Приказ о вводе в эксплуатацию испдн

Приказ о вводе в эксплуатацию информационных систем персональных данных

При утверждении приказа о вводе информационных систем персональных данных в эксплуатацию Оператор разграничивает обработку персональных данных и обработку иной информации в компании.

Пример первой страницы:

Редакция от: 26.11.2014

  • 07.02.2017 Изменение ответственности за нарушения в области персональных данных
  • 21.07.2016 Продавец потребовала паспорт при оплате товара пятитысячной купюрой
  • 24.05.2016 Персональные данные российских граждан будут собраны на едином портале

Все новости

  • 19.02.2016 Защита персональных данных, или Десять лет спустя
  • 22.10.2013 Акт классификации ИСПДн
  • 15.03.2013 Все вопросы, касающиеся всех персональных данных всех работников и лиц, которые находятся в кадровом резерве, а также соискателей на замещение вакантных должностей, наконец-то разъяснил Роскомнадзор

Все статьи

  • 02.08.2016 Управления Роскомнадзора по Тверской области проведены плановые выездные проверки
  • 02.08.2016 Управлением Роскомнадзора по Вологодской области проведен мониторинг сайтов Интернет-магазинов
  • 01.08.2016 В Управлении Роскомнадзора по Республике Татарстан подвели итоги деятельности в области персональных данных за 7 месяцев 2016 года

Все проверки

© 2009-2017 ООО «СолюшнзЛаб» ИСПДн.инфо — защита персональных данных

Приказ о вводе в эксплуатацию испдн

Защита персональных данных

1. О введении в действие документов регламентирующих мероприятия по защите персональных данных docx pdf

2. О назначении должностного лица ответственного за СЗИ ИСПДн docx pdf

3. О создании комиссии по уничтожению персональных данных docx pdf

4. Об утверждении мест хранения материальных носителей персональных данных docx pdf

5. О вводе в опытную эксплуатацию СЗИ ИСПДн docx pdf

6. О проведении обучения правилам работы со средствами защиты информации сотрудников организации docx pdf

7. О создании комиссии по проверки готовности к эксплуатации СЗИ ИСПДн docx pdf

1. Инструкция ответственного за СЗИ ИСПДн docx pdf

2. Инструкция по антивирусной защите docx pdf

3. Инструкция по обеспечению безопасности персональных данных обрабатываемых в информационной системе персональных данных docx pdf

4. Инструкция по обработке персональных данных без использования средств автоматизации docx pdf

5. Инструкция по организации парольной защиты docx pdf

1. Журнал учета носителей ,п редназначенных для хранения ПДн docx pdf

2. Журнал учета обращений субъектов ПДн в ИСПДн docx pdf

3. Журнал учета пользователей ИСПДн , прошедших обучение правилам работы со средствами СЗИ docx pdf

4. Журнал учета средств защиты СЗИ ИСПДн docx pdf

5. Журнал учета технической и эксплуатационной документации docx pdf

1. Акт об уничтожении персональных данных docx pdf

2. Матрица доступа в информационную подсистему персональных данных (БАЗА) docx pdf

3. Матрица доступа в информационную подсистему персональных данных (ЗНАК) docx pdf

4. Матрица доступа в информационную подсистему персональных данных (Параграф) docx pdf

5. Матрица доступа в информационную подсистему персональных данных (ПРОФИЛАКТИКА) docx pdf

6. Перечень защищаемой информации docx pdf

7. Перечень персональных данных с местами хранения, обработки и списком допущенных лиц docx pdf

8. Перечень сотрудников допущенных к обработке персональных данных docx pdf

9. Перечень сотрудников допущенных к работе с персональными данными docx pdf

10. Положение по обработке персональных данных docx pdf

11. Список подсистем, в которых обрабатываются персональные данные docx pdf

12. Форма согласия работника на обработку его персональных данных docx pdf

13. Заключение о возможности ввода в эксплуатацию средств СЗИ ИСПДн docx pdf

Персональные данные: вчера, сегодня, завтра.

Я не зря выбрал такое название, хоть оно и похоже на название какого-то фильма или заголовка из прессы. Суть в том, что в процессе написания документов, регламентирующих обработку персональных данных в организации, можно столкнуться с вопросом: от какой даты должен быть тот или иной документ. Точнее сказать в конце данного процесса, когда необходимо этот разработанный пакет документов подписывать. На него и хотелось бы дать некоторые разъяснения. Ниже я привожу вариант порядка, в котором рекомендуется издавать документы по безопасности ПДн.

0. Отправка уведомления в Роскомнадзор.

Статья 22 ФЗ 152 «О персональных данных» гласит «ДО начала обработки о своем НАМЕРЕНИИ осуществлять обработку». И уж если решили следовать букве закона, то до конца. Думаю, что регулятор закроет глаза на то, что обработка уже давно осуществляется, а уведомили только сейчас. Уведомили же, и добросовестно.

1. Положение о комиссии по персональным данным.

Этот документ, по сути, является первым документом, который должен быть по персональным данным. Дальше будет видно, почему. Конечно, данное положение может быть и дополнением к следующему приказу, но мне больше нравится отдельно.

2. Приказ о назначении комиссии по персональным данным.

В нем говорится о том, что назначается комиссия по персональным данным, которая в своей работе будет руководствоваться положением о комиссии по персональным данным, именно о котором было упомянуто выше.

3. Приказ о проведении внутренней проверки.

В приказе говорится о том, что проверку по персональным данным надо провести, персональные данные определить, ИСПДн выделить, уровни защищенности определить, модели угроз написать и прочее. А результаты проверки отразить в следующем документе. (можно назвать его протокол, но мне больше нравится акт)

4. Акт о результатах проведения внутренней проверки.

А вот здесь уже показываем то, как мы выполнили то, что нам говорил приказ о проведении этой самой проверки. И о том, что данные этого акта служат для составления других документов, таких, как: модель угроз, перечень персональных данных, перечень информационных систем персональных данных и так далее.

5. План мероприятий по обеспечению защиты персональных данных.

Для начала необходимо спланировать, как мы будем проводить все мероприятия касательно обеспечения защиты персональных данных.

6. Перечень персональных данных.

Здесь все понятно. Прежде чем определять, что и как происходит с персональными данными и понять, как все эти процессы регламентировать, необходимо эти персональные данные как-то документировать.

7. Перечень информационных систем персональных данных

Следом за перечнем ПДн идет перечень ИСПДн. Ну ведь где-то же мы эти данные обнаружили. Вот и отразим, что обнаружили такие-то информационные системы.

8. Положение о разграничении прав доступа к обработке персональных данных.

Указываем для каждой ИСПДн порядок разграничения доступа к персональным данным

9. Приказ об определении лиц, допущенных к обработке персональных данных.

Порядок разграничения доступа мы определили, теперь можно и персонал допускать к обработке.

10. Модель угроз безопасности персональных данных

Здесь, думаю, дополнительные комментарии излишни.

11. Акт определения уровня защищенности персональных данных при их обработке в информационных системах персональных данных.

Об этом документе я уже писал отдельно. Так, как в документе встречаются угрозы, актуальные для персональных данных, то логично, что этот документ пойдет после модели угроз.

12. Протокол оценки возможного вреда субъектам ПДн

13. Положение об обработке персональных данных

Важно не забыть, что персональные данные могут обрабатываться и с использованием средств автоматизации, так и без них.

14. Приказ об определении мест хранения носителей персональных данных

В приказе определяем, где будут храниться носители персональных данных, при чем как тех, что обрабатываются автоматизировано, так и неавтоматизированно.

15. Журнал учета носителей персональных данных

Места определены и носители надо учитывать

16. Положение по антивирусной защите

17. Положение по парольной защите (парольная политика)

18. Журнал учета СЗПДн

Здесь также отражаются СЗПДн, обнаруженные в результате проведения внутренней проверки

19. Журнал проверки функционирования СЗПДн

20. Политика обработки персональных данных

Учитывая то, что политика рассказывает о том, как все правильно обрабатывается, с соблюдением всех правил и требований, она должна быть ближе к концу.

21. Инструкция администратора ИСПДн

22. Инструкция пользователя ИСПДн

23. Приказ о назначении ответственных за обработку персональных данных

24. Регламент реагирования на запросы (плюс комплект форм ответов)

25. Журнал учета запросов субъектов ПДн и регуляторов

26. Журнал проведения инструктажа по ИБ

Шаблоны:

Шаблон. Акт уничтожения носителей ПДн

Шаблон. Обязательство о неразглашении ПДн

Шаблон. Согласие на обработку ПДн

Шаблон. Ответ. Запрос субъекта ПДн на ознакомление. Отказ

Шаблон. Ответ. Запрос субъекта ПДн на ознакомление. Удовлетворено

Шаблон. Ответ. Запрос субъекта ПДн на уничтожение. Отказ

Читайте так же:  Сроки за побои

Шаблон. Ответ. Запрос субъекта ПДн на уничтожение. Удовлетворено

Шаблон. Ответ. Запрос субъекта ПДн на уточнение. Отказ

Шаблон. Ответ. Запрос субъекта ПДн на уточнение. Удовлетворено

Шаблон. Ответ. Отзыв согласия на обработку ПДн. Отказ

Шаблон. Ответ. Отзыв согласия на обработку ПДн. Удовлетворено

Шаблон. Уведомление. Внесение изменений. Отказ

Шаблон. Уведомление. Внесение изменений. Удовлетворено

Шаблон. Уведомление. Достижение целей. Отказ

Шаблон. Уведомление. Достижение целей. Удовлетворено

Шаблон. Уведомление. Неправомерные действия. Отказ

Шаблон. Уведомление. Неправомерные действия. ПДн уничтожены

Следующие документы добавляются уже в процессе обработки персональных данных и, например, если необходимо ввести в эксплуатацию очередную ИСПДн:

1. Приказ о разработке (подборе) ИСПДн

2. План мероприятий по обеспечению безопасности ПДн в ИСПДн

3. Модель угроз безопасности ПДн

4. Приказ о разработке (подборе) СЗПДн

5. Акт определения уровня защищенности ПДн в ИСПДн

6. Положение о разграничении прав доступа к ПДн в ИСПДн

7. Приказ об определении лиц, допущенных к обработке ПДн

8. Приказ о назначении ответственных за обработку ПДн

9. Инструкция администратора ИСПДн

10. Инструкция пользователя ИСПДн

11. Приказ о вводе в эксплуатацию ИСПДн

12. Приказ о вводе в эксплуатацию СЗПДн

С последними двумя приказами (11 и 12 ) ситуация достаточно интересная: если дата приказа о вводе в эксплуатацию СЗПДн будет позже, чем у приказа о вводе в эксплуатацию ИСПДн, то получится, что определенный отрезок времени ИСПДн была незащищена. А если наоборот, приказ о вводе в эксплуатацию СЗПДн будет раньше, чем приказ о вводе в эксплуатацию ИСПДн, то что мы тогда защищаем?

Вывод: приказы издавать одной датой.

Почему этих приказов нет в первоначальном списке? Вместо этих приказов есть акт о результатах проведения внутренней проверки, в котором показано, что данные ИСПДн и СЗПДн уже находятся в эксплуатации. И также эти ИСПДн и СЗПДн отражаются соответственно в перечне ИСПДн и в журнале учета СЗПДн.

Приказ о вводе в эксплуатацию информационных систем персональных данных

При утверждении приказа о вводе информационных систем персональных данных в эксплуатацию Оператор разграничивает обработку персональных данных и обработку иной информации в компании.

Пример первой страницы:

Редакция от: 26.11.2014

  • 07.02.2017 Изменение ответственности за нарушения в области персональных данных
  • 21.07.2016 Продавец потребовала паспорт при оплате товара пятитысячной купюрой
  • 24.05.2016 Персональные данные российских граждан будут собраны на едином портале

Все новости

  • 19.02.2016 Защита персональных данных, или Десять лет спустя
  • 22.10.2013 Акт классификации ИСПДн
  • 15.03.2013 Все вопросы, касающиеся всех персональных данных всех работников и лиц, которые находятся в кадровом резерве, а также соискателей на замещение вакантных должностей, наконец-то разъяснил Роскомнадзор

Все статьи

  • 02.08.2016 Управления Роскомнадзора по Тверской области проведены плановые выездные проверки
  • 02.08.2016 Управлением Роскомнадзора по Вологодской области проведен мониторинг сайтов Интернет-магазинов
  • 01.08.2016 В Управлении Роскомнадзора по Республике Татарстан подвели итоги деятельности в области персональных данных за 7 месяцев 2016 года

Все проверки

© 2009-2017 ООО «СолюшнзЛаб» ИСПДн.инфо — защита персональных данных

Комплект типовых документов для операторов персональных данных

Общие сведения

Документы по обработке и защите персональных данных предоставляются GlobalTrust на основании лицензионного соглашения «в том виде как они есть». Эти документы являются исходными материалами для разработки организацией собственного комплекта документов в области персональных данных. Разработка и внедрение подобных документов должна выполняться квалифицированными специалистами в области защиты информации, персональных данных и права.

Взаимосвязь с другими комплектами документов


В данный комплект включены документы, регламентирующие вопросы обработки и защиты персональных данных, обрабатываемых в ИСПДн. Эти документы служат дополнением к выпущенным ранее комплектам типовых документов GlobalTrust по управлению информационной безопасностью и рисками и отражают специфику нормативной базы РФ в области защиты персональных данных.

Документы по защите информации, которые носят более общий характер и применяются для организации защиты не только персональных данных, но любых других видов информационных активов, в данный комплект не включены. Эти документы можно дополнительно приобрести как по отдельности, так и в составе следующих комплектов:

Перечень документов

В состав комплекта GTS 1071 включено более 60 документов по персональным данным.

GTS 1070 Проектная документация

  1. Общее описание ИСПДн
  2. Описание технологического процесса обработки персональных данных
  3. Разрешительная система доступа АС
  4. Частная модель угроз безопасности ПДн
  5. Концепция обеспечения безопасности ПДн
  6. Аналитическое обоснование набора мер по защите ПДн
  7. Техническое задание на создание СЗПДн
  8. Технический паспорт ИСПДн
  9. Технический паспорт защищаемого помещения
  10. Таблица соответствия методическим рекомендациям по выполнению законодательных требований при обработке персональных данных в организациях БС РФ

GTS 1096 Положения и политики

  1. Положение об обработке персональных данных
  2. Положение об обеспечении безопасности персональных данных
  3. Политика обработки ПДн

GTS 1094 Планы

  1. План работ по обеспечению соответствия требованиям законодательства и нормативной базы в области персональных данных
  2. План мероприятий по защите ПДн
  3. План работ по контролю эффективности СЗПДн

GTS 1090 Инструкции и регламенты

  1. Инструкция администратора безопасности ИСПДн
  2. Инструкция системного администратора ИСПДн
  3. Инструкция пользователя ИСПДн
  4. Инструкция по проведению контроля защищенности
  5. Инструкция по контролю установки программных коррекций и целостности сертифицированной ОС Windows
  6. Инструкция по осуществлению антивирусного контроля
  7. Инструкция по обеспечению режима безопасности и эксплуатации оборудования в защищаемом помещении
  8. Инструкция ответственного за защиту информации в защищаемом помещении
  9. Инструкция об организации работы с СКЗИ
  10. Инструкция о порядке обращения с носителями ПДн
  11. Регламент реагирования на запросы субъектов ПДн
  12. Регламент реагирования на инциденты ИБ

GTS 1091 Приказы

  1. Приказ об организации работ по защите персональных данных
  2. Приказ о вводе в действие организационно-распорядительных документов по обработке и защите персональных данных
  3. Приказ о вводе в эксплуатацию объектов информатизации
  4. Приказ о вводе в эксплуатацию АРМ ИСПДн
  5. Приказ о назначении системного администратора ИСПДн
  6. Приказ о назначении администратора безопасности ИСПДн
  7. Приказ о контролируемой зоне
  8. Приказ о назначении комиссии по проведению аттестации ИСПДн

GTS 1093 Акты

  1. Акт классификации ИСПДн
  2. Акт определения уровня защищенности ПДн
  3. Акт установки СЗИ от НСД
  4. Акт приемки ИСПДн в опытную эксплуатацию
  5. Акт приемки ИСПДн в промышленную эксплуатацию
  6. Акт приема-передачи носителей персональных данных

GTS 1097 Журналы

  1. Журнал учета обращений по вопросам персональных данных
  2. Памятка к журналу регистрации обращений по вопросам персональных данных
  3. Журнал учета носителей конфидеyциальной информации
  4. Журнал учета персональных идентификаторов и паролей ИСПДн
  5. Журнал по учету работ по контролю эффективности СЗПДн

GTS 1095 Перечни

  1. Перечень лиц, имеющих доступ в помещения ИСПДн
  2. Перечень лиц, допущенных к обработке персональных данных
  3. Перечень лиц, допущенных к обсуждению конфиденциальной информации
  4. Перечень объектов информатизации, предназначенных для обработки конфиденциальной информации
  5. Перечень сведений конфиденциального характера
  6. Данные по уровню подготовки кадров, обеспечивающих защиту информации

GTS 1098 Обязательства и уведомления

  1. Уведомление Роскомнадзора об обработке персональных данных
  2. Обязательство работника о неразглашении персональных данных
  3. Обязательство работника о соблюдении режима конфиденциальности персональных данных

GTS 1099 Согласия субъекта

  1. Согласие субъекта на получение его персональных данных у третьей стороны
  2. Согласие работника на передачу его персональных данных третьей стороне
  3. Согласие работника на передачу его персональных данных в коммерческих целях
  4. Согласие субъекта на обработку его персональных данных
  5. Сборник типовых форм документов по персональным данным

Приобретение комплекта документов

Приобрести комплект типовых документов для операторов персональных данных GTS 1071 можно в интернет-магазине GTrust.ru . Поставка документов осуществляется в электронном виде в формате MS Word на CD-ROM или по email.

Приобретателю документов следует учитывать следующее:

Поддержка внедрения

ГлобалТраст обеспечивает полную поддержку внедрения системы управления персональными данными (СУПДн) в соответствии с требованиями британского стандарта BS 10012, а также поддержку внедрения системы защиты персональных данных (СЗПДн) в соответствии с требованиями руководящих документов ФСТЭК и ФСБ России, предоставляя услуги по обучению, консалтингу, аудиту, проектированию, внедрению и аутсорсингу.

Правила лицензирования

Лицензирование шаблонов типовых документов производится по количеству систем управления персональными данными (СУПДн) или количеству систем защиты персональных данных (СЗПДн), в рамках которых производится использование этих шаблонов. Одна лицензия дает право использования шаблонов в одной организации в рамках одной СУПДн или СЗПДн.

Компаниям, предполагающим использование шаблонов документов для оказания услуг другим организациям, требуется приобрести специальную консалтинговую лицензию, либо отдельно приобретать лицензии для каждой организации с учетом скидки на количество приобретаемых лицензий.

Приказ о вводе в эксплуатацию испдн

Всем доброго времени суток! В этой статье я хотел бы еще раз поднять тему защиты персональных данных (далее будем обзывать их — ПДн), а также тему защиты от регуляторов. Пик дебатов на тему защиты ПДн давно прошел. Приходились эти пики как правило на приближение очередного «самого последнего срока» ввода 152-ФЗ в полную силу. В итоге «самый последний срок» наступил, активные дебаты стихли, но закон «О персональных данных» живет, регуляторы устраивают проверки и наказывают нарушителей. Поэтому тема будет еще долго актуальна.

Читайте так же:  Срок действия гостевой визы в германию

Сразу оговорюсь, что в этой статье в основном будет информация организационного характера, нежели техническая. «А зачем такая информация нужна нам?» — спросит читатель хабра. Объясняю: так уж получилось, что начальники как крупных, так и не очень организаций не любят выстраивать длинные логические цепочки и вникать в суть вопроса, который лежит далеко от их компетенции. Поэтому при возникновении необходимости обеспечения защиты персональных данных строится вполне логичная по их мнению взаимосвязь: «Защита персональных данных» -> «Защита информации» -> «Информационные технологии» -> «Взвалить вопрос защиты ПДн на IT-шников». И пофигу, что в этом вопросе львиную долю можно поручить юристам и кадровикам, но как говорится в бородатом анекдоте: «кому не нравится грузить люминь, пойдет грузить чугуний».


Типичный пример разглашения ПДн специальной категории (сведения об интимной жизни)

Итак, почему здесь я все-таки не буду рассматривать техническую защиту персональных данных.

  • Этой информации итак много в интернетах и она более-менее однозначная.
  • Эта тема довольно емкая и заслуживает отдельной статьи, в этом опусе я все же хочу коснуться именно организационных моментов.
  • Организационные моменты проверяет Роскомнадзор, а технические – ФСТЭК. ФСТЭК проверяет гораздо меньше по защите персональных данных, хотя бы потому, что управление Роскомнадзора есть в каждом регионе, а управление ФСТЭК – одно на Федеральный округ.
  • В связи с отменой Постановления правительства № 781, регламентирующего техническую защиту персональных данных, и его заменой на ПП № 1119, нормативные документы ФСТЭК России и ФСБ России оказались в «подвешенном» состоянии. Ими по идее нельзя пользоваться, так как они были изданы во исполнение отмененного постановления № 781, но с другой стороны документы ФСТЭК России должен отменять сам ФСТЭК России. Поэтому техническую защиту ПДн лучше рассматривать предметно после выхода новой документации от регуляторов.
  • IT-шникам все же гораздо ближе техническая защита ПДн и им проще в этом разобраться, а вот когда начальство взваливает «бумажную» работу, многим может понадобиться помощь и разъяснения.

Я посчитал нужным сначала немного рассказать о себе для того, чтобы читателю стало понятно, что все, написанное ниже, основано на личном опыте организации защиты персональных данных в различных организациях, а не является квинтэссенцией различных форумных дебатов в интернетах (там «специалисты» иногда такого напишут, что волосы дыбом встают, и не только на голове).

Я являюсь начальником отдела одной из компаний на Дальнем Востоке, занимающихся аутсорсингом предприятий в сфере информационной безопасности. Безусловно, защита персональных данных – одна из наиболее востребованных наших услуг. Работаю я в этом направлении с 2008 года. Среди клиентов есть как небольшие организации, так и достаточно крупные государственные (департаменты, аппараты правительства, законодательные собрания и тд), так и коммерческие (операторы сотовой связи, интернет-провайдеры, частные медицинские клиники).

У некоторых клиентов проходили проверки Роскомнадзора на предмет выполнения требований законодательства в сфере защиты ПДн и пока что результат – 100% успешных проверок. Также у меня есть личный опыт представления интересов организации в ходе подобной проверки.

Итак, вас назначили ответственным за организацию обработки ПДн, да к тому же вы узнали, что внесены в план проверок Роскомназдора на грядущий год. С чего начать?

И вот, это случилось: начальник, не особо заморачиваясь подписал приказ в котором сказано «Системному администратору ООО «Рога и копыта» Иванову И. И. сделать так, чтобы защита персональных данных в нашей опупенной организации была по фен-шую». Что делать в первую очередь?

В первую очередь нужно выяснить, есть ли в реестре операторов персональных данных ваша организация. Для этого в поиске достаточно вбить ИНН компании. Если такого уведомления нет, то нужно его подать (но нужно учесть, что если уведомление не было подано ранее – это уже повод для регулятора оштрафовать вашу организацию).

Если уведомление все-таки присутствует, нужно уточнить его содержание. Часто бывает так, что уведомление заполнялось каким-нибудь Васей Пупкиным из отдела кадров от балды в далеком 2007 году, которого к тому же давным давно уволили. В этом случае вполне естественно, что содержание многих полей не соответствует действительности. В то же время практика карательных мер как раз говорит о том, что большинство предписаний выносится Роскомнадзором именно в связи с несоответствием уведомления тому, что происходит в организации на самом деле. Например, в графе «Категории обрабатываемых персональных данных» указано «ФИО, паспортные данные, адрес места жительства, номер телефона», а вы обрабатываете еще и сведения о здоровье.

Для внесения изменений в уведомление на портале персональных данных также существует специальная форма. Тут надо помнить, что изменения не будут учтены, если вы вслед не отправите бумажное письмо в свое территориальное управление Роскомнадзора. Это же касается и первоначального уведомления.

Хорошо, с уведомлением разобрались, что потом?

Потом вам нужно издать и утвердить в своей организации кучу документов (инструкции, положения, приказы, журналы и тд). Здесь нужно помнить, что документы должны регламентировать не только автоматизированную обработку но и «аналоговую» тоже.

Перечня документов как такового не существует, есть лишь перечень аспектов, которые вы должны описать в них.
Первым делом нужно назначить ответственного за организацию обработки персональных данных (это лицо теперь требуется указывать в уведомлении оператора). Этот человек у нас будет отвечать в основном за «бумажные» вопросы. Также требуется назначить администратора безопасности персональных данных. Он будет отвечать уже за техническую сторону вопроса. И того и другого можно назначить одним приказом. Тут сразу хочу заметить, что все формулировки настоятельно рекомендуется согласовывать с текстом законодательства, так как проверяющие очень часто к ним придираются. Например, если вы ответственного за организацию обработки ПДн назовете просто ответственным за обработку ПДн, то с вероятностью 99.9% регулятор в процессе проверки попросит внести изменения в документ.

Далее, многие об этом забывают, но Роскомнадзор требует: во всех кабинетах, в которых обрабатываются ПДн на бумаге должны быть определены места хранения (сейф, шкаф, стеллаж) и ответственные за сохранность конфиденциальности ПДн в этом кабинете. Проще говоря, издаем приказ, в котором пишем «В кабинете № 1 утвердить местом хранения сейф, ответственным назначить такого-то такого-то».
Далее, вы должны назначить комиссию по классификации и комиссию по уничтожению ПДн. В эти комиссии должны входить: председатель комиссии и, как минимум, два члена комиссии. Обе комиссии по своему составу могут быть на 100% идентичными.

Далее, необходимо определиться с лицами, допущенными к обработке персональных данных. Это сотрудники, которые работают с ПДн как работников организации, так и клиентов, абонентов и других категорий субъектов. Причем в документе должно быть указано какой работник к каким данным имеет доступ, обрабатывает он эти данные с помощью средств автоматизации или нет, а в случае с автоматизированной обработкой еще и его роль в системе (пользователь, администратор и тд). Тут следует заметить, что каждый сотрудник, допущенный к обработке персональных данных должен подписать соглашение о неразглашении ПДн.

Следующим шагом нужно определить категории персональных данных, которые у нас подлежат защите. Это делается также отдельным приказом. Здесь есть тоже такой момент, о котором многие забывают, но Роскомнадзор при проверках спрашивает – персональные данные являются частным случаем сведений конфиденциального характера, поэтому отдельным приказом должен быть утвержден также и такой перечень. Что может относиться к сведениям конфиденциального характера, определено указом президента РФ № 188 от 6 марта 1997 г. Просто переписываем пункты, относящиеся к вашей организации в свой приказ и готово.

Наконец, вы должны утвердить в организации основной документ, регламентирующий защиту ПДн. Обычно такой документ называют «Положение об обработке и защите персональных данных». Здесь вы описываете основные понятия из законодательства, цели и законные основания обработки ПДн, права и обязанности оператора, права и обязанности субъекта ПДн.

Также придется разработать ряд журналов, вы должны показать Роскомнадзору, что вы проводите регулярную (а не только одноразовую) деятельность по защите ПДн. В этом вам помогут, например «Журнал проведения инструктажа по информационной безопасности» и «Журнал учета мероприятий по контролю обеспечения защиты персональных данных». Обязательно (Роскомнадзор обязательно спросит) должен быть журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав. Также не забудьте перед проверкой обзавестись журналом учета проверок юридических лиц контролирующими органами.

Читайте так же:  Образец заявление на изменение предмета иска

Подводя итог по внедрению организационной документации по защите ПДн в вашей организации, еще раз повторюсь, строгого перечня документов нет. Вы можете создать один большой документ под названием «Политика в отношении защиты персональных данных», в котором опишите все, что я выше перечислил, а можете разбить на множество мелких документов. Можете издать несколько разных приказов, а можете назначить всех ответственных, определить лиц, допущенных к обработке ПДн и тд одним единственным распоряжением.

Но, все-таки, для примера приведу стандартный перечень документов, который обычно мы внедряем у своих клиентов:

  • перечень сведений конфиденциального характера;
  • инструкция администратора информационной безопасности;
  • приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных;
  • перечень персональных данных, подлежащих защите;
  • приказ об утверждении мест хранения персональных данных;
  • инструкция пользователей информационной системы персональных данных;
  • приказ о назначении комиссии по уничтожению персональных данных;
  • порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации;
  • план внутренних проверок режима защиты персональных данных;
  • приказ о вводе в эксплуатацию информационной системы персональных данных;
  • журнал учета носителей информации информационной системы персональных данных;
  • журнал учета мероприятий по контролю обеспечения защиты персональных данных;
  • журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав;
  • правила обработки персональных данных без использования средств автоматизации;
  • положение о разграничении прав доступа к обрабатываемым персональным данным;
  • акт классификации информационной системы персональных данных;
  • инструкция по проведения антивирусного контроля в информационной системе персональных данных;
  • инструкция по организации парольной защиты;
  • журнал периодического тестирования средств защиты информации;
  • форма акта уничтожения документов, содержащих персональные данные;
  • соглашение о неразглашении персональных данных;
  • журнал учета средств защиты информации;
  • журнал проведения инструктажа по информационной безопасности;
  • инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций;
  • приказ о перечне лиц, допущенных к обработке персональных данных;
  • положение об обработке и защите персональных данных;
  • план мероприятий по обеспечению безопасности персональных данных;
  • модель угроз безопасности в информационной системе персональных данных.

Вот, примерно так, опять же, список может быть гораздо шире или гораздо уже, все зависит от того, что будет написано в каждом из документов, здесь важно именно содержание. Образцы всех документов достаточно легко нагуглить.

Многие наверное заметили, что в списке документов много таких, которые регламентируют автоматизированную обработку и защиту ПДн в информационных системах. Несмотря на то, что при проверке Роскомнадзор обращает больше внимания на документальное обеспечение защиты ПДн, нежели на техническое, все равно — чем больше документов вы предоставите по защите ПДн, тем больше плюсиков в карму со стороны регулятора вам упадет.

Завершая раздел про документы, отмечу еще несколько моментов, на которые нужно обратить внимание. Во-первых, ко всем вышеперечисленным документам должен идти лист ознакомления и все лица, которых касается этот документ (будь то инструкция или приказ) должны расписаться в том, что они с бумажкой ознакомлены. Во-вторых, в должностные инструкции всех лиц, допущенных к обработке персональных данных нужно вписать строку «При работе с персональными данными руководствоваться Положением об обработке и защите персональных данных». И, в-третьих, помимо внутренних документов, необходимо разработать один публичный. Обычно его обзывают как «Политика в отношении обработки персональных данных». Такой документ должен вывешиваться на веб-сайте оператора ПДн, либо, если веб-сайта нет, на информационной доске в офисе или находиться в другом общедоступном месте. Примеров политики также можно нагуглить великое множество.

Несмотря на то, что этот момент больше относится к технической защите (ведь аттестация производится, когда наша информационная система полностью заряжена средствами защиты информации), все же хотел здесь пару слов сказать и о ней. Мне просто очень часто приходится слышать от очередных клиентов, что им промыли мозги о том, что аттестация информационных систем персональных данных является обязательной. Запомните раз и навсегда – это все ЧУШЬ! В положении об аттестации объектов информатизации черным по белому написано, что обязательной аттестации подлежат только объекты, содержащие государственную тайну и экологически опасные объекты. Поэтому весь этот бред об обязательной аттестации ИСПДн – просто происки недобросовестных интеграторов, желающих лишний раз скосить бабла с доверчивого клиента.

Аттестация ИСПДн может быть обязательной только в том случае, если ваша организация находится в подчинении вышестоящего органа, и эта самая верхушка спустила вам указание аттестовывать все свои ИСПДн.

Хотя, аттестацию может возжелать и сам начальник организации, ведь аттестат соответствия однозначно подтверждает, что ваши информационные системы полностью соответствуют законодательству как в плане документального обеспечения, так и в плане технической защиты. В этом случае нужно помнить, что одним из условий действительности аттестата является неизменность условий эксплуатации ИСПДн. То есть грубо говоря вы не можете поменять монитор на рабочем месте или установить дополнительное ПО без согласования с органом по аттестации, а это влечет за собой дополнительные затраты. Также стоит помнить, что аттестат соответствия может выдаваться максимум на три года, а потом – все по новой.
Возвращаясь к нашей основной теме – подготовке к проверке Роскомназдора, хочу сказать, что за все пять лет работы в данной сфере, проверяющие никогда не требовали Аттестат соответствия.

Вместо заключения

Букв получилось довольно много и, я думаю, пора закругляться, тем более, что выполнив описанные выше меры, можно сказать, что вы практически готовы к проверке Роскомнадзора. Но все же еще раз постараюсь коротко сформулировать основные этапы, выполнение которых поможет вам с большой долей вероятности получить положительное заключение по итогам проверки и некоторые другие, не вошедшие в статью, моменты:

  • Уведомление оператора. Необходимо проверить наличие уведомления, а также правдивость сведений изложенных в нем.
  • Роскомнадзор не будет проверять ваши информационные системы персональных данных, эти функции возложены на ФСТЭК России и ФСБ России (в случае использования средств шифрования), поэтому сосредоточьтесь на документальном обеспечении, информировании своих сотрудников.
  • Думаю не стоит лишний раз говорить о том, что если к вам пришла проверка Роскомнадзора, а в отделе кадров у кого-нибудь на столе будет лежать без присмотра пачка ксерокопий чьих-то паспортов, то это будет эпик фейл.
  • Если после всего прочитанного и после всех проведенных мероприятий у вас еще остаются вопросы, не поленитесь (а уж тем более не бойтесь и не стесняйтесь) позвонить в региональное управление Роскомнадзора. Задайте интересующие вас вопросы. Как правило, дозвониться туда легко (в сравнении со многими другими госорганами) и работники РКН идут на встречу, и разъясняют свое видение некоторых спорных вопросов. В некоторых случаях такой звонок даже жизненно необходим, так как наше законодательство часто можно трактовать двояко и даже бывает такое, что у одного и того же сотрудника РКН сегодня одна точка зрения на какую-либо проблему, а завтра – другая.
  • Со всех субъектов лучше собирать согласие на обработку ПДн. Да, в законе есть перечень случаев, когда согласие не требуется, например, когда оператор и субъект являются сторонами договорных отношений. НО, здесь же нужно помнить, что обработка биометрических и специальных категорий ПДн, а также передача ПДн третьим лицам осуществляются ТОЛЬКО с согласия субъекта. В любом случае, предоставление согласия на обработку ПДн снимает с вас множество различных неприятных вопросов. И если есть возможность эти согласия собрать, лучше это сделать. Здесь, кстати, как и с уведомлением нужно помнить о том, что сведения, указанные в согласии должны совпадать с тем, что и как вы обрабатываете на самом деле.
  • В начале проверки покажите регуляторам, что вы всячески готовы сотрудничать и исправлять выявленные недостатки в ходе самой проверки. Идеально подготовиться невозможно, в любом случае будут какие-либо замечания. Это не страшно, их можно устранить в процессе проверки, которая длится как правило 20 дней. Если замечания будут устранены, на содержании итогового протокола это негативно никак не скажется.

На этом, наверное, и закончу. Как видно не так страшны проверки РКН, как могут показаться на первый взгляд. Если у читателей есть какие-либо вопросы или предложения по следующим статьям на тему ПДн, постараюсь на все ответить и все учесть.