. исключен;

2.4. в Положении об отнесении объектов информатизации к критически важным и обеспечении безопасности критически важных объектов информатизации, утвержденном Указом Президента Республики Беларусь от 25 октября 2011 г. № 486 «О некоторых мерах по обеспечению безопасности критически важных объектов информатизации» (Национальный реестр правовых актов Республики Беларусь, 2011 г., № 121, 1/13026):

в части второй пункта 1 слово «содержащие» заменить словами «предназначенные для обработки информации, содержащей»;

в пункте 6:

в абзаце втором слова «обеспечению технической защиты» заменить словами «технической и криптографической защите»;

абзац шестой изложить в следующей редакции:

«осуществляет внешний контроль за обеспечением безопасности КВОИ в порядке, установленном ОАЦ;»;

часть первую пункта 16 дополнить абзацем шестым следующего содержания:

«наличия сведений, в том числе полученных от государственного органа, иной организации или физического лица, свидетельствующих о невыполнении владельцем КВОИ требований, установленных эксплуатационной документацией на КВОИ и техническими нормативными правовыми актами.».

3. Установить, что юридические лица и индивидуальные предприниматели вправе осуществлять деятельность по технической и (или) криптографической защите информации на основании специальных разрешений (лицензий) на деятельность по технической защите информации, в том числе криптографическими методами, включая применение электронной цифровой подписи, выданных до вступления в силу настоящего Указа, до истечения срока их действия.

Внесение изменений и (или) дополнений в соответствии с настоящим Указом в специальные разрешения (лицензии), указанные в части первой настоящего пункта, производится при внесении в них иных изменений и (или) дополнений, продлении срока их действия, а также выдаче их дубликатов после вступления в силу настоящего Указа.

В случае, если при продлении срока действия либо выдаче дубликата специальных разрешений (лицензий), указанных в части первой настоящего пункта, одновременно осуществляется внесение в них изменений и (или) дополнений в соответствии с настоящим Указом, государственная пошлина за внесение таких изменений и (или) дополнений не взимается.

4. Для служебного пользования.

5. Совету Министров Республики Беларусь совместно с Оперативно-аналитическим центром при Президенте Республики Беларусь в шестимесячный срок обеспечить приведение актов законодательства в соответствие с настоящим Указом и принять иные меры по его реализации.

6. Настоящий Указ вступает в силу через шесть месяцев после его официального опубликования, за исключением подпункта 2.1 пункта 2, пунктов 45 и данного пункта, которые вступают в силу со дня подписания настоящего Указа.

 

Президент Республики Беларусь

А.Лукашенко

 

 

УТВЕРЖДЕНО

Указ Президента
Республики Беларусь
16.04.2013 № 196
(в редакции Указа Президента
Республики Беларусь
09.12.2019 № 449)

ПОЛОЖЕНИЕ
о технической и криптографической защите информации

ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящее Положение определяет правовые и организационные основы технической и криптографической защиты информации.

2. Требования настоящего Положения не распространяются на объекты информатизации и информационные системы, предназначенные для обработки информации, содержащей государственные секреты.

3. Требования настоящего Положения обязательны для применения:

владельцами критически важных объектов информатизации;

собственниками (владельцами) информационных систем, в которых обрабатывается служебная информация ограниченного распространения;

собственниками (владельцами) информационных систем, в которых обрабатываются информация о частной жизни физического лица и персональные данные, за исключением информационных систем, созданных с участием резидента Парка высоких технологий либо третьими лицами и используемых резидентом Парка высоких технологий при осуществлении деятельности в соответствии с пунктом 3 Положения о Парке высоких технологий, утвержденного Декретом Президента Республики Беларусь от 22 сентября 2005 г. № 12, которая связана с разработкой и (или) применением технологии реестра блоков транзакций (блокчейн);

собственниками (владельцами) информационных систем, в которых обрабатываются электронные документы;

государственными органами и иными государственными организациями, а также хозяйственными обществами, в уставных фондах которых 50 и более процентов акций (долей) находится в собственности Республики Беларусь и (или) ее административно-территориальных единиц, являющимися собственниками (владельцами) информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено;

организациями, оказывающими услуги по распространению открытых ключей проверки электронной цифровой подписи, аккредитованными в Государственной системе управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь.

Иные собственники (владельцы) информационных систем, за исключением указанных в части первой настоящего пункта, вправе руководствоваться требованиями настоящего Положения, если иное не предусмотрено законодательными актами.

ГЛАВА 2
ОСНОВЫ ГОСУДАРСТВЕННОГО РЕГУЛИРОВАНИЯ И УПРАВЛЕНИЯ В СФЕРЕ ТЕХНИЧЕСКОЙ И КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ

4. Государственное регулирование и управление в сфере технической и криптографической защиты информации осуществляются Президентом Республики Беларусь и Оперативно-аналитическим центром при Президенте Республики Беларусь (далее – ОАЦ).

5. Президент Республики Беларусь определяет единую государственную политику и осуществляет иное государственное регулирование в сфере технической и криптографической защиты информации.

