Документы по обеспечению безопасности персональных данных

Информационная поддержка по теме: "Документы по обеспечению безопасности персональных данных" с подробным описанием. В статье мы постарались полностью раскрыть тему. В случае возникновения вопросов, вы всегда можете их задать дежурному юристу.

Содержание

  • Приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

    Приказ ФСБ России от 10 июля 2014 г. N 378
    «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

    В соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных»* приказываю

    утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.

    Зарегистрировано в Минюсте РФ 18 августа 2014 г.

    Регистрационный N 33620

    * Собрание законодательства Российской Федерации, 2006, N 31 (ч. I), ст. 3451; 2009, N 48, ст. 5716, N 52 (ч. I), ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52 (ч. 1), ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30 (ч. 1), ст. 4038.

    Оператор персональных данных при их обработке должен принимать необходимые меры по обеспечению их безопасности. Это касается и обработки данных в информационных системах с использованием средств криптографической защиты информации (СКЗИ).

    КОНСУЛЬТАЦИЯ ЮРИСТА


    УЗНАЙТЕ, КАК РЕШИТЬ ИМЕННО ВАШУ ПРОБЛЕМУ — ПОЗВОНИТЕ ПРЯМО СЕЙЧАС

    8 800 350 84 37

    Определен комплекс мер по обеспечению безопасности персональных данных при указанной обработке. Он включает набор организационных и технических мероприятий по защите персональных данных для каждого из четырех уровней защищенности.

    Во всех случаях требуется обеспечить сохранность носителей персональных данных; исключить неконтролируемое проникновение или пребывание в помещениях, где размещена информационная система, посторонних лиц. Также следует определить список лиц, которым необходим доступ к персональным данным для выполнения ими служебных (трудовых) обязанностей.

    Для нейтрализации актуальных угроз нужно использовать средства защиты информации, прошедшие процедуру оценки соответствия.

    Для каждого уровня защищенности персональных данных предусмотрено применение СКЗИ соответствующего класса.

    Приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

    Зарегистрировано в Минюсте РФ 18 августа 2014 г.

    Регистрационный N 33620

    Настоящий приказ вступает в силу по истечении 10 дней после дня его официального опубликования

    Текст приказа опубликован в «Российской газете» от 17 сентября 2014 г. N 211

    Источник: http://base.garant.ru/70727118/

    Документы, регламентирующие обработку персональных данных. Комментарии экспертов

    Документы, регламентирующие обработку персональных данных. Комментарии экспертов

    Документы, регламентирующие обработку персональных данных

    В рамках проведения работ по защите персональных данных необходимо разработать пакет документов, регламентирующих обработку ПДн в информационных системах Компании.

    Приведем примерный список документов, которые разрабатываются оператором персональных данных в соответствии с требованиями законодательства, а также юридическое обоснование разработки перечисленных документов.

    Документы, регламентирующие обработку ПДн в ИСПДн Компании (для каждой ИСПДн)

    Акт классификации информационной системы персональных данных (ИСПДн).

    Постановление Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:

    п.6. Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных, в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.

    Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 г. №55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных», устанавливает следующий порядок проведения классификации:

    п. 4. Проведение классификации информационных систем включает в себя следующие этапы:

    • сбор и анализ исходных данных по информационной системе;
    • присвоение информационной системе соответствующего класса и его документальное оформление.

    Модель угроз безопасности ПДн при их обработке в ИСПДн (для специальных систем).

    Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 г. №55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»:

    п. 16. По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

    Определение границ контролируемой зоны ИСПДн.

    Читайте так же:  Исполнительный лист на основании мирового соглашения

    Нормативно-методический документ ФСТЭК России «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:

    Одним из основных организационных мероприятий по защите информации является установление контролируемой зоны (КЗ) вокруг ИСПДн.

    Примечание:
    Определение границ КЗ необходимо для разработки ряда документов, в которых учитывается привязка к границам КЗ, в частности:

    • технический паспорт ИСПДн;
    • модель угроз безопасности ПДн при их обработке в ИСПДн.

    Технический паспорт ИСПДн.

    Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) в соответствии с требованиями которых разрабатывается технический паспорт ИСПДн установленной формы.

    Электронный журнал регистрации обращений пользователей ИСПДн на получение ПДн.

