Дацан "Ринпоче Багша"
Документы по защите ПДн
в организации (по 152-ФЗ)
Документация, перечисленная на данной странице, требуется для соответствия положениям закона № 152-ФЗ. Ее наличие позволит пройти проверки Роскомнадзора. Также полный пакет документов по 152-ФЗ с разбивкой на группы необходим на конкретных этапах работы с персональными данными (ПДн).
До начала сбора ПД необходимо определить его цель. Именно целью определяется:
Наиболее важным моментом на этапе сбора ПД является определение основания для их обработки. Наиболее популярным основанием для обработки ПДн в России является согласие.
Согласие может быть выражено разными способами:
Полученные ПД попадают в информационную систему, которая должна обеспечивать их безопасность. Для этого оператор назначает лицо, которое, согласно нормативным документам по защите персональных данных, ответственно за организацию обработки ПДн. Это лицо подотчетно исполнительному органу оператора и от него же получает указания. Перечислим их основные обязанности:
1. Приказ о назначении комиссии по защите персональных данных
✔ Настоящий приказ определяет состав комиссии, которая будет руководствоваться Положением о комиссии по защите персональных данных и контролировать выполнение законодательных требований в данной области.
⇒ Именно данный приказ является началом процесса по приведению Компании в соответствие требованиям закона №152-ФЗ «О персональных данных». Данный документ выпускается один раз; при изменении состава комиссии по защите персональных данных выпускается другой приказ.
Ст.18.1 Федерального закона №152 «О персональных данных»
Как еще называют этот документ?
2. Поручение на обработку персональных данных
✔ Настоящий документ устанавливает ответственность третьего лица, обрабатывающего персональные данные по поручению оператора персональных данных (обработчика персональных данных), цель обработки передаваемых персональных данных, перечень возможных действий (операций) с ними, а также требования по обеспечению безопасности персональных данных.
⇒ Согласно поручению на обработку персональных данных 152-ФЗ, в случае нарушения обработчиком персональных данных требований по обеспечению безопасности персональных данных ответственность несет оператор персональных данных, передавший персональные данные на обработку, но обработчик компенсирует ущерб, понесенный оператором.
Выполняемые требования законодательства:
❑ п.3-5 ст.6, ст.7 Федерального закона №152 "О персональных данных"
❑ ст.86-87 ТК РФ
❑ п.1 ст.53 Федерального закона № 126-ФЗ «О связи»
❑ п.3 Постановления Правительства №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
❑ п.2 Приказа ФСТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
Регламент допуска сотрудников и третьих лиц к обработке персональных данных (ПДн)
В нем описывается порядок:
Для сотрудников оператора порядок доступа к ПДн определяется в соответствующем регламенте. На территории России право доступа к персональным данным работника имеет только тот персонал, которому это необходимо для выполнения должностных обязанностей. При этом каждый сотрудник, обрабатывающий ПД, должен быть проинформирован о правилах и особенностях проводимой обработки. Все они описываются в нормативно-правовых актах, регулирующих этот процесс, и внутренних документах оператора.
Дополнительно оператором назначается лицо, ответственное за организацию обработки ПДн оператора способствует регламентации доступа к персональным данным работников. В круг обязанностей данного сотрудника входит ведение контроля над соблюдением установленных требований и оперативное сообщение о вероятных нарушениях.
Как осуществляется порядок доступа к ПДн работника
Лицо, получившее доступ к персональным данным, должно иметь в своем распоряжении уникальный логин и пароль, позволяющие выполнять необходимые операции (исключительно в предписанном порядке) в соответствующей информационной системе. Следует учитывать, что логин и пароль (т. е., идентификаторы) такого сотрудника относятся к категории конфиденциальной информации. Поэтому разглашение их третьим лицам недопустимо. Сотрудник должен быть проинформирован об этих требованиях конфиденциальности и строго соблюдать их. Также он должен понимать риски нарушений указанных требований и осознавать свою ответственность, возникающую вследствие разглашения.
Как еще называют этот документ?
❑ Список сотрудников, имеющих доступ к персональным данным❑ Поручение на обработку персональных данных третьим лицам
3. Регламент определения уровней защищенности персональных данных
✔ Настоящий регламент устанавливает и описывает процедуры определения уровней защищенности персональных данных, моделирования актуальных угроз безопасности персональных данных, определения ущерба и составления требований по обеспечению безопасности персональных данных.
⇒ Также регламентом описывается процедура пересмотра уровней защищенности персональных данных.
Выполняемые требования законодательства
❑ Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 г. "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
Как еще называют этот документ?
4. Положение об обработке и защите персональных данных
✔ Данный документ необходим для установления требований, которые необходимо соблюдать для обеспечения безопасности персональных данных.
⇒ В настоящем документе описаны требования к системе защиты персональных данных, порядок ее реализации.
Выполняемые требования законодательства
Как еще называют этот документ?
5. Политика в отношении обработки персональных данных
Настоящая политика является публичным документом, поэтому в ней не указываются иные внутренние локальные акты оператора персональных данных.
Если смотреть формально, то для того, чтобы выполнить требования закона и различных площадок, достаточно, чтобы документ соответствовал следующим требованиям:
Выполнив требований выше, вы формально выполните требования закона, будете защищены от штрафов со стороны Роскомнадзора, а также сможете пройти модерацию сторонних сервисов.
Но есть рекомендации к содержанию Политики обработки персональных данных, выпущенные Молодежной Палатой при Консультативном совете Роскомнадзора.
С использованием рекомендаций Политика конфиденциальности получается более клиентоориентированной и правильной.
Если учитывать эти рекомендации, то в тексте Политики обработки персональных данных должно быть:
Выполняемые требования законодательства
Как еще называют этот документ?
6. Положение об обработке персональных данных
✔ Настоящее положение устанавливает требования к процессам обработки персональных данных, определяет правила хранения и использования персональных данных.
⇒ В положении учитываются права субъекта персональных данных и ответственность оператора персональных данных при нарушении прав субъекта. Данный документ является одним из основополагающих при соблюдении требований законодательства в области персональных данных.
Выполняемые требования законодательства
Как еще называют этот документ?
✔ Настоящий документ устанавливает обязанности, права и ответственность лица, ответственного за организацию обработки персональных данных.
⇒ Лицом, ответственным за организацию обработки персональных данных, чаще всего является специалист отдела кадров, так как в обязанности первого входит донесение требований законодательства и внутренних актов по обработке и защите персональных данных до сотрудников. Если лицом, ответственным за организацию обработки персональных данных, назначается сторонняя юридическая компания или системный интегратор, то документ будет называться не инструкцией, а положением.
⇒ В обязанности лица, ответственного за организацию обработки персональных данных, входит контроль за соблюдением правил и принципов обработки персональных данных согласно законодательству, взаимодействие с субъектами персональных данных (физическими лицами) и Роскомнадзором.
Выполняемые требования законодательства
Как еще называют этот документ?
❑ Инструкция менеджера обработки персональных данных❑ Положение о лице, ответственном за организацию обработки персональных данных
✔ Настоящий документ устанавливает обязанности, права и ответственность администратора безопасности информационных систем персональных данных.
⇒ Данное лицо организует техническую и организационную защиту персональных данных, участвует в определении уровней защищенности персональных данных, разрабатывает систему защиты персональных данных и при должной квалификации настраивает средства защиты.
Выполняемые требования законодательства
Как еще называют этот документ?
❑ Инструкция администратора безопасности персональных данных✔ Данным приказом назначается администратор безопасности информационных систем персональных данных и менеджер обработки персональных данных.
⇒ Первый занимается вопросами безопасности персональных данных, второй организацией обработки персональных данных. Оба лица выбираются из состава Комиссии по приведению в соответствие с требованиями законодательства в области персональных данных. В качестве менеджера обработки может выступать юридическое лицо.