6. ОАЦ:

6.1. определяет приоритетные направления технической и криптографической защиты информации;

6.2. координирует деятельность государственных органов и иных организаций (далее – организации) по применению мер технической и криптографической защиты информации;

6.3. осуществляет контроль за технической и криптографической защитой информации в организациях;

6.4. определяет порядок:

технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено;

аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено (далее – аттестация систем защиты информации);

технической и криптографической защиты информации, обрабатываемой на критически важных объектах информатизации, в том числе порядок проведения аудита систем информационной безопасности критически важных объектов информатизации;

6.5. организует и осуществляет техническое нормирование и стандартизацию по вопросам технической и криптографической защиты информации;

6.6. осуществляет:

лицензирование деятельности по технической и (или) криптографической защите информации;

подтверждение соответствия и проведение государственной экспертизы средств технической и криптографической защиты информации, за исключением средств шифрованной, других видов специальной связи и криптографических средств защиты государственных секретов, определяет порядок проведения такой экспертизы;

6.7. выносит письменные требования (предписания) об устранении организациями выявленных нарушений настоящего Положения и иных нормативных правовых актов в сфере технической и криптографической защиты информации и (или) приостановлении (прекращении) обработки информации в информационной системе или функционирования критически важного объекта информатизации;

6.8. выступает заказчиком государственных научно-технических и иных программ и проектов, обеспечивает организацию и проведение научно-исследовательских, опытно-конструкторских и иных работ в сфере технической и криптографической защиты информации;

6.9. осуществляет международное сотрудничество в сфере технической и криптографической защиты информации, в том числе взаимодействует с организациями иностранных государств, международными организациями и межгосударственными образованиями, заключает в пределах своей компетенции международные договоры межведомственного характера;

6.10. разрабатывает проекты актов законодательства, в том числе обязательных для соблюдения технических нормативных правовых актов, и принимает такие акты по вопросам технической и криптографической защиты информации;

6.11. осуществляет иные полномочия в сфере технической и криптографической защиты информации в соответствии с настоящим Положением и иными законодательными актами.

ГЛАВА 3
ОСНОВНЫЕ ПОЛОЖЕНИЯ ПО ОРГАНИЗАЦИИ ТЕХНИЧЕСКОЙ И КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ

7. Организации – собственники (владельцы) информационных систем, владельцы критически важных объектов информатизации, организации, оказывающие услуги по распространению открытых ключей проверки электронной цифровой подписи, указанные в части первой пункта 3 настоящего Положения, в целях обеспечения технической и криптографической защиты информации:

7.1. обеспечивают проведение мероприятий по проектированию и созданию систем защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, в порядке, предусмотренном законодательством об информации, информатизации и защите информации;

7.2. организуют и проводят комплекс организационно-технических мероприятий по аттестации систем защиты информации;

7.3. организуют и проводят комплекс мероприятий по проектированию, созданию и аудиту систем информационной безопасности критически важных объектов информатизации;

7.4. организуют и проводят комплекс мероприятий по криптографической защите информации в информационных системах, в которых обрабатываются электронные документы;

7.5. организуют и проводят комплекс мероприятий по выполнению условий, на соответствие которым осуществляется аккредитация поставщиков услуг в Государственной системе управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь в соответствии с законодательством об электронном документе и электронной цифровой подписи;

7.6. осуществляют методическое руководство проведением мероприятий по технической и криптографической защите информации организациями, находящимися в их подчинении (входящими в их состав, систему), а также хозяйственными обществами, акции (доли в уставных фондах) которых принадлежат Республике Беларусь либо административно-территориальной единице и переданы в управление указанных организаций;

7.7. осуществляют сбор, анализ, хранение не менее одного года и представление в ОАЦ сведений о событиях информационной безопасности, в том числе о фактах возникновения угроз информационной безопасности критически важного объекта информатизации, нарушения или прекращения функционирования информационной системы, нарушения конфиденциальности, целостности, подлинности, доступности и сохранности информации, в порядке и объемах, определяемых ОАЦ;

7.8. представляют в ОАЦ сведения о состоянии технической и криптографической защиты информации в порядке и объемах, определяемых ОАЦ.

8. Мероприятия по технической и криптографической защите информации, осуществляемые организациями, должны предусматривать:

в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, – защиту информации от несанкционированного доступа к ней и несанкционированного воздействия на нее, обеспечение целостности и подлинности обрабатываемой информации в порядке, установленном законодательством об информации, информатизации и защите информации;

в информационных системах, в которых обрабатываются электронные документы, – обеспечение целостности и подлинности данных документов;

на критически важных объектах информатизации:

предотвращение неправомерного доступа, уничтожения, модификации, копирования, предоставления и распространения информации, обрабатываемой на критически важном объекте информатизации;

обнаружение и предупреждение угроз информационной безопасности критически важного объекта информатизации и принятие мер по предупреждению и уменьшению рисков информационной безопасности;

недопущение реализации угроз информационной безопасности в отношении активов критически важного объекта информатизации, а также восстановление функционирования критически важного объекта информатизации в случае такого воздействия;

безопасное информационное взаимодействие критически важного объекта информатизации с иными информационными системами.

9. Работы по технической и криптографической защите информации в организации проводятся подразделением защиты информации или иным подразделением (должностным лицом), ответственным за обеспечение защиты информации. Работники такого подразделения (должностное лицо) должны иметь высшее образование в области защиты информации либо высшее, или среднее специальное, или профессионально-техническое образование и пройти переподготовку или повышение квалификации по вопросам технической и криптографической защиты информации в порядке, установленном законодательством.

10. В случае невозможности выполнения работ по технической и криптографической защите информации силами подразделения защиты информации или иными подразделениями (должностными лицами), ответственными за обеспечение защиты информации, руководителем организации могут привлекаться организации, имеющие лицензии на осуществление деятельности по технической и (или) криптографической защите информации в части соответствующих составляющих данный вид деятельности работ и (или) услуг.

11. Аттестация систем защиты информации проводится до ввода в эксплуатацию информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено.

12. При передаче служебной информации ограниченного распространения по сетям электросвязи общего пользования данная информация должна быть защищена с использованием средств криптографической защиты информации, обеспечивающих линейное и (или) предварительное шифрование передаваемой информации.

Криптографическая защита служебной информации ограниченного распространения осуществляется только с применением программно-аппаратных средств криптографической защиты информации. Дополнительные организационные и технические меры по криптографической защите указанной информации определяются ОАЦ.

13. При осуществлении технической и криптографической защиты информации используются средства технической и криптографической защиты информации, имеющие сертификат соответствия Национальной системы подтверждения соответствия Республики Беларусь или положительное экспертное заключение по результатам государственной экспертизы, проводимой ОАЦ.

14. Особенности криптографической защиты информации в информационных системах, в которых обрабатываются электронные документы, могут устанавливаться законодательством об электронном документе и электронной цифровой подписи. Дополнительные организационные и технические меры по криптографической защите информации в названных информационных системах определяются ОАЦ.

15. Руководитель организации несет персональную ответственность за организацию работ по технической и криптографической защите информации в организации.

ГЛАВА 4
ОСОБЕННОСТИ ТЕХНИЧЕСКОЙ И КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ, ОБРАБАТЫВАЕМОЙ НА КРИТИЧЕСКИ ВАЖНЫХ ОБЪЕКТАХ ИНФОРМАТИЗАЦИИ

16. Техническая и криптографическая защита информации, обрабатываемой на критически важных объектах информатизации, обеспечивается путем реализации владельцами критически важных объектов информатизации комплекса организационно-технических мероприятий по проектированию, созданию и аудиту систем информационной безопасности этих объектов, мониторингу угроз информационной безопасности, фактов возникновения рисков информационной безопасности и реагированию на них.

17. При реализации комплекса организационно-технических мероприятий по проектированию и созданию системы информационной безопасности критически важного объекта информатизации должны учитываться установленные законодательством, в том числе обязательными для соблюдения техническими нормативными правовыми актами, требования по обеспечению промышленной, пожарной, экологической, радиационной и иной безопасности при эксплуатации соответствующих объектов и (или) осуществлении технологических процессов.

18. Для проведения работ по технической и криптографической защите информации, обрабатываемой на критически важных объектах информатизации, в организации создается подразделение защиты информации или назначается уполномоченное должностное лицо. Работники такого подразделения (должностное лицо) должны иметь высшее образование в области защиты информации либо высшее, или среднее специальное, или профессионально-техническое образование и пройти переподготовку или повышение квалификации по вопросам технической и криптографической защиты информации в порядке, установленном законодательством.

19. В целях определения соответствия системы информационной безопасности требованиям законодательства, в том числе обязательных для соблюдения технических нормативных правовых актов в сфере технической и криптографической защиты информации, проводится ее аудит.

Аудит системы информационной безопасности критически важного объекта информатизации проводится владельцем данного объекта информатизации не позднее чем через год после завершения мероприятий по созданию системы информационной безопасности и далее ежегодно.

Результаты аудита системы информационной безопасности критически важного объекта информатизации оформляются актом.

ГЛАВА 5
КОНТРОЛЬ ЗА ТЕХНИЧЕСКОЙ И КРИПТОГРАФИЧЕСКОЙ ЗАЩИТОЙ ИНФОРМАЦИИ

20. Контроль за технической и криптографической защитой информации (далее – контроль) проводится в целях проверки выполнения требований нормативных правовых актов в области технической и криптографической защиты информации организациями, указанными в части первой пункта 3 настоящего Положения.

Особенности контроля в организациях, оказывающих услуги по распространению открытых ключей проверки электронной цифровой подписи, аккредитованных в Государственной системе управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь, определяются ОАЦ.

21. Контроль осуществляется ОАЦ в форме проверок, проводимых в соответствии с планом проверок технической и криптографической защиты информации, утверждаемым начальником ОАЦ и размещаемым на официальном сайте ОАЦ в глобальной компьютерной сети Интернет не позднее 30 декабря года, предшествующего году проведения проверки.

Без включения в план, указанный в части первой настоящего пункта, проверки организаций могут назначаться начальником ОАЦ или его уполномоченным заместителем при наличии сведений, в том числе полученных от организации или физического лица, свидетельствующих о совершаемом (совершенном) нарушении требований нормативных правовых актов в сфере технической и криптографической защиты информации, о фактах возникновения предпосылок к несанкционированному распространению информации, распространение и (или) предоставление которой ограничено, в случаях возникновения рисков информационной безопасности, а также чрезвычайной ситуации техногенного характера по месту расположения критически важного объекта информатизации.

22. Для проведения проверки решением начальника ОАЦ или его уполномоченного заместителя назначается комиссия.

О назначении проверки организация письменно уведомляется не позднее десяти рабочих дней до начала ее проведения. Уведомление должно содержать сведения о дате начала проверки, сроках ее проведения, составе комиссии, а также о вопросах, подлежащих проверке.

23. Для проведения проверки на каждого члена комиссии оформляется предписание.

Предписание подписывается начальником ОАЦ или его уполномоченным заместителем и заверяется гербовой печатью ОАЦ.

24. Для проведения проверки разрабатывается план проверочных мероприятий, который утверждается начальником ОАЦ или его уполномоченным заместителем.

25. Проверка начинается с внесения предписания и представления комиссии руководителю организации или его уполномоченному заместителю.

При представлении комиссии руководителю организации или его уполномоченному заместителю доводится план проверочных мероприятий.

26. Проверочные мероприятия проводятся в присутствии определенных руководителем организации или его уполномоченным заместителем представителей этой организации.

27. В ходе проверки оцениваются:

27.1. наличие подразделения защиты информации или иного подразделения (должностного лица), ответственного за обеспечение защиты информации, их задачи и функции в части обеспечения технической и криптографической защиты информации;

27.2. наличие и содержание:

организационно-распорядительных документов, регламентирующих вопросы технической и криптографической защиты информации в организации;

документов, определяющих порядок и содержащих результаты проведения мероприятий по созданию систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, аттестации указанных систем защиты информации, созданию систем информационной безопасности критически важных объектов информатизации и их аудиту;

27.3. эффективность и достаточность технических и криптографических мер защиты информации в реальных условиях эксплуатации.

28. При проведении проверки председатель комиссии самостоятельно определяет методы и способы ее осуществления.

29. По результатам проверки составляется акт в количестве не менее двух экземпляров с отражением в нем экспертной оценки соответствия принятых мер по технической и криптографической защите информации требованиям законодательства, выявленных нарушений, недостатков и предложений по их устранению.