    Постановление Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:

    Запросы пользователей информационной системы на получение персональных данных, включая лиц, доступ которых к персональным данным, необходим для выполнения служебных (трудовых) обязанностей, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица.

    Регламент разграничения прав доступа.

    Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К):

    В организации должна быть разработана соответствующая система доступа персонала к сведениям конфиденциального характера.
    Доступ к информации исполнителей (пользователей, обслуживающего персонала) осуществляется в соответствии с разрешительной системой допуска исполнителей к документам и сведениям конфиденциального характера, действующей в организации.

    Руководство администратора ИСПДн.

    Методический документ ФСТЭК «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:

    Описание порядка установки, настройки, конфигурирования и администрирования средств антивирусной защиты, а также порядка действий в случае выявления факта вирусной атаки или иных нарушений требований по защите от программно-математических воздействий должны быть включены в руководство администратора безопасности информации в ИСПДн.

    Приказ об утверждении списка лиц, которым необходим доступ к ПДн, обрабатываемым в ИСПДн, для выполнения служебных (трудовых) обязанностей.

    Постановление Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:

    Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом.

    Перечень применяемых средств защиты информации (СЗИ).

    Постановление Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:

    мероприятия по обеспечению безопасности ПДн при их обработке в информационных системах включают в себя:

    • проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
    • учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных.

    Документы, регламентирующие обработку ПДн в компании

      Положение о защите персональных данных в компании.

    Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн.

    Методический документ ФСТЭК «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:

    При подготовке документации по вопросам обеспечения безопасности ПДн при их обработке в ИСПДн и эксплуатации СЗПДн в обязательном порядке разрабатываются:

    • положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн;
    • требования по обеспечению безопасности ПДн при обработке в ИСПДн;
    • должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн;
    • рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации.

    Положение по организации контроля эффективности защиты информации в компании.

    Методический документ ФСТЭК «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:

    Контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке их обоснованности и эффективности принятых мер. Он может проводиться оператором или на договорной основе сторонними организациями, имеющими лицензии на деятельность по технической защите информации.

    Положение об организации режима безопасности помещений, где осуществляется работа с ПДн.

    Методический документ ФСТЭК «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:

    Одним из основных организационных мероприятий по защите информации является организация режима и контроля доступа в помещения, в которых установлены аппаратные средства ИСПДн.

    Постановление Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:

    п.8.Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

    Положение о порядке хранения и уничтожения носителей ПДн.

    Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К):

    Носители информации на магнитной (магнитооптической), оптической и бумажной основе должны учитываться, храниться и уничтожаться в подразделениях организации в установленном порядке.

    Формы учета для организации обработки ПДн (шаблоны, бланки).

    Читайте так же:  Определение судом размера госпошлины

    Формы учета необходимы для организации взаимодействия с субъектами персональных данных и уполномоченным органом по защите прав субъектов персональных данных.
    При разработке форм руководствоваться требованиями ФЗ-152, Трудового Кодекса РФ.

    Отчет об обследования информационных систем компании.

    Методический документ ФСТЭК «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:

    Порядок организации обеспечения безопасности ПДн в ИСПДн должен предусматривать оценку обстановки, в рамках которой проводится определение состава, содержания и местонахождения ПДн подлежащих защите.

    Перечень сведений конфиденциального характера.

    Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К):

    В организации должен быть документально оформлен перечень сведений конфиденциального характера, подлежащих защите в соответствии с нормативно-правовыми актами.

    Приказ о назначении структурного подразделения или должностного лица, ответственного за обеспечение безопасности ПДн.

    Постановление Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:

    п.13.Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.

    Разработка мер и обеспечение защиты информации осуществляются подразделениями по защите информации (службами безопасности) или отдельными специалистами, назначенными руководителями организации для проведения таких работ. Разработка мер защиты информации может осуществляться также сторонними организациями, имеющими лицензию на право проведения соответствующих работ.

    Копия «Уведомления об обработке ПДн», выписка из реестра операторов ПДн.

    Федеральный закон «О персональных данных» ФЗ-152

    Ст.22. Уведомление об обработке персональных данных» направляется в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор).

    Получение Выписки регламентируется Приказом Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28.03.2008 г. №154 «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных»:

    п. 17.Операторы, включенные в Реестр, вправе получить выписку из Реестра по письменному обращению в Службу в срок не позднее тридцати дней.

    Источник: http://lib.itsec.ru/articles2/Inf_security/documents-pd

    Нормативные документы по защите персональных данных

    Номер документа, дата принятия

    Федеральный закон N 152 – ФЗ
    от 27.07.2006г.
    О персональных данных.

    (в ред. Федеральных законов
    от 25.11.2009 N 266-ФЗ, от 27.12.2009 N 363-ФЗ,
    от 28.06.2010 N 123-ФЗ, от 27.07.2010 N 204-ФЗ,
    от 27.07.2010 N 227-ФЗ, от 29.11.2010 N 313-ФЗ
    от 04.06.2011 N 123-ФЗ, от 25.07.2011 N 261-ФЗ
    от 05.04.2013 N 43-ФЗ)

    Для удобства работы с законом, его текст со всеми внесенными изменениями читайте по приведенной у нас ссылке на сайт «Консультант плюс».
    Для желающих ознакомиться с исходным текстом закона даём ссылку на сайт «Российской газеты». Все изменения к ФЗ 152 Вы можете также найти на сайте «Российской газеты», воспользовавшись перечнем законов, приведенных выше, в особенности посмотрите ФЗ 261, который внес кардинальные изменения в ФЗ 152.

    Ввод в действие закона «О персональных данных»

    28 декабря 2010 года президент России Дмитрий Медведев одобрил введение в действие закона 152-ФЗ «О персональных данных» в июле 2011 года. Федеральный закон 152-ФЗ вступил в силу 26 января 2007 года. Для приведения в соответствие закону информационных систем предприятий был предусмотрен срок до января 2010 года, затем этот срок был ещё раз продлен до января 2011 года. И вот ещё раз — до июля 2011-го. Нового срока переноса введения в действие 152-ФЗ после 01.07.2011г. не было.

    Вывод:

    01.07.2011 г. наступил час «Х». С каждым днём вопрос защиты персональных данных становится острее. Это означает, что операторы персональных данных, не сумевшие выполнить требования 152-ФЗ, с 1 июля 2011 года понесут соответствующую гражданскую, административную, дисциплинарную, а может быть даже и уголовную ответственность.

    Ответственность за неисполнение 152-ФЗ

    Законом предусмотрена гражданская, уголовная, административная, дисциплинарная и иная ответственность за нарушение его требований. Так, Кодекс об административных правонарушениях предусматривает максимальный штраф в 500000 рублей за невыполнение законного предписания Роскомнадзора (ст. 19.5 КоАП). Тот же Кодекс предусматривает приостановку деятельности организации на срок до 90 суток при осуществлении деятельности по защите персональных данных без лицензии (ст. 19.20 КоАП). В уголовном кодексе говорится о штрафе в 300000 руб., обязательных работах на срок до 1-го года, аресте до 6-ти месяцев и лишении права занимать должность на срок до 5-ти лет в случае осуществления защиты персональных данных без лицензии в случаях, если это деяние причинило крупный ущерб гражданам (ст. 171 УК). При систематических и грубых нарушениях Роскомнадзор имеет право ходатайствовать об отзыве лицензий на основной вид деятельности.

    Методические документы ФСТЭК России от 15.02.2008г.
    Базовая модель угроз безопасности ПДн при их обработке в ИСПДн (с официального сайта ФСТЭК России)
    Постановление Правительства РФ N 512
    от 06.07.2008г.
    Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных
    Постановление Правительства РФ N 687
    от 15.09.2008г.
    Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации
    Постановление Правительства РФ N 211
    от 21.03.2012г.
    Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами
    Постановление Правительства РФ N 1119
    от 01.11.2012г.
    Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных

    Комментарий:

    Ссылки на данные документы с нашего сайта убраны. Нет смысла руководствоваться в работе документами, утратившими силу. Надеемся, что во исполнение Постановления №1119 в этом году Регуляторами будут разработаны и утверждены необходимые для работы по защите персональных данных документы. А пока все находятся в состоянии неопределённости.