Выполняемые требования законодательства
Как еще называют этот документ?
❑ Приказ о назначении ответственного за обеспечение безопасности персональных данных
✔ Документ перечисляет адреса офисов и помещения в них, где возможна обработка персональных данных.
⇒ Описываются общедоступные помещения, в которых также ведется обработка персональных данных, но доступ к которым имеет неограниченный круг лиц (зона регистрации, операционный зал и т.д.).
Выполняемые требования законодательства
Как еще называют этот документ?
❑ План помещений для обработки персональных данных✔ Настоящий документ описывает технические характеристики каждой информационной системы персональных данных: схему сети, характеристики компьютеров, серверов и сетевого оборудования.
⇒ Также отображается информация о программном обеспечении, которое функционирует внутри информационной системы.
⇒ На основании данного документа будет строиться модель угроз персональных данных и проектироваться система защиты персональных данных (СЗПДн).
Выполняемые требования законодательства
Как еще называют этот документ?
❑ Характеристики информационной системы персональных данных✔ Настоящий документ содержит перечень информационных систем персональных данных и их характеристики, которые определены законодательством Российской Федерации.
⇒ При проведении проверок государственных органов показывайте настоящий документ как определяющий информационные системы персональных данных и их характеристики. В данном документе также перечислены сотрудники, имеющие доступ к той или иной системе.
Выполняемые требования законодательства
Как еще называют этот документ?
❑ Перечень информационных систем персональных данных в школе
❑ Перечень информационных систем персональных данных в администрации
❑ Перечень ИСПДн
Документ согласия на обработку персональных данных является одним из основополагающих при выполнении требований законодательства в области персональных данных.
Согласие на обработку персональных данных является одним из самых популярных законных условий для обработки персональных данных в России. Поэтому с работников, клиентов и других физических лиц компании чаще всего собирают документ согласия на обработку персональных данных в письменном виде, в электронном, а также любым другим способом.
Выполняемые требования законодательства
Как еще называют этот документ?
✔ Настоящий документ определяет обязанности, права и ответственность Комиссии по приведению деятельности организации в соответствие требованиям законодательства в области персональных данных. Этот документ позволит точно определить список возможных действий Комиссии и ее членов.
⇒ Именно Комиссия будет разрабатывать необходимую правовую документацию по защите персональных данных, проводить внутренние проверочные мероприятия, определять класс информационных систем обработки персональных данных и определять необходимые технические средства защиты информации.
При проведении проверок Роскомнадзора настоящий документ предъявляется, как определяющий и описывающий разрешенные действия данной Комиссии.
Как еще называют этот документ?
✔ Настоящий документ содержит категории субъектов персональных данных, состав обрабатываемых персональных данных, цели и основания для обработки, а также условия прекращения обработки персональных данных.
⇒ В перечне указывается информация о всех категориях субъектов персональных данных (физических лиц), чьи персональные данные обрабатываются в организации.
Этот документ является ключевым во всем процессе приведения организации в соответствие требованиям законодательства в области персональных данных.
Данный перечень должен быть утвержден на основании Приказа организации
Выполняемые требования законодательства
Как еще называют этот документ?
✔ С помощью настоящего перечня легко определить, кто имеет доступ к персональным данным. При проведении проверки Роскомнадзор будет изучать данный документ одним из первых.
⇒ Помимо сотрудников, в данном документе указываются контрагенты, от которых получаются персональные данные и которым передаются персональные данные на обработку, а также приводится основание для передачи данных на обработку.
Выполняемые требования законодательства
Как еще называют этот документ?
✔ Документ подготавливает Комиссия по приведению в соответствие требованиям законодательства в области персональных данных.
⇒ В плане указываются мероприятия по выполнению требований закона №152-ФЗ "О персональных данных" и других нормативных документов в определенной последовательности: аудит, уведомление об обработке персональных данных, определение уровней защищенности персональных данных, разработка организационно-распорядительной документации и системы защиты персональных данных.
Выполняемые требования законодательства
❑ Ст.18.1 Федерального закона №152 "О персональных данных"
Как еще называют этот документ?
✔ Документ необходим для того, чтобы сотрудник, получивший доступ к обработке персональных данных, принял на себя ответственность за их обработку и разглашение. Обязательство подписывается новым сотрудником при оформлении на работу.
Выполняемые требования законодательства
Выполняемые требования законодательства
Как еще называют этот документ?
✔ Настоящий документ устанавливает ответственность лица, обрабатывающего персональные данные по поручению оператора персональных данных (обработчик персональных данных), цель обработки передаваемых персональных данных, перечень возможных действий (операций) с ними, а также требования по обеспечению безопасности персональных данных.
⇒ По документу, в случае нарушения обработчиком персональных данных требований по обеспечению безопасности персональных данных, ответственность несет оператор персональных данных, передавший персональные данные на обработку, но обработчик компенсирует ущерб, понесенный оператором.
Выполняемые требования законодательства
Как еще называют этот документ?
Под уровнем защищенности подразумевается комплексный показатель, характеризующий выполнение мероприятий, нейтрализующих риски безопасности информационных систем, в которых хранятся и обрабатываются ПД.
Каждый из них определяется:
Всего на территории России существует 4 уровня защиты персональных данных сотрудников, согласно документам в организации и законодательству.
✔ Техническое задание является первым шагом в построении требований к системе защиты персональных данных.
⇒ Документ включает в себя описание необходимых подсистем защиты, которые должны будут нейтрализовать выявленные актуальные угрозы безопасности персональных данных и выполнить требования по обеспечению безопасности персональных данных, установленные нормативными актами для соответствующего уровня защищенности персональных данных.
Выполняемые требования законодательства
❑ Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 г. "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"Как еще называют этот документ?
✔ Данным документом для каждой информационной системы персональных данных определяется уровень защищенности персональных данных, обрабатываемых в ней.
⇒ От определенного уровня защищенности зависит количество мер по обеспечению безопасности персональных данных, которые необходимо реализовать. Чем ниже уровень защищенности, тем больше требований необходимо выполнить.
Выполняемые требования законодательства
Как еще называют этот документ?
Выполняемые требования законодательства
Как еще называют этот документ?
✔ Настоящий документ определяет актуальные угрозы безопасности персональных данных.
⇒ На основании определения актуальных угроз можно снизить количество необходимых мер по обеспечению безопасности персональных данных. Модель угроз безопасности персональных данных готовится на основании информации о бизнес-процессах, ИТ-инфраструктуре и уже применяемых средств защиты, а также о допущенных к обработке сотрудников и третьих лиц.
Выполняемые требования законодательства
Как еще называют этот документ?
Подается в бумажном или электронном формате с подписью уполномоченного лица до начала обработки в Роскомнадзор. Перечень некоторых сведений, содержащихся в таком уведомлении:
Следует учитывать, что в некоторых случаях нормативные документы по защите персональных данных не предусматривают обязательное уведомление. Например, при обработке:
Роскомнадзор требует, чтобы Уведомление об обработке персональных данных заполнялось через электронную форму на его сайте, после чего распечатывалось и отправлялось бы в соответствующий территориальный отдел Роскомнадзора.
✔ Подача в Роскомнадзор Уведомления об осуществлении обработки персональных данных является одним из основных требований к оператору персональных данных. При этом в Федеральном законе №152-ФЗ "О персональных данных" также прописаны случаи, при которых подача уведомления не обязательна.
⇒ По итогам получения и обработки Уведомления, Роскомнадзор включает оператора в Реестр операторов персональных данных. В случае необходимости изменения сведений в Реестре операторов персональных данных, в Роскомнадзор необходимо подать Информационное письмо о внесении изменений в сведения, содержащиеся в реестре операторов персональных данных.
Выполняемые требования законодательства
Как еще называют этот документ?
Именно этот этап в первую очередь подвергается проверке контролирующими органами. Поэтому необходимый пакет документов 152-ФЗ должен быть у каждой организации, физ. лица, муниципального органа или иного субъекта, выполняющего операции с ПД. Такой пакет разрабатывается для каждого оператора индивидуально и включает несколько десятков документов, в том числе:
✔ Настоящим регламентом определяется последовательность резервного копирования и восстановления персональных данных при их обработке в информационных системах персональных данных.
⇒ Резервные копии, содержащие персональные данные, и план резервного копирования указываются в журнале резервных копий и плане резервного копирования персональных данных.
Выполняемые требования законодательства
Как еще называют этот документ?
✔ Настоящий регламент описывает последовательность действий по реагированию на запросы субъектов персональных данных.
⇒ Количество возможных категорий запросов субъектов персональных данных ограниченно, каждой категории запросов в документе выделяется соответствующая глава. В приложения к данному документу представлены варианты запросов для заполнения субъектом персональных данных и журнал учета запросов субъектов персональных данных.
Выполняемые требования законодательства
Как еще называют этот документ?
✔ Настоящим регламентом описываются процессы по разовому и постоянному допуску сотрудников и третьих лиц к персональным данным.
⇒ Также в данном документе описываются процессы по прекращению доступа к персональным данным и расширению доступа.
Выполняемые требования законодательства
✔ Настоящим приказом утверждается инструкция, по которой сотрудники обязаны правильно работать с персональными данными и следить за их защитой и за работой средств защиты информации, установленными на их компьютерах
Выполняемые требования законодательства
Как еще называют этот документ?
✔ Настоящий регламент определяет процедуры учета, хранения и уничтожения носителей персональных данных.
⇒ Помимо этого, указываются возможные виды носителей персональных данных, бумажные и электронно-магнитные, и способы их уничтожения.
Выполняемые требования законодательства
Как еще называют этот документ?
✔ Данный документ устанавливает обязанности, права и ответственность пользователей информационных систем персональных данных.
⇒ Так, настоящим документом закреплены требования по соблюдению политики "чистого стола", реагировании на инциденты безопасности.
Как еще называют этот документ?
✔ Настоящий документ определяет порядок осуществления трансграничной передачи персональных данных в соответствии с требованиями законодательства в области персональных данных.
⇒ Помимо этого, в регламенте описаны критерии, определяющие возможность осуществления трансграничной передачи, а также представлена информация по локализации баз данных на территории РФ.
Приложения к документу: протокол заседания комиссии по определению возможности осуществления трансграничной передачи персональных данных.
Выполняемые требования законодательства
✔ Настоящий документ определяет последовательность проведения контрольных внутренних мероприятий по соответствию требованиям законодательства в области персональных данных и последовательность действий при возникновении инцидентов информационной безопасности.
⇒ Помимо этого, в регламенте указываются последовательность действий по обновлению и актуализации внутренних локальных актов, касающихся обработки и защиты персональных данных.
Выполняемые требования законодательства
Если из согласия на обработку упомянутых данных не следует, что лицо согласилось с их распространением, оператор обрабатывает данные без права распространения. Молчание или бездействие лица не считается согласием на обработку указанных данных. Требования к содержанию такого согласия устанавливает Роскомнадзор (ч. 9 ст. 9, ст. 23 ФЗ-152.
Данный документ закрепляет перечень типовых форм, используемых оператором, которые содержат персональные данные.
Правила осуществления внутреннего контроля устанавливают регламент проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленных законодательством о персональных данных и принятыми в соответствии с ним локальными актами оператора.
С такими лицами должен быть заключен договор поручения. В таком договоре должен содержаться перечень операций с персональными данными, которые будут совершаться обработчиком, цели обработки, обязанность соблюдать конфиденциальность персональных данных.
Данным приказом устанавливаются границы контролируемой зоны информационных систем персональных данных. В периметре установленных границ ответственные за организацию обработки и за безопасность персональных данных осуществляют контроль за обработкой персональных данных и обеспечивают их безопасность.
Данным приказом устанавливаются границы контролируемой зоны информационных систем персональных данных. В периметре установленных границ ответственные за организацию обработки и за безопасность персональных данных осуществляют контроль за обработкой персональных данных и обеспечивают их безопасность.
Инструкция по учету лиц, допущенных к работе с персональными данными в информационных системах персональных данных (ИСПДн) определяет порядок учета лиц, допущенных к работе с персональными данными, порядок их допуска и прекращения такого допуска.
Инструкция по проведению инструктажа лиц, допущенных к работе с информационными системами персональных данных (ИСПДн) разрабатывается с целью обеспечения безопасности персональных данных, определяет порядок проведения инструктажа работников ответственным за организацию обработки персональных данных.
Инструкция пользователя информационной системы персональных данных (ИСПДн) определяет права, обязанности и ответственность пользователя по соблюдению порядка обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные, ставшей ему известной (или доступной для обработки) в процессе работы.
Инструкция по учёту и хранению съёмных носителей персональных данных нужна для определения порядка работы со съёмными носителями персональных данных. С данной инструкцией знакомятся под роспись и выполняют её все лица, допущенные к обработке персональных данных в соответствии с приказом о допуске к обработке персональных данных.
Инструкция по резервному копированию и восстановлению определяет действия, связанные с функционированием технических и программных средств автоматизированной информационной системы (АИС) и системы защиты персональных данных.
Инструкция по организации антивирусной защиты в информационных системах персональных данных (ИСПДн) разрабатывается в целях защиты персональных данных в информационных системах персональных данных от несанкционированного копирования, модификации и уничтожения под действием вирусов и другого вредоносного программного обеспечения.
Целью настоящего документа является превентивная защита элементов ИСПДн от прерывания работоспособности в случае реализации рассматриваемых угроз.
Документ предназначен для поэкземплярного учета таких носителей, и разработан в соответствии с инструкцией по учёту и хранению съёмных носителей.
Журнал учета прохождения первичного инструктажа работниками ведется оператором в качестве меры, направленной на учет прохождения первичного инструктажа работниками допущенными к обработке персональных данных на основании приказа о допуске к обработке персональных данных.
Журнал регистрации нарушения и восстановления работоспособности ведется оператором в качестве меры, направленной на учет событий нарушения работоспособности оборудования или ИСПДн, даты и времени обнаружения события, причин нарушения, информации о предпринятых мерах по восстановлению работоспособности оборудования или ИСПДн.
Журнал учёта прав доступа к информационным системам персональных данных (ИСПДн) создается и поддерживается в актуальном состоянии оператором на основании приказа о допуске к обработке персональных данных, а также инструкции по учету лиц, допущенных к работе с персональными данными в информационных системах персональных данных (ИСПДн).
Журнал учёта средств защиты информации ведется оператором в качестве меры, направленной на учет средств защиты информации, эксплуатационной и технической документации к ним, а также лиц производящих установку средств защиты информации.
Журнал учёта проверок контролирующими органами, ведется оператором в качестве меры, направленной на обеспечение исполнения обязанности оператора по предоставлению информации по запросам уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) и иных органов.
Журнал учёта проверок контролирующими органами, ведется оператором в качестве меры, направленной на обеспечение исполнения обязанности оператора по предоставлению информации по запросам уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) и иных органов.
В документе для каждой категории субъектов персональных данных (работники, клиенты, соискатели и т.п.) и для каждого способа обработки персональных данных указывается присвоенная степень вреда (низкий, умеренный, средний, значительный, высокий, чрезвычайно высокий). Степень тяжести вреда обычно зависит от идентифицирующего потенциала, количества персональных данных и количества субъектов персональных данных.
Порядок уничтожения персональных данных должен соответствовать установленным законом правилам: после процесса уничтожения информация не должна иметь возможность быть восстановленной. При этом сам процесс должен проводиться специальной комиссией, созданной как раз для подобных случаев. После завершения процедуры создается акт, подписываемый членами комиссии и руководителем.