Дацан "Ринпоче Багша"

Документы по защите ПДн

в организации (по 152-ФЗ)

Документация, перечисленная на данной странице, требуется для соответствия положениям закона № 152-ФЗ. Ее наличие позволит пройти проверки Роскомнадзора. Также полный пакет документов по 152-ФЗ с разбивкой на группы необходим на конкретных этапах работы с персональными данными (ПДн).

1 ЭТАП
Сбор исходных данных

До начала сбора ПД необходимо определить его цель. Именно целью определяется:

  1. требуемый объем собираемых персональных данных;
  2. порядок их обработки;
  3. срок их хранения.


Наиболее важным моментом на этапе сбора ПД является определение основания для их обработки. Наиболее популярным основанием для обработки ПДн в России является согласие.


Согласие может быть выражено разными способами:

  • конклюдентно – например, продолжение посещения сайта означает согласие на использование cookies;
  • письменно – в форме подписанного документа по 152-ФЗ, либо электронного документа, подписанного электронной подписью;
  • в ином формате – например, в форме проставления галочки в чекбоксе на сайте или записи телефонного разговора.


Полученные ПД попадают в информационную систему, которая должна обеспечивать их безопасность. Для этого оператор назначает лицо, которое, согласно нормативным документам по защите персональных данных, ответственно за организацию обработки ПДн. Это лицо подотчетно исполнительному органу оператора и от него же получает указания. Перечислим их основные обязанности:

  • внутренний контроль соблюдения любыми субъектами законодательства РФ, относящегося к защите ПД;
  • ознакомление персонала оператора с требованиями защиты ПД при их хранении и обработке;
  • организация и контроль приема и обработки запросов от субъектов ПД
ПЕРВЫЙ ЭТАП
ПЕРЕЧЕНЬ НОРМАТИВНО-ПРАВОВОЙ ДОКУМЕНТАЦИИ
20 документов 

1. Приказ о назначении комиссии по защите персональных данных

✔ Настоящий приказ определяет состав комиссии, которая будет руководствоваться Положением о комиссии по защите персональных данных и контролировать выполнение законодательных требований в данной области.

 

⇒ Именно данный приказ является началом процесса по приведению Компании в соответствие требованиям закона №152-ФЗ «О персональных данных». Данный документ выпускается один раз; при изменении состава комиссии по защите персональных данных выпускается другой приказ.

Ст.18.1 Федерального закона №152 «О персональных данных»

Как еще называют этот документ?

  • Приказ о защите персональных данных
  • Приказ о назначении комиссии по приведению в соответствие требованиям законодательства в области персональных данных
  • Приказ об обработке персональных данных
  • Приказ о начале обработки персональных данных
  • Приказ о введении режима обработки персональных данных
  • Приказ о комиссии по защите персональных данных
  • Приказ о проведении работ по защите персональных данных
  • Приказ о создании комиссии для проведения классификации
  • Приказ о создании постоянно действующей экспертной комиссии по защите информации

2. Поручение на обработку персональных данных

✔ Настоящий документ устанавливает ответственность третьего лица, обрабатывающего персональные данные по поручению оператора персональных данных (обработчика персональных данных), цель обработки передаваемых персональных данных, перечень возможных действий (операций) с ними, а также требования по обеспечению безопасности персональных данных.


⇒ Согласно поручению на обработку персональных данных 152-ФЗ, в случае нарушения обработчиком персональных данных требований по обеспечению безопасности персональных данных ответственность несет оператор персональных данных, передавший персональные данные на обработку, но обработчик компенсирует ущерб, понесенный оператором.


Выполняемые требования законодательства:

❑ п.3-5 ст.6, ст.7 Федерального закона №152 "О персональных данных"

❑ ст.86-87 ТК РФ

❑ п.1 ст.53 Федерального закона № 126-ФЗ «О связи»

❑ п.3 Постановления Правительства №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

❑ п.2 Приказа ФСТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

Регламент допуска сотрудников и третьих лиц к обработке персональных данных (ПДн)


В нем описывается порядок:

  • однократного или постоянного допуска сотрудников и третьих лиц к работе с ПДн;
  • прекращения или расширения доступа к персональным данным .

Для сотрудников оператора порядок доступа к ПДн определяется в соответствующем регламенте. На территории России право доступа к персональным данным работника имеет только тот персонал, которому это необходимо для выполнения должностных обязанностей. При этом каждый сотрудник, обрабатывающий ПД, должен быть проинформирован о правилах и особенностях проводимой обработки. Все они описываются в нормативно-правовых актах, регулирующих этот процесс, и внутренних документах оператора.


Дополнительно оператором назначается лицо, ответственное за организацию обработки ПДн оператора способствует регламентации доступа к персональным данным работников. В круг обязанностей данного сотрудника входит ведение контроля над соблюдением установленных требований и оперативное сообщение о вероятных нарушениях.


Как осуществляется порядок доступа к ПДн работника

Лицо, получившее доступ к персональным данным, должно иметь в своем распоряжении уникальный логин и пароль, позволяющие выполнять необходимые операции (исключительно в предписанном порядке) в соответствующей информационной системе. Следует учитывать, что логин и пароль (т. е., идентификаторы) такого сотрудника относятся к категории конфиденциальной информации. Поэтому разглашение их третьим лицам недопустимо. Сотрудник должен быть проинформирован об этих требованиях конфиденциальности и строго соблюдать их. Также он должен понимать риски нарушений указанных требований и осознавать свою ответственность, возникающую вследствие разглашения.

Как еще называют этот документ?

❑ Список сотрудников, имеющих доступ к персональным данным
❑ Перечень лиц, допущенных к обработке персональных данных
❑ Перечень лиц, допущенных к персональным данным
❑ Перечень сотрудников, допущенных к обработке персональных данных
❑ Перечень работников, обрабатывающих персональные данные

❑ Поручение на обработку персональных данных третьим лицам

3. Регламент определения уровней защищенности персональных данных

✔ Настоящий регламент устанавливает и описывает процедуры определения уровней защищенности персональных данных, моделирования актуальных угроз безопасности персональных данных, определения ущерба и составления требований по обеспечению безопасности персональных данных.

⇒ Также регламентом описывается процедура пересмотра уровней защищенности персональных данных.


Выполняемые требования законодательства

❑ Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 г. "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

Как еще называют этот документ?

  • Правила определения уровней защищенности
  • Правила классификации информационных систем персональных данных
  • Правила классификации ИСПДн

4. Положение об обработке и защите персональных данных

✔ Данный документ необходим для установления требований, которые необходимо соблюдать для обеспечения безопасности персональных данных. 

 

⇒ В настоящем документе описаны требования к системе защиты персональных данных, порядок ее реализации.



Выполняемые требования законодательства

  • ❑  п.3) ч.1 ст.18.1; ст.19 Федерального закона №152 "О персональных данных"
  • ❑  Приказ ФСТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
  • ❑  Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 г. "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
  • ❑  Приказ ФСТЭК России от 11.02.2013 №17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"
  • ❑  Приказ ФСБ России от 10 июля 2014 г. №378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"

Как еще называют этот документ?

  • Положение о защите персональных данных
  • Положение об обеспечении безопасности персональных данных
  • Положение по защите персональных данных работников
  • Положение по защите персональных данных 2016 
  • Положение о защите персональных данных организации
  • Положение о защите персональных данных ДОУ

5. Политика в отношении обработки персональных данных

Настоящая политика является публичным документом, поэтому в ней не указываются иные внутренние локальные акты оператора персональных данных.

 

Если смотреть формально, то для того, чтобы выполнить требования закона и различных площадок, достаточно, чтобы документ соответствовал следующим требованиям:

  • был издан приказом или подписан генеральным директором / индивидуальным предпринимателем;
  • назывался Политика конфиденциальности, Политика в отношении обработки персональных данных или другим названием
  • в тексте должно быть название организации / физического лица, адрес и контактные данные
  • в тексте должно упоминаться, что документ разработан в соответствии с Федеральным законом от 27.07.2007 г. № 152-ФЗ «О персональных данных».

Выполнив требований выше, вы формально выполните требования закона, будете защищены от штрафов со стороны Роскомнадзора, а также сможете пройти модерацию сторонних сервисов.


Но есть рекомендации к содержанию Политики обработки персональных данных, выпущенные Молодежной Палатой при Консультативном совете Роскомнадзора.


С использованием рекомендаций Политика конфиденциальности получается более клиентоориентированной и правильной.


Если учитывать эти рекомендации, то в тексте Политики обработки персональных данных должно быть:

  • основные понятия из 152-ФЗ «О персональных данных»
  • основные права физических лиц при обработке их персональных данных
  • обязанности оператора персональных данных и физических лиц
  • цели сбора персональных данных
  • описание правовых основания обработки персональных данных
  • состав и категории обрабатываемых персональных данных
  • категории физических лиц, чьи персональные данные обрабатываются
  • порядок и условия обработки персональных данных
  • наименование и контакты оператора персональных данных
  • условия обновления Политики и дата последнего обновления


Выполняемые требования законодательства

  • п.2) ч.1 и ч.2 ст.18.1 Федерального закона №152 "О персональных данных"

Как еще называют этот документ?

  • Политика конфиденциальности
  • Политика обработки персональных данных
  • Политика оператора в отношении обработки персональных данных
  • Политика компании в отношении обработки персональных данных
  • Политика в отношении обработки персональных данных
  • Политика об обработке персональных данных
  • Политика обработки персональных данных
  • Политика в отношении обработки персональных данных 2021
  • Политика защиты персональных данных
  • Политика обработки и защиты персональных данных
  • Политика конфиденциальности сайта
  • Privacy Policy
  • Политика приватности
  • Политика конфиденциальности информации
  • Политика конфиденциальности 2021
  • Политика конфиденциальности компании
  • Политика конфиденциальности сервиса
  • Политика конфиденциальности пользователей

6. Положение об обработке персональных данных

✔ Настоящее положение устанавливает требования к процессам обработки персональных данных, определяет правила хранения и использования персональных данных.

⇒ В положении учитываются права субъекта персональных данных и ответственность оператора персональных данных при нарушении прав субъекта. Данный документ является одним из основополагающих при соблюдении требований законодательства в области персональных данных.


Выполняемые требования законодательства

  • ❑ ст.5; п.6 ч.1 ст.14; п.2) ч.1 ст.18.1; ч.3, 4 ст.21 Федерального закона №152 "О персональных данных"
  • ❑ ч.6 Постановления правительства №687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"
  • ❑ ст.86-90 ТК РФ

Как еще называют этот документ?

  • ❑  Положение об обработке персональных данных работников 
  • ❑  Положение о порядке обработки персональных данных 
  • ❑  Положение об особенностях обработки персональных данных 
  • ❑  Положение о хранении персональных данных

7. Инструкция лица, ответственного за организацию обработки персональных данных

✔ Настоящий документ устанавливает обязанности, права и ответственность лица, ответственного за организацию обработки персональных данных.


⇒ Лицом, ответственным за организацию обработки персональных данных, чаще всего является специалист отдела кадров, так как в обязанности первого входит донесение требований законодательства и внутренних актов по обработке и защите персональных данных до сотрудников. Если лицом, ответственным за организацию обработки персональных данных, назначается сторонняя юридическая компания или системный интегратор, то документ будет называться не инструкцией, а положением.

⇒ В обязанности лица, ответственного за организацию обработки персональных данных, входит контроль за соблюдением правил и принципов обработки персональных данных согласно законодательству, взаимодействие с субъектами персональных данных (физическими лицами) и Роскомнадзором.


Выполняемые требования законодательства

  • п. 1), 6) ч.1 ст.18.1; п.7.1) ч.3 ст.22; ст.22.1 Федерального закона №152 "О персональных данных"

Как еще называют этот документ?

❑ Инструкция менеджера обработки персональных данных

❑ Положение о лице, ответственном за организацию обработки персональных данных

8. Инструкция администратора безопасности

✔ Настоящий документ устанавливает обязанности, права и ответственность администратора безопасности информационных систем персональных данных.


⇒ Данное лицо организует техническую и организационную защиту персональных данных, участвует в определении уровней защищенности персональных данных, разрабатывает систему защиты персональных данных и при должной квалификации настраивает средства защиты.


Выполняемые требования законодательства

  • ч.5 "Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (ФСТЭК)
  • ч.3 Постановления Правительства №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

Как еще называют этот документ?

❑ Инструкция администратора безопасности персональных данных
❑ Инструкция администратора безопасности
❑ Инструкция администратора безопасности информационных систем персональных данных
9. Приказ о назначении лиц, ответственных за обработку и защиту персональных данных

✔ Данным приказом назначается администратор безопасности информационных систем персональных данных и менеджер обработки персональных данных.

⇒ Первый занимается вопросами безопасности персональных данных, второй организацией обработки персональных данных. Оба лица выбираются из состава Комиссии по приведению в соответствие с требованиями законодательства в области персональных данных. В качестве менеджера обработки может выступать юридическое лицо.


Выполняемые требования законодательства

  • пп. 1), 6), п.1 ст.18.1, ст.22.1 Федерального закона №152 "О персональных данных"
  • п.3 Постановления Правительства №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

Как еще называют этот документ?

❑ Приказ о назначении ответственного за обеспечение безопасности персональных данных

10. Перечень помещений для обработки персональных данных

✔ Документ перечисляет адреса офисов и помещения в них, где возможна обработка персональных данных.


⇒ Описываются общедоступные помещения, в которых также ведется обработка персональных данных, но доступ к которым имеет неограниченный круг лиц (зона регистрации, операционный зал и т.д.).


Выполняемые требования законодательства

  • п.8.12 гл.II Приказа ФСТЭК России от 18.02.2013 №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

Как еще называют этот документ?

❑ План помещений для обработки персональных данных
❑ Список помещений, где обрабатываются персональные данные
❑ Перечень помещений, где введен режим защиты персональных данных

11. Технический паспорт информационных систем персональных данных

✔ Настоящий документ описывает технические характеристики каждой информационной системы персональных данных: схему сети, характеристики компьютеров, серверов и сетевого оборудования. 

 

⇒ Также отображается информация о программном обеспечении, которое функционирует внутри информационной системы.

⇒ На основании данного документа будет строиться модель угроз персональных данных и проектироваться система защиты персональных данных (СЗПДн).


Выполняемые требования законодательства

  • Абзац 2 п.9, п.10 Приказа ФТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

Как еще называют этот документ?

❑ Характеристики информационной системы персональных данных
❑ Информация о контролируемой зоне
❑ Схема информационной системы персональных данных

12. Перечень информационных систем персональных данных

✔ Настоящий документ содержит перечень информационных систем персональных данных и их характеристики, которые определены законодательством Российской Федерации.


⇒ При проведении проверок государственных органов показывайте настоящий документ как определяющий информационные системы персональных данных и их характеристики. В данном документе также перечислены сотрудники, имеющие доступ к той или иной системе.


Выполняемые требования законодательства

  • Постановление Правительства №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
  • п.10)
  • ст.3 Федерального закона №152 "О персональных данных"
  • Приказ ФСТЭК России от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
  • Приказ ФСТЭК России от 11.02.2013 № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"
  • ч.4 ст.98 Федерального закона № 273-ФЗ "Об образовании в Российской Федерации"

Как еще называют этот документ?

❑ Перечень информационных систем персональных данных в школе

❑ Перечень информационных систем персональных данных в администрации

❑ Перечень ИСПДн

13. Согласие на обработку персональных данных

Документ согласия на обработку персональных данных является одним из основополагающих при выполнении требований законодательства в области персональных данных.


Согласие на обработку персональных данных является одним из самых популярных законных условий для обработки персональных данных в России. Поэтому с работников, клиентов и других физических лиц компании чаще всего собирают документ согласия на обработку персональных данных в письменном виде, в электронном, а также любым другим способом.


Выполняемые требования законодательства

  • ч.2 ст.5; п. 1) ч.1. ст.6; ст.7; ст.8; ст.9; ч.1, 3 ст.10; п.1 ч.2 ст.10; ст.10.1; ст.11;, ст.12; ч.2 ст.15;, ч.3 ст.18; ч.3-6 ст.21 Федерального закона №152 "О персональных данных"
  • ст.86-89 ТК РФ
  • ст.15 Федерального закона №75-ФЗ "О негосударственных пенсионных фондах"
  • п.17 ч.2 ст.8; п.9 ч.2 ст.9 Федерального закона №138-ФЗ "О лотереях"

Как еще называют этот документ?

  • Согласие на обработку персональных данных 2022
  • Документ согласия на обработку персональных данных
  • Бланк согласия на обработку персональных данных
  • Образец согласия на обработку персонгальных данных
  • Согласие на обработку персональных данных ребенка
  • Согласие на обработку персональных данных на работе
  • Согласие на обработку персональных данных работника
  • Согласие родителей на обработку персональных данных
  • Заявление на обработку персональных данных
  • Соглашение на обработку персональных данных
  • Форма согласия на обработку персональных данных
  • Согласие лица на обработку персональных данных
  • Договор-согласие об обработке персональных данных
  • Письменное согласие на обработку персональных данных
  • Согласие законного представителя на обработку персональных данных
  • Согласие на обработку персональных данных в школе
  • Согласие на передачу персональных данных третьему лицу
  • Согласие на обработку персональных данных на сайте
  • Согласие на распространение персональных данных
  • Согласие на обработку биометрчиеских персональных данных
  • Согласие на обработку биометрии
  • Согласие на обработку персональных данных для сайта ПДн

14. Положение о комиссии по защите персональных данных

✔ Настоящий документ определяет обязанности, права и ответственность Комиссии по приведению деятельности организации в соответствие требованиям законодательства в области персональных данных. Этот документ позволит точно определить список возможных действий Комиссии и ее членов.

 

⇒ Именно Комиссия будет разрабатывать необходимую правовую документацию по защите персональных данных, проводить внутренние проверочные мероприятия, определять класс информационных систем обработки персональных данных и определять необходимые технические средства защиты информации.


При проведении проверок Роскомнадзора настоящий документ предъявляется, как определяющий и описывающий разрешенные действия данной Комиссии.



Как еще называют этот документ?

  • Положение о комиссии по приведению деятельности организации в соответствие требованиям законодательства в области персональных данных
  • Положение о комиссии по классификации информационных систем обработки персональных данных
  • Положение о комиссии по персональным данным

15. Перечень обрабатываемых персональных данных

✔ Настоящий документ содержит категории субъектов персональных данных, состав обрабатываемых персональных данных, цели и основания для обработки, а также условия прекращения обработки персональных данных.

⇒ В перечне указывается информация о всех категориях субъектов персональных данных (физических лиц), чьи персональные данные обрабатываются в организации.


Этот документ является ключевым во всем процессе приведения организации в соответствие требованиям законодательства в области персональных данных.


Данный перечень должен быть утвержден на основании Приказа организации


Выполняемые требования законодательства

  • ❑ ч.1, 2, 4, 5, 6, 7 ст.5; ст.8; ч.4 ст.9; ч.1 ст.10; ч.1 ст.11; ч. 2-5), 9) п.3 ст.22 Федерального закона №152 "О персональных данных"
  • ❑ ст.86-87 ТК РФ
  • ❑ ст.15 Федерального закона №75-ФЗ "О негосударственных пенсионных фондах"
  • ❑ ч.5 ст.41 Федерального закона "О прокуратуре Российской Федерации"
  • ❑ абзац третий ст.1 Федерального закона № 128-ФЗ "О государственной дактилоскопической регистрации в Российской Федерации"
  • ❑ ч.2 ст.53 Федерального закона № 126-ФЗ «О связи»
  • ❑ ч.4 ст.98 Федерального закона № 273-ФЗ «Об образовании в Российской Федерации»

Как еще называют этот документ?

  • ❑ Перечень персональных данных
  • ❑ Перечень персональных данных, обрабатываемых в информационных системах
  • ❑ Перечни персональных данных, обрабатываемых в администрации
  • ❑ Перечень персональных данных, подлежащих защите
  • ❑ Перечень персональных данных сотрудника
  • ❑ Перечень субъектов персональных данных
  • ❑ Перечень персональных данных, подлежащих защите
  • ❑ Перечень ПДн

16. Перечень должностей и третьих лиц, допущенных к обработке персональных данных

✔ С помощью настоящего перечня легко определить, кто имеет доступ к персональным данным. При проведении проверки Роскомнадзор будет изучать данный документ одним из первых.


⇒ Помимо сотрудников, в данном документе указываются контрагенты, от которых получаются персональные данные и которым передаются персональные данные на обработку, а также приводится основание для передачи данных на обработку.


Выполняемые требования законодательства

  • ❑ п.8 ч.2 ст.19, ч.3 ст.6 Федерального закона №152 "О персональных данных"
  • ❑ п.6 ч.2, ст.13 ч.3 Постановления Правительства № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"
  • ❑ п. в) ст.13 Постановления Правительства № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

Как еще называют этот документ?

  • ❑  Список сотрудников, имеющих доступ к персональным данным
  • ❑ Перечень лиц, допущенных к обработке персональных данных
  • ❑  Перечень лиц, допущенных к персональным данным
  • ❑  Перечень сотрудников, допущенных к обработке персональных данных
  • ❑  Перечень работников, обрабатывающих персональные данные

17. План мероприятий по защите персональных данных

✔ Документ подготавливает Комиссия по приведению в соответствие требованиям законодательства в области персональных данных.


⇒ В плане указываются мероприятия по выполнению требований закона №152-ФЗ "О персональных данных" и других нормативных документов в определенной последовательности: аудит, уведомление об обработке персональных данных, определение уровней защищенности персональных данных, разработка организационно-распорядительной документации и системы защиты персональных данных.


Выполняемые требования законодательства

Ст.18.1 Федерального закона №152 "О персональных данных"

Как еще называют этот документ?

  • План мероприятий по приведению в соответствие требованиям законодательства в области персональных данных
  • План мероприятий по персональным данным
  • План мероприятий по обеспечению безопасности персональных данных
  • План мероприятий по обеспечению защиты персональных данных
  • План мероприятий по организации защиты персональных данных
18. Обязательство о неразглашении персональных данных

✔ Документ необходим для того, чтобы сотрудник, получивший доступ к обработке персональных данных, принял на себя ответственность за их обработку и разглашение. Обязательство подписывается новым сотрудником при оформлении на работу.


Выполняемые требования законодательства

  • ❑ ст.7, ч.1 ст.24 Федерального закона №152 "О персональных данных"
  • ❑ ст.90 ТК РФ ч.4 ст.12 Федерального закона № 128-ФЗ "О государственной дактилоскопической регистрации в Российской Федерации"
  • ❑ ч.1 ст.12 Федерального закона № 143-ФЗ "Об актах гражданского состояния"
  • ❑ ч.5 ст.5 Федерального закона № 178-ФЗ «О государственной социальной помощи»
  • ❑ ч.5 ст.14 Федерального закона № 58-ФЗ «О системе государственной службы Российской Федерации»

19. Перечень средств защиты информации

Настоящий документ содержит перечень средств защиты информации, применяемых в компании. В данном перечне указываются названия средств защиты, их количество, компания-производитель, категория средства защиты и информация о наличии сертификатов ФСТЭК и ФСБ.

Выполняемые требования законодательства

  • п. 3) ч.1 ст.18.1; п.2), 3) ч.2 ст.19; п.7) ч.3 ст.22 Федерального закона №152 "О персональных данных"
  • Постановление Правительства №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
  • Приказ ФСТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

Как еще называют этот документ?

  • Перечень применяемых средств защиты 
  • Перечень средств защиты персональных данных 
  • Журнал учета СЗИ

20. Соглашение о соблюдении безопасности персональных данных

✔ Настоящий документ устанавливает ответственность лица, обрабатывающего персональные данные по поручению оператора персональных данных (обработчик персональных данных), цель обработки передаваемых персональных данных, перечень возможных действий (операций) с ними, а также требования по обеспечению безопасности персональных данных.


⇒ По документу, в случае нарушения обработчиком персональных данных требований по обеспечению безопасности персональных данных, ответственность несет оператор персональных данных, передавший персональные данные на обработку, но обработчик компенсирует ущерб, понесенный оператором.


Выполняемые требования законодательства

  • ❑ п.3-5 ст.6, ст.7 Федерального закона №152 "О персональных данных"
  • ❑ ст.86-87 ТК РФ
  • ❑ п.1 ст.53 Федерального закона № 126-ФЗ «О связи»
  • ❑ п.3 Постановления Правительства №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
  • ❑ п.2 Приказа ФСТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

Как еще называют этот документ?

  • ❑ Договор с контрагентом по персональным данным
  • ❑ Соглашение о конфиденциальности с контрагентом
  • ❑ Поручение на обработку персональных данных
  • ❑ Соглашение о соблюдении конфиденциальности персональных данных
2 ЭТАП
Определение уровней защищенности персональных данных

Под уровнем защищенности подразумевается комплексный показатель, характеризующий выполнение мероприятий, нейтрализующих риски безопасности информационных систем, в которых хранятся и обрабатываются ПД.


Каждый из них определяется:

  • категорией обрабатываемых ПД;
  • видом обработки;
  • формой отношений между субъектом ПД и оператором;
  • количеством субъектов ПД, информация о которых содержится в информационной системе;
  • типом актуальных угроз.

Всего на территории России существует 4 уровня защиты персональных данных сотрудников, согласно документам в организации и законодательству.

ВТОРОЙ ЭТАП
ПЕРЕЧЕНЬ НОРМАТИВНО-ПРАВОВОЙ ДОКУМЕНТАЦИИ
4 документа

21. Техническое задание на систему защиты персональных данных

✔ Техническое задание является первым шагом в построении требований к системе защиты персональных данных.



⇒ Документ включает в себя описание необходимых подсистем защиты, которые должны будут нейтрализовать выявленные актуальные угрозы безопасности персональных данных и выполнить требования по обеспечению безопасности персональных данных, установленные нормативными актами для соответствующего уровня защищенности персональных данных.


Выполняемые требования законодательства

❑ Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 г. "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
❑ Приказ ФСТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
❑ Приказ ФСБ России от 10 июля 2014 г. №378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"
  • ❑ Приказ ФСТЭК России от 11.02.2013 №17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"

Как еще называют этот документ?

  • ❑ Техническое задание на систему защиты информации
  • ❑ ТЗ на СЗПДн