    И вот, первые изменения: вместо Приказа №58 от 05.02.2010г., вступили в действие 2 Приказа ФСТЭК России №21 от 18.02.2013г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и Приказ №17 от 11.02.2013г. «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Приказы определяют состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн. Документы являются ключевыми для обеспечения безопасности ПДн. Однако для полноценной работы по защите персональных данных Регуляторам необходимо еще разработать и утвердить ряд документов, взамен отмененных Постановлением №1119, в частности, ждем в первую очередь изменения Методики определения актуальных угроз . в соотвествии с требованиями Приказов №17 и №21.
    Удачи в изучении документов! Там есть над чем подумать. Для начала можете прочитать статью «Уровни защищенности персональных данных вместо классов» на нашем сайте.

    Читайте так же:  Нарушение внутрижелудочковой проводимости по правой ножке
    Приказ ФСТЭК России N 17
    от 11.02.2013г.
    Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. (с официального сайта ФСТЭК России)

    Комментарий:
    Изучая 17-й приказ, пришлось пересмотреть не один десяток документов, на которые ссылается данный приказ, и все равно нет однозначного ответа по его применению. Мнения экспертов в области информационной безопасности тоже разделились.
    Вот мнение эксперта Алексея Лукацкого, по применению 17-го приказа, для защиты информации в государственных информационных системах, пока на наш взгляд наиболее аргументированное, которое он высказал в блоге на сайте «DLP-Эксперт». Здесь же Вы можете узнать мнение других экспертов по применению 17-го приказа ФСТЭК.


    Источник: http://www.rskb48.ru/persdan/norm_d.html

    Самое важное о документах по защите персональных данных работников в организации: оформление комплекта и образцы

    Для успешного внедрения системы обеспечения конфиденциальности сведений в организации необходимы документы по защите персональных данных работников.

    Видео (кликните для воспроизведения).

    Какая документация может использоваться в работе с персональными данными и какие документы должны быть в пакете?

    Об этом вы узнаете в нашей статье.

    Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

    Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (800) 350-22-67 . Это быстро и бесплатно !

    Общий перечень

    Оператор обязан проверить внутренние системы защиты и подготовить такие документы в единый комплект:

    О полном перечне документации, которая потребуется для организации защиты ПД, мы рассказываем в отдельном материале.

    Что требуется для сбора информации?

    Всю документацию, которая относится к обеспечению сохранности личной информации, условно можно поделить на 3 группы:

      Организационная.

    Определяет задачи, функции и объем ответственности сотрудников, которые проверяют и отвечают за сбор, обработку и сохранность конфиденциальных сведений работников.

    1. должностные инструкции;
    2. положение;
    3. уведомления, письма;
    4. акты, приказы (о допуске сотрудников к работе с ПД).
  • Технологическая.
  • Сведения из этой группы документов определяют порядок и способы реализации обеспечения защиты.
    1. инструкции по обработке данных;
    2. перечни.
  • Методическая.
  • Детализация процессов обработки, порядок и правила работы с ПД.

    Назначение ответственных лиц

    Для регуляции работы руководящего и состава кадровиков предприятия следует подготовить приказ о назначении ответственных лиц за обработку персональных сведений о работниках.

    Такая мера позволяет избежать нарушений в работе и предотвратить злоупотребления с документацией. Ответственность за обработку личной информации чаще всего возлагается на юриста, специалиста или руководителя отдела кадров, а также секретаря предприятия.

    Для назначения ответственных лиц издается приказ, который можно писать в свободном виде на обычном листе бумаги или бланке с логотипом и фирменными реквизитами предприятия. В государственных учреждениях используются стандартные формуляры распорядительных актов. В учетной политике организации должна быть указана информация о формате приказов.

    В специальный журнал необходимо внести номер и наименование приказа, дату выпуска. Он должен находиться у начальника отдела кадров, юриста или секретаря предприятия.

    Подписанный и завизированный готовый приказ подшивается в отдельную папку. Утратив свою актуальность, он отправляется в архив, где хранится установленный период, после чего утилизируется.

    Определение уровня защищенности

    К документам, содержащим сведения о требованиях к ЗПД, относится акт определения уровня защищенности.

    Акт определения уровня защищенности не относится к конфиденциальным документам.

    Оператор обязан опубликовать его или обеспечить к нему неограниченный доступ.

    Для определения уровня защищенности на предприятии создается комиссия, в составе которой должен быть ответственный за организацию обработки. Акт должен утверждаться руководителем организации, и подписан всеми членами комиссии.

    В акте указываются:

    Начало обработки

    Для начала обработки данных требуется следующее документальное оформление:

    1. Положение, регулирующее цель обработки, требования к порядку обработки и регистрации ПД, порядку направления уведомлений и ответственных лиц.
    2. Внутренние документы политики компании в отношении автоматизированных систем и доступа к ним.
    3. Образцы уведомления уполномоченного органа.
    4. Образцы согласия и уведомлений субъекта ПД, изменения и дополнения в договора с физлицами, чьи данные обрабатываются (бухгалтерия, кадры, поставщики).
    5. Порядок отношений с распорядителем баз ПД.
    6. Порядок работы с запросами субъектов ПД.
    7. Договор с субъектами, обрабатывающими базы ПД.

    Организационно-распорядительная документация

    1. Положение о защите ПД.
    Читайте так же:  Несовершеннолетняя сторона в уголовном деле

    Является главным документом, который регламентирует деятельность предприятия в этой сфере, и определяет порядок хранения и использования личных сведений в компании. Это положение утверждается руководителем организации приказом и является обязательным к выполнению всеми работниками предприятия.

    В нем указаны все работники, у которых есть право работать с такой документацией. По каждому сотруднику прописывается, с какой именно информацией он может работать. Все лица, упомянутые в приказе, должны под роспись ознакомиться с этим документом и расписаться в листе ознакомления.

    Подробные правила, которые обязаны соблюдать служащие. Рекомендовано заключать соглашение о неразглашении данных с каждым из работников, допущенных к личной информации.
    Скачать бланк инструкции о защите персональных данных

    Итак, пакет документации по защите ПД включает в себя приказы, уведомления, должностные инструкции и положения, которые регулируют порядок сбора информации, обработки и хранения сведений.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (800) 350-22-67 Это быстро и бесплатно !

    Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/zashhita/paket-dokumentov.html

    Что такое система защиты персональных данных? Мероприятия по обеспечению безопасности и инструкция по разработке СЗПД

    Возросшие технические возможности по копированию и распространению конфиденциальной информации привели к необходимости использования средств по защите персональных данных.

    Это комплекс мероприятий технического, организационного и организационно-технического характера; он предполагает возможность избежать злоупотреблений личными сведениями, предотвратить использование мошеннических схем в Интернете, которые представляют угрозу законным правам и интересам личности.

    Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

    Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

    Что это такое?

    Система защиты персональных данных (СЗПД) – это комплекс мер и мероприятий организационного и технического характера, направленных на противодействие несанкционированному доступу к закрытой информации с учетом актуального типа угроз безопасности(п. 2 Постановления Правительства РФ от 01.11.2012 N 1119).

    Любое физическое или юридическое лицо, подпадающее под определение “оператор ПД”, обязано создать условия и предпринять меры по охране ПД от непредумышленных или преступных покушений.

    СЗПД должна быть выстроена таким образом, чтобы действовать эффективно, но в то же время обеспечивать непрерывность внутренних процессов компании или организации.

    Какие существуют уровни защищенности?

    В соответствии со статьей 19 Федерального закона «О персональных данных» № 152 от 27.07.2006 года, Правительство РФ устанавливает 4 уровня защищенности:

    1. УЗ-1 – максимальный.
    2. УЗ-2 – высокий.
    3. УЗ-3 – средний.
    4. УЗ-4 – низкий.

    Определение уровня защищенности информации осуществляется с учетом категории обрабатываемых данных, вида обработки, количества субъектов и типа угроз. Это позволяет предпринять соответствующие эффективные меры , гарантирующие информационную безопасность ПД.

    Детально выбор средств в соответствии с уровнем защиты и типом угроз освещен в пунктах 4-16 Постановления Правительства РФ от 01.11.2012 N 1119.

    Какие предпринимаются меры и мероприятия?

    Мероприятия по защите ПД – это комплекс мер, направленных на надежную охрану конфиденциальной информации, которую субъект предоставляет оператору организации.

    Организационные меры включают:

      Оповещение Роскомнадзора о начале обработки персональных данных путем отправки в орган соответствующего уведомления.

    Разработка пакета документации для внутреннего пользования, которой регламентируются операции с ПД, их обработка и хранение, в частности это Положение о персональных данных, Приказ о назначении ответственного за обработку ПД лица, должностные инструкции и пр. Больше информации о пакете документов, необходимых для создания защиты персональных данных, найдете тут, а про документы, необходимые для защиты ПД работников в организациях, мы рассказываем здесь.

    Внедрение пропускного режима для доступа на объект, где хранятся и обрабатываются данные.

    Подписание соглашений с третьими лицами, которые участвуют в обработке информации.

    Составление перечня ограниченного круга лиц, которые имеют право работать с ПД и несут ответственность за конфиденциальность информации.

    Рациональное расположение рабочих мест в организации, исключающее несанкционированный доступ к личным сведениям.

  • Внутренний контроль за соблюдением требований к защите ПД в соответствии с законодательством.
  • Технические меры предполагают использование программных и аппаратных средств информационной защищенности.Они направлены на:

    • предупреждение неправомерного доступа – внедрение системы разграничения доступа, установка антивирусных программ, межсетевых экранов, криптографических и блокировочных средств;
    • предотвращение технической информационной утечки – применение экранированных кабелей, высокочастотных фильтров, систем зашумления и пр.

    Средства и способы защиты оператор выбирает самостоятельно с учетом актуальных угроз и особенностями операций, совершаемых с ПД.

    Пошаговая инструкция по разработке СЗПД

    Процессы обработки и защиты ПД должны строго соответствовать законодательным актам РФ, прежде всего положениям Федерального закона № 152-ФЗ «О персональных данных». Это можно реализовать только при помощи грамотно выстроенной системы. Создание системы – процесс сложный, который выполняется поэтапно:

    Подробную инструкцию по реализации защиты ПД в различных организациях найдете тут.

    Для учета и хранения данных заводится специальный журнал. При списании и уничтожении носителей информации бумажного и электронного типа составляется соответствующий акт. Информация об изменениях технического оснащения, структуры организации, расширении площадей или принятии новых защитных мер должна быть внесена в весь комплекс внутренней документации.

    Техсредства защиты информации должны быть сертифицированы и правильно настроены. Со списком сертифицированных средств можно ознакомиться на сайте ФСТЭК России.

    Средства и система защиты ПД – это целый комплекс мероприятий, которые важно не только грамотно разработать и внедрить, но и поддерживать систему в актуальном состоянии.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (499) 938-47-92 (Москва)
    Это быстро и бесплатно !

    Читайте так же:  Первичное психиатрическое освидетельствование осмотр врачом психиатром

    Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/zashhita/sistema-zpd.html

    Документы по персональным данным: какие бумаги должны быть в организации, чтобы успешно пройти проверку РКН?

    Согласно Федеральному закону «О персональных данных» от 27 июля 2006 г. № 152-ФЗ уполномоченным органом по вопросам персональных данных является Роскомнадзор. Этот же нормативно-правовой акт регламентирует перечень документов, которые подаются туда операторами ПД, которые занимаются обработкой идентификационных данных граждан.

    Любая организация или ресурс, которая имеет дело с информацией о клиентах или пользователях, должны подать ряд документов в РКН. Данная обязанность может лечь на любого владельца бизнеса или держателя сайта, ведь стоит только сделать форму регистрации или обратной связи – и он автоматически становится тем самым ОПД.

    Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

    Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

    Какой комплект бумаг должен быть в организации?

    Для того, чтобы успешно проходить все проверки Роскомнадзора, согласно требованиям Федерального закона №152-ФЗ могут понадобиться следующие документы по персональным данным:

    1. Перечень обрабатываемых ПД.
    2. Приказ о назначении комиссии по защите.
    3. План мероприятий по защите.
    4. Положение о комиссии по защите.
    5. Перечень должностей и третьих лиц, допущенных к ОПД (Обработке персональных данных).
    6. Согласие на ОПД.
    7. Перечень информационных систем.
    8. Обязательство о неразглашении.
    9. Соглашение о соблюдении безопасности.
    10. Перечень средств защиты информации.
    11. Техпаспорт информационных систем.
    12. Перечень помещений.
    13. Приказ о назначении ответственных лиц.
    14. Положение об ОПД.
    15. Положение по защите.
    16. Политика в отношении ОПД.
    17. Инструкция ответственного лица.
    18. Инструкция администратора безопасности.
    19. Регламент определения уровней защищенности.
    20. Техзадание на систему защиты.
    21. Модель угроз безопасности.
    22. Акт определения уровней защищенности.
    23. Протокол определения ущерба субъекту ПД.
    24. Уведомление об ОПД.
    25. Инструкция пользователя информационных систем.
    26. Регламент учета, хранения и уничтожения носителей.
    27. Регламент допуска сотрудников и других лиц.
    28. Регламент реагирования на запросы субъектов ПД.
    29. Регламент резервного копирования.
    30. Регламент проведения контрольных мероприятий.
    31. Регламент по трансграничной передаче данных.

    И некоторые другие документы в зависимости от специфики деятельности оператора.

    Образцы и бланки

    Ниже приведены бланки и образцы документов по обработке персональных данных:

    Что содержит пакет сопровождающей документации?

    Для каждого из этих действий предусмотрены нормативные документы.

    Сбор и обработка

    • Перечень должностей и других лиц, допущенных к ОПД — Основания передачи данных на обработку, списки контрагентов и сотрудников.
    • Перечень обрабатываемой информации — Содержит цели и основания обработки, условия ее прекращения, состав данных, категорию субъектов.
    • Перечень помещений для ОПД — Адреса офисов и помещений, где возможна обработка ПД.
    • Инструкция ответственного за организацию обработки — Документ, который устанавливает права, обязанности и ответственность ответственного за организацию процесса (юридической фирмы, сотрудника, системного интегратора).
    • Об обработке данных — Положение, устанавливающее правила обработки, хранения и использования информации, ответственность оператора и права субъекта.
    • Политика в отношении ОПД — Публичный документ без содержания отсылок, который располагается на видном месте офисов и на сайте оператора.
    • Уведомление об ОПД — Документ, который подается в РКН потенциальным оператором до начала работы с информацией с целью включения фирмы, индивидуального предпринимателя, физического лица или другого объекта, имеющего дело с ПД в реестр операторов ПД.

    Хранение

    Регламент учета, хранения и уничтожения носителей — Определяет все процедуры учета, хранения и, в предусмотренных законом случаях, возможные способы уничтожения носителей.

    Защита

    • Приказ о назначении комиссии — Приказ, определяющий состав комиссии, которая, руководствуясь специальным Положением, будет следить за соответствием обеспечиваемых мер защиты действующему законодательству (В данном случае 152-ФЗ).
    • О комиссии по защите — Положение, которое определяет права, обязанности и ответственность членов Комиссии.
    • Перечень средств защиты — Содержит список специализированных средств, применяемых в конкретной компании.
    • Приказ о назначении лиц, ответственных за обработку и защиту.
    • Положение по защите — Информация о системе защиты, требования к ней и порядок ее реализации.
    • Регламент определения уровней защищенности — Определяет и описывает уровни защищенности, видов угроз и ущерба.
    • ТЗ на систему защиты данных — Описание необходимых защитных подсистем, которые должны обеспечить корректную безопасную работу операторов.

    Передача

    • Регламент по трансграничной передаче информации — Определяет порядок передачи данных через границу РФ.
    • Заявление физического лица о согласии на передачу оператором данных третьим лицам — Образец заявления, которое свидетельствует о добровольном согласии субъекта.
    • Согласие на передачу данных работника третьим лицам — Документ, который в случае необходимости пишется наемным сотрудником в пользу работодателя, который в данном случае является оператором.

    Разглашение

    Роскомнадзор — это структура с широким спектром полномочий и обязанностей, а персональные данные — довольно сложная тема, вызывающая много споров. Для успешного взаимодействия с исполнительными органами и законом нужно изучить большое количество тонкостей.

    К счастью, в современных реалиях, в век широкой доступности информации, в сети можно найти любой интересующий оператора или субъекта документ и изучить его, что сильно облегчает задачу. В этой сфере нет мелочей и нужно быть крайне внимательным, ведь то, что может показаться сотруднику незначительным, может оказаться нарушением законодательства.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (499) 938-47-92 (Москва)
    Это быстро и бесплатно !

    Видео (кликните для воспроизведения).

    Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/dokumenty-po-pd.html

    Документы по обеспечению безопасности персональных данных
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here