Акт проверки составляется в течение десяти рабочих дней со дня окончания проверки и подписывается всеми членами комиссии.

В течение трех рабочих дней после его составления первый экземпляр акта направляется в проверяемую организацию, второй – остается в ОАЦ.

30. В случае обнаружения нарушений требований законодательства, в том числе обязательных для соблюдения технических нормативных правовых актов в сфере технической и криптографической защиты информации, начальник ОАЦ или его уполномоченный заместитель выносит письменное требование (предписание) об устранении выявленных нарушений и (или) приостановлении (прекращении) обработки информации в информационной системе или функционирования критически важного объекта информатизации.

Об устранении нарушений организация письменно сообщает в ОАЦ в пределах срока, установленного в письменном требовании (предписании), который не может превышать шести месяцев.

При наличии объективных обстоятельств, не позволивших устранить нарушения, указанные в письменном требовании (предписании), в установленные в нем сроки, по заявлению организации, поданному не позднее трех рабочих дней до дня истечения этих сроков с указанием соответствующих обстоятельств, начальником ОАЦ или его уполномоченным заместителем может быть принято решение о переносе сроков устранения нарушений. Решение о переносе сроков или об отказе в этом принимается не позднее двух рабочих дней со дня поступления заявления.

О выполнении письменного требования (предписания) об устранении нарушений организация в сроки, установленные в этом требовании (предписании), письменно сообщает в ОАЦ с приложением подтверждающих документов, а также предоставляет ОАЦ возможность удостовериться на месте в устранении нарушений.

Решение о возобновлении обработки информации в соответствующих информационных системах или на соответствующих критически важных объектах информатизации принимается начальником ОАЦ или его уполномоченным заместителем после устранения нарушений, послуживших основанием вынесения письменного требования (предписания).

31. При наличии возражений по акту проверки руководитель организации или его уполномоченный заместитель не позднее пятнадцати рабочих дней со дня поступления акта в организацию представляет в ОАЦ в письменном виде возражения по его содержанию.

Обоснованность доводов, изложенных в возражениях, рассматривается ОАЦ не позднее десяти рабочих дней со дня их поступления. При необходимости по решению начальника ОАЦ для рассмотрения их обоснованности может быть назначена специальная комиссия. Результаты рассмотрения отражаются в письменном заключении, которое направляется в организацию.

32. Вынесенные по результатам проверки решения по акту проверки, письменное требование (предписание) об устранении нарушений и (или) приостановлении (прекращении) обработки информации в информационной системе или функционирования критически важного объекта информатизации, а также действия (бездействие) членов комиссии могут быть обжалованы организацией в суд в порядке, установленном законодательными актами.

ГЛАВА 6
ПОНЯТИЙНЫЙ АППАРАТ

33. Для целей настоящего Положения используемые термины имеют следующие значения:

активы критически важного объекта информатизации – входящие в состав критически важного объекта информатизации технические, программные, программно-аппаратные средства (в том числе средства защиты информации), обрабатываемая информация, системы управления информационными, производственными и (или) технологическими процессами;

аудит системы информационной безопасности критически важного объекта информатизации – систематический, независимый и документированный процесс получения информации о деятельности владельца критически важного объекта информатизации по обеспечению информационной безопасности этого объекта информатизации и установлению степени соответствия выполнения требований, установленных законодательством, в том числе обязательными для соблюдения техническими нормативными правовыми актами;

владелец критически важного объекта информатизации – организация, в собственности, хозяйственном ведении или оперативном управлении которой находится критически важный объект информатизации;

информационная безопасность критически важного объекта информатизации – состояние защищенности активов критически важного объекта информатизации от угроз и рисков информационной безопасности критически важного объекта информатизации;

криптографическая защита информации – деятельность, направленная на обеспечение конфиденциальности, контроля целостности и подлинности информации с использованием средств криптографической защиты информации;

критически важный объект информатизации – объект информатизации, который на основании критериев отнесения объектов информатизации к критически важным объектам информатизации и показателей уровня вероятного ущерба национальным интересам Республики Беларусь в политической, экономической, социальной, информационной, экологической и иных сферах включен в Государственный реестр критически важных объектов информатизации;

несанкционированное воздействие на информацию – изменение или уничтожение информации, осуществляемое с нарушением установленных прав или правил;

несанкционированный доступ к информации – доступ к информации, осуществляемый с нарушением установленных прав или правил разграничения доступа;

объект информатизации – средства электронной вычислительной техники вместе с программным обеспечением, в том числе системы управления различного уровня и назначения, информационные системы и сети, автономные стационарные и персональные электронные вычислительные машины, используемые в соответствии с заданной информационной технологией, системы управления информационными, производственными и (или) технологическими процессами;

риск информационной безопасности критически важного объекта информатизации – вероятность реализации угроз информационной безопасности активам критически важного объекта информатизации, которая может повлечь нарушение или прекращение их функционирования;

система защиты информации – совокупность мер по защите информации, реализованных в информационной системе;

система информационной безопасности критически важного объекта информатизации – совокупность правовых, организационных и технических мер, направленных на обеспечение информационной безопасности критически важного объекта информатизации;

средства криптографической защиты информации – программные, программно-аппаратные средства, реализующие один или несколько криптографических алгоритмов (шифрование, выработка и проверка электронной цифровой подписи, хэширование, имитозащита) и криптографические протоколы, а также функции управления криптографическими ключами и функциональные возможности безопасности;

средства технической защиты информации – технические, программные, программно-аппаратные средства, предназначенные для защиты информации от несанкционированного доступа и несанкционированных воздействий на нее, блокирования правомерного доступа к ней, иных неправомерных воздействий на информацию, а также для контроля ее защищенности;

техническая защита информации – деятельность, направленная на обеспечение конфиденциальности, целостности, доступности и сохранности информации техническими мерами без применения средств криптографической защиты информации;

угроза информационной безопасности критически важного объекта информатизации – потенциальная или реально существующая возможность нанесения ущерба активам критически важного объекта информатизации, которая может повлечь нарушение или прекращение их функционирования.

 

 

УТВЕРЖДЕНО

Указ Президента
Республики Беларусь
16.04.2013 № 196
(в редакции Указа Президента
Республики Беларусь
09.12.2019 № 449)

ПОЛОЖЕНИЕ
о порядке отнесения объектов информатизации к критически важным объектам информатизации

ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ

1. В настоящем Положении определяется порядок отнесения объектов информатизации к критически важным объектам информатизации и исключения их из числа критически важных объектов информатизации.

2. Отнесение объектов информатизации к критически важным объектам информатизации осуществляется в целях выполнения владельцами критически важных объектов информатизации требований по обеспечению технической и криптографической защиты информации на данных объектах.

ГЛАВА 2
ПОРЯДОК ОТНЕСЕНИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ К КРИТИЧЕСКИ ВАЖНЫМ ОБЪЕКТАМ ИНФОРМАТИЗАЦИИ

3. Объект информатизации подлежит отнесению к критически важным при условии его соответствия критериям, перечисленным в пункте 5 настоящего Положения, и показателям уровня вероятного ущерба национальным интересам Республики Беларусь в политической, экономической, социальной, информационной, экологической и иных сферах (далее – показатели уровня вероятного ущерба) в случае создания угроз информационной безопасности либо в результате возникновения рисков информационной безопасности в отношении объекта информатизации (его составляющих элементов), утверждаемым ОАЦ по согласованию с заинтересованными государственными органами.

4. В целях накопления и хранения систематизированной информации о критически важных объектах информатизации, расположенных на территории Республики Беларусь, координации деятельности организаций по технической и криптографической защите информации, обрабатываемой на таких объектах, ОАЦ осуществляет ведение Государственного реестра критически важных объектов информатизации (далее – реестр).

Порядок ведения реестра и предоставления сведений из него определяется ОАЦ.

5. Критериями отнесения объектов информатизации к критически важным являются:

критерий социальной значимости – в отношении объектов информатизации, обеспечивающих жизнедеятельность населения (жилищно-коммунальное хозяйство, здравоохранение, образование, труд, занятость и социальная защита);

критерий экономической значимости – в отношении объектов информатизации, обеспечивающих функционирование объектов (организаций) основных отраслей экономики и (или) иные важные экономические потребности, в том числе обеспечивающих проведение безналичных (межбанковских) расчетов, осуществляющих процессинг;

критерий экологической значимости – в отношении объектов информатизации, нарушение или прекращение функционирования которых может причинить ущерб окружающей среде;

критерий информационной значимости – в отношении объектов информатизации в области связи и средств массовой информации.

6. Для принятия решения об отнесении объекта информатизации к критически важным объектам информатизации владелец объекта информатизации составляет заключение о соответствии этого объекта критериям, перечисленным в пункте 5 настоящего Положения, и показателям уровня вероятного ущерба (далее – заключение) в двух экземплярах.

Один экземпляр заключения направляется:

в государственный орган (за исключением облисполкомов и Минского горисполкома) – в отношении объектов информатизации, находящихся в собственности, хозяйственном ведении или оперативном управлении подчиненных этому государственному органу (входящих в его состав, систему) организаций, а также хозяйственных обществ, акции (доли в уставных фондах) которых переданы в управление этого государственного органа либо находятся в хозяйственном ведении или оперативном управлении подчиненных этому государственному органу (входящих в его состав, систему) организаций;

в облисполком или Минский горисполком – в отношении объектов информатизации, находящихся в собственности, хозяйственном ведении или оперативном управлении организаций, имущество, акции (доли в уставных фондах) которых находятся в собственности соответствующей области, г. Минска, административно-территориальных единиц, входящих в состав территории этой области, г. Минска, а также объектов информатизации, находящихся в собственности, хозяйственном ведении или оперативном управлении иных организаций, не указанных в абзаце втором настоящей части, с местом нахождения на территории соответствующей области, г. Минска.

Второй экземпляр заключения направляется в ОАЦ в целях контроля принятия решения об отнесении объекта информатизации к критически важным объектам информатизации.

Заключение направляется в государственные органы, указанные в частях второй и третьей настоящего пункта, в течение трех рабочих дней со дня его составления.

Форма заключения определяется ОАЦ.

7. Не позднее десяти рабочих дней со дня поступления заключения государственный орган принимает решение об отнесении объекта информатизации к критически важным объектам информатизации.

Решение об отнесении объекта информатизации к критически важным объектам информатизации принимается в виде приказа (распоряжения) руководителем государственного органа или его уполномоченным заместителем.

О принятом решении государственный орган информирует владельца объекта информатизации в течение пяти рабочих дней со дня его принятия.

8. В случае, если владельцем объекта информатизации выступает непосредственно государственный орган, решение об отнесении такого объекта информатизации к критически важным объектам информатизации принимается руководителем (уполномоченным заместителем руководителя) этого государственного органа самостоятельно.

9. Государственные органы вправе по собственной инициативе рассмотреть вопрос о соответствии (несоответствии) объектов информатизации, указанных в части второй пункта 6 настоящего Положения, критериям отнесения объектов информатизации к критически важным, показателям уровня вероятного ущерба и принять решение об отнесении таких объектов к критически важным объектам информатизации.

10. Копия решения об отнесении объекта информатизации к критически важным объектам информатизации в течение пяти рабочих дней со дня его принятия направляется государственным органом в ОАЦ для включения объекта информатизации в реестр. 

ОАЦ в течение пяти рабочих дней со дня получения копии решения государственного органа об отнесении объекта информатизации к критически важным объектам информатизации включает этот объект информатизации в реестр. 

11. Объект информатизации считается отнесенным к критически важным объектам информатизации со дня его включения в реестр. 

12. На основании информации, содержащейся в открытом доступе, а также полученной от государственных органов, владельцев объектов информатизации, ОАЦ вправе вынести письменное требование (предписание) об отнесении соответствующего объекта информатизации к критически важным объектам информатизации.

Письменное требование (предписание) об отнесении соответствующего объекта информатизации к критически важным объектам информатизации направляется владельцу объекта информатизации.

Владелец объекта информатизации, получивший письменное требование (предписание) о необходимости отнесения соответствующего объекта информатизации к критически важным объектам информатизации, в месячный срок со дня получения этого требования (предписания) обязан совершить действия, определенные в пункте 6 или 8 настоящего Положения.

13. Владельцы критически важных объектов информатизации:

в течение шести месяцев со дня принятия решения об отнесении объекта информатизации к критически важным осуществляют проектирование и создание системы информационной безопасности;

в течение пяти рабочих дней со дня создания системы информационной безопасности информируют об этом ОАЦ.

14. В связи с проведением владельцем критически важных объектов информатизации мероприятий правового, организационного или технического характера два и более критически важных объекта информатизации могут быть объединены в один критически важный объект информатизации.

Об объединении двух и более критически важных объектов информатизации в один критически важный объект информатизации владелец этих объектов составляет заключение по форме, определяемой ОАЦ, и в течение трех рабочих дней со дня его составления направляет данное заключение в государственный орган, принявший решение об отнесении этих объектов к критически важным объектам информатизации.

Не позднее десяти рабочих дней со дня поступления заключения государственный орган принимает решение об объединении критически важных объектов информатизации.

Решение об объединении критически важных объектов информатизации принимается в виде приказа (распоряжения) руководителем государственного органа или его уполномоченным заместителем.

О принятом решении государственный орган информирует владельца критически важных объектов информатизации в течение пяти рабочих дней со дня его принятия.

Копия решения об объединении критически важных объектов информатизации в течение пяти рабочих дней со дня его принятия направляется государственным органом в ОАЦ для внесения соответствующих изменений в реестр. 

ГЛАВА 3
ИСКЛЮЧЕНИЕ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ИЗ ЧИСЛА КРИТИЧЕСКИ ВАЖНЫХ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ

15. Исключение объектов информатизации из числа критически важных объектов информатизации осуществляется в порядке, предусмотренном для отнесения таких объектов к критически важным объектам информатизации, с учетом особенностей, установленных в настоящей главе.

16. Исключение объекта информатизации из числа критически важных объектов информатизации осуществляется по согласованию с ОАЦ в следующих случаях:

если критически важный объект информатизации в процессе его эксплуатации перестал удовлетворять критериям, перечисленным в пункте 5 настоящего Положения, и показателям уровня вероятного ущерба;

прекращения эксплуатации критически важного объекта информатизации.

Для согласования вопроса об исключении объекта информатизации из числа критически важных объектов информатизации государственный орган направляет в ОАЦ письмо с обоснованием необходимости принятия такого решения.

17. В решении государственного органа об исключении объекта информатизации из числа критически важных объектов информатизации должна быть указана причина принятия такого решения в соответствии с пунктом 16 настоящего Положения.

18. Объект информатизации считается исключенным из числа критически важных объектов информатизации со дня его исключения из реестра.

ГЛАВА 4
ПОНЯТИЙНЫЙ АППАРАТ

19. Для целей настоящего Положения используемые термины имеют следующие значения:

владелец объекта информатизации – организация, в собственности, хозяйственном ведении или оперативном управлении которой находится объект информатизации;

государственный орган – государственный орган, иная государственная организация, подчиненные (подотчетные) Президенту Республики Беларусь, республиканский орган государственного управления, иная государственная организация, подчиненные Правительству Республики Беларусь, облисполкомы и Минский горисполком.

свернуть

ПОЛИТИКА государственного учреждения образования «Средняя школа №12 г.Орши» в отношении обработки персональных данных

 

 

ГЛАВА 1

ОБЩИЕ ПОЛОЖЕНИЯ

  1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) подготовлена во исполнение требований Закона Республики Беларусь от 7 мая 2021 г. № 99-3 «О защите персональных данных» (далее – Закон), в соответствии с Положением о технической и криптографической защите информации, утвержденным Указом Президента Республики Беларусь от 16 апреля 2013 г. № 196, и определяет порядок обработки персональных данных государственным учреждением образования «Средняя школа №12 г. Орши» (далее – учреждение, Оператор) и меры по обеспечению защиты и безопасности персональных данных, принимаемые Оператором.
  2. Политика действует в отношении всех процессов обработки персональных данных, которые управление получает о субъекте персональных данных, и структурных подразделений, их обрабатывающих.
  3. Целью настоящей Политики является обеспечение надлежащей защиты персональных данных от несанкционированного доступа и разглашения, соблюдение прав и свобод гражданина при обработке его персональных данных, в том числе обеспечение защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
  4. Передавая Оператору персональные данные, в том числе посредством интернет-ресурсов учреждения образования, субъект персональных данных подтверждает свое согласие на обработку соответствующей информации на условиях, изложенных в настоящей Политике.
  5. В настоящей Политике используются следующие основные термины и их определения:

блокирование персональных данных – прекращение доступа к персональным данным без их удаления;

интернет-ресурс – интернет-сайт, страница интернет-сайта, веб-портал, форум, блог, чат, приложение для мобильного устройства и другие ресурсы, имеющие подключение к сети Интернет;

обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;

персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;

предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;

распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;

сервисы – любые сервисы, продукты, программы, мероприятия, услуги управления;

специальные персональные данные – персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;

субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;

удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;

физическое лицо, которое может быть идентифицировано, – физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.

Иные термины и их определения, употребляющиеся в настоящей Политике, используются в значениях, определенных законодательством.

 

ГЛАВА 2

ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Обработка персональных данных осуществляется на основе следующих принципов:

осуществляется с согласия субъекта персональных данных, за исключением случаев, установленных законодательством. Субъект персональных данных дает согласие на обработку персональных данных на неопределенный срок, если иное не предусмотрено законодательством;

ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;

содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

при обработке персональных данных обеспечивается их точность, достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям обработки;

должна носить прозрачный характер. В этих целях субъекту персональных данных в случаях, предусмотренных Законом, предоставляется соответствующая информация, касающаяся обработки его персональных данных;

хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством, договором, стороной которого является субъект персональных данных.

  1. Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.

 

ГЛАВА 3

ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Целями обработки учреждением образования персональных данных являются:

выполнение возложенных на Оператора функций в соответствии с Положением учреждения образования, в том числе  ведение государственных реестров и перечней, в которых содержится информация о физических лицах;

заключение с субъектами персональных данных любых видов договоров и их последующего исполнения, в том числе договоров на предоставление доступа к ресурсам, формирование и ведение которых осуществляется учреждением образования, включая дополнительные ресурсы, формируемые организациями-партнерами Оператора;

использование персональных данных в рекламных и маркетинговых целях, в том числе направление субъекту персональных данных уведомлений, коммерческих предложений, рассылок информационного и рекламного характера, связанных с продукцией (работами, услугами) Оператора;

оказание технической поддержки по вопросам функционирования интернет-ресурсов Оператора;

обработка сообщений и запросов, поступивших от субъекта персональных данных;

анализ работы ресурсов Оператора, совершенствование их функциональных и поисковых возможностей, в том числе посредством проведения опросов и иных исследований;

предоставление субъекту персональных данных сервисов Оператора;

ведение кадровой работы и организация учета работников учреждения образования, в том числе привлечение и отбор кандидатов для работы в учреждение образования;

ведение делопроизводства по обращениям граждан, поступающим Оператору в соответствии с Законом Республики Беларусь от 18 июля 2011 г.      № 300-З «Об обращениях граждан и юридических лиц»;

осуществление административных процедур;

ведение индивидуального (персонифицированного) учета застрахованных лиц;

ведение воинского учета;

ведение бухгалтерского и налогового учета;

начисление и перечисление заработной платы, назначение и выплата пособий;

заполнение и передача в государственные органы и иные уполномоченные организации требуемых форм отчетности;

обработка персональных данных в целях назначения пенсий;

осуществление хозяйственной деятельности;

обработка иных обращений и запросов, получаемых от субъектов персональных данных;

выполнение иных обязанностей (полномочий), предусмотренных законодательными актами.

 

ГЛАВА 4

КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

И ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ,

ОБРАБАТЫВАЕМЫХ УЧРЕЖДЕНИЕМ ОБРАЗОВАНИЯ

  1. Оператор может обрабатывать персональные данные следующих субъектов персональных данных:

кандидаты на работу, работники учреждения образования, в том числе бывшие работники, их супруги и близкие родственники;

лица, являющиеся кандидатами в резерв руководящих кадров;

лица, не являющиеся работниками учреждения образования, при обработке наградных документов учреждения образования;

студенты, иные лица, прибывшие в учреждение образования на практику, стажировку;

контрагенты – физические лица, в том числе потенциальные (по договорам);

представители потенциальных контрагентов;

посетители интернет-ресурсов;

лица, предоставившие персональные данные учреждению образования иным путем.

  1. К персональным данным, обрабатываемым учреждением образования, относятся:

фамилия, собственное имя, отчество;

пол;

число, месяц, год рождения;

идентификационный номер;

паспортные данные;

место рождения;

цифровой фотопортрет (фотографии);

контактные данные (номер телефона, факса, адрес электронной почты);

адрес места жительства, места нахождения;

номер свидетельства социального страхования;

данные:

о гражданстве (подданстве);

о регистрации по месту жительства и (или) месту пребывания;

о смерти или объявлении физического лица умершим, признании безвестно отсутствующим, недееспособным, ограниченно дееспособным;

о родителях, опекунах, попечителях, семейном положении, супруге, ребенке (детях) физического лица;

об образовании, ученой степени, ученом звании;

о роде занятий;

о пенсии, ежемесячном денежном содержании по законодательству о государственной службе, ежемесячной страховой выплате по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваний;

о налоговых обязательствах;

об исполнении воинской обязанности;

об инвалидности;

о наличии исполнительного производства на исполнении в органах принудительного исполнения.

  1. Оператором может обрабатываться следующая техническая информация:

1Р-адрес;

информация из браузера;

данные из файлов cookie;

адрес запрашиваемой страницы;

история запросов и просмотров на интернет-ресурсах Оператора.

  1. Оператор обрабатывает специальные персональные данные (касающиеся членства в профессиональных союзах, здоровья и биометрических данных) только при условии согласия субъекта персональных данных либо без согласия в случаях, предусмотренных законодательством.

 

ГЛАВА 5

ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА

  1. Оператор имеет право:

получать от субъекта персональных данных достоверные информацию и (или) документы, содержащие персональные данные;

запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;

в случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе;

в случае необходимости для достижения целей обработки персональных данных передавать их третьим лицам с соблюдением требований законодательства;

самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом.

  1. Оператор обязан:

разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;

получать согласие субъекта персональных данных на обработку персональных данных, за исключением случаев, предусмотренных Законом и иными законодательными актами;

обеспечивать защиту персональных данных в процессе их обработки;

предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом и иными законодательными актами;

вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;

прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;

уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;

осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;

исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;

выполнять иные обязанности, предусмотренные Законом и иными законодательными актами.

 

ГЛАВА 6

ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА

ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Субъект персональных данных имеет право:

получать информацию, касающуюся обработки его персональных данных;

получать от Оператора информацию о предоставлении своих персональных данных третьим лицам на условиях, определенных Законом;

отзывать согласие на обработку персональных данных;

выразить условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров (работ, услуг);

обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;

требовать от Оператора:

изменения его персональных данных в случае, если персональные данные являются неполными или устаревшими;

бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;

получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты school12.orsha.obr@yandex.by ;

осуществления иных прав, предусмотренных законодательством Республики Беларусь.

  1. Субъект персональных данных обязан:

предоставлять Оператору достоверные данные о себе;

сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством Республики Беларусь.

 

ГЛАВА 7

ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

  1. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Законом.
  2. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается посредством реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований законодательства в области защиты персональных данных.
  3. Настоящая Политика вступает в силу со дня ее утверждения.
  4. Оператор имеет право изменять настоящую Политику в одностороннем порядке без предварительного согласования и последующего уведомления субъекта персональных данных.
  5. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящей Политике, регулируются законодательством.

 

 

 

 

 

 

 

 

 

 

свернуть

Политика в отношении обработки cookie

1.Куки (англ. cookies) являются текстовым файлами, сохраненными на компьютере (мобильном устройстве) пользователя интернет-сайтов ГУО "Средняя школа №12 г. Орши" при их посещении для отражения совершенных действий. Эти файлы позволяют не вводить заново или выбирать те же параметры при повторном посещении Сайта, например, выбор языковой версии.

Целью обработки куки является обеспечение удобства пользователей Сайтов и повышение качества их функционирования.

2. На Сайтах обрабатываются следующие типы куки:

  • необходимые (технические) - нужны для функционирования корректной работы сайта;
  • функциональные - позволяют обеспечить индивидуальный опыт использования сайта и устанавливаются в ответ на действия субъекта персональных данных;
  • статистические (аналитические) - позволяют хранить историю посещений страниц сайта в целях повышения качества его функционирования, чтобы определить наиболее и наименее популярные страницы.

3. Обрабатываемые на Сайтах куки и сроки их хранения:

Тип куков

Файл куки / Сервис

Назначение

Срок хранения

необходимые

__Secure-SessionId

Этот файл куки сохраняет данные сеанса на время посещения веб-сайта пользователем для обеспечения корректной работы сайта

на время пользования сайтом (сессия)

необходимые

Poll

Этот файл куки сохраняет факт участия в опросе для предотвращения повторного участия в одном и том же опросе

не более года

функциональные

Google Translate*

Данный сервис устанавливает куки файлы для обеспечения сохранения выбора языка при переключении между страницами сайта и идентификации пользователя в сервисах Google

часть на время пользования сайтом, а остальные - не более года

функциональные

Яндекс.Переводчик*

Данный сервис устанавливает куки файлы для обеспечения сохранения выбора языка при переключении между страницами сайта и идентификации пользователя в сервисах Яндекса

часть на время пользования сайтом, а остальные - не более года

функциональные

Яндекс.Поиск*

Данный сервис устанавливает куки файлы для обеспечения работы поиска по сайту и идентификации пользователя в сервисах Яндекса.

часть на время пользования сайтом, а остальные - не более года

статистические

Яндекс.Метрика*

Данный сервис устанавливает куки файлы для сбора информации о поведении пользователей на сайте и идентификации пользователя в сервисах Яндекса.

часть на время пользования сайтом, а остальные - не более 2х лет

* - Названия и количество куков-файлов определяется данными сервисами самостоятельно и могут изменяться.

4. В рамках обеспечения полноценного функционирования Сайта и повышения качества его работы к обработке куков-файлов могут допускаться следующие сторонние организации:

Google Inc. (юридический адрес: 1600 Amphitheatre Parkway, Mountain View, CA 94043, США) с целью обеспечения сохранения выбора языка при переключении между страницами сайта Сайта и идентификации пользователя в сервисах Google;

ООО «Яндекс» (юридический адрес: Российская Федерация, 119021, г. Москва, ул. Л. Толстого, 16) с целями:

  • обеспечения сохранения выбора языка при переключении между страницами сайта Сайта и идентификации пользователя в сервисах Яндекса;
  • обеспечения работы поиска по Сайту и идентификации пользователя в сервисах Яндекса;
  • сбора информации о поведении пользователей на Сайте и идентификации пользователя в сервисах Яндекса.

Указанным организациям на основании согласия пользователя Сайта может осуществляется трансграничная передача информации, собранной при помощи куков-файлов.

При этом Google Inc. имеет юридический адрес в государстве США, на территории которого не обеспечивается надлежащий уровень защиты прав субъектов персональных данных. Перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определяется Национальным центром защиты персональных данных.

5. Пользователи могут принять или отклонить все обрабатываемые на Сайтах куки, кроме необходимых.
Отключение функциональных куки может привести к ограничению пользователя в доступе к определенным функциональным возможностям Сайта.

Отключение статистических куки не позволяет определять предпочтения пользователей Сайта, в том числе наиболее и наименее популярные страницы и принимать меры по совершенствованию работы Сайта исходя из предпочтений пользователей.

6. Сайт сохраняет выбор пользователя о настройках куков-файлов в течение 1 (одного) года. По окончании этого периода Сайт вновь запросит у пользователя Сайта сделать выбор настроек куков-файлов.

Вместе с тем пользователи вправе изменить свой выбор настроек куки (в том числе отозвать согласие) в любое время в интерфейсе Сайта путем нажатия кнопки "Настройка обработки cookie"   размещенную в нижнем левом углу сайта.

7. Помимо настроек куки на Сайте субъекты персональных данных могут принять или отклонить сбор всех или некоторых куки в настройках своего браузера.

При этом некоторые браузеры позволяют посещать интернет-сайты в режиме ”инкогнито“, чтобы ограничить хранимый на компьютере объем информации и автоматически удалять сессионные куки. Кроме того, субъект персональных данных может удалить ранее сохраненные куки, выбрав соответствующую опцию в истории браузера.

свернуть

Реестр обработки персональных данных

Права субъекта персональных данных

поделиться в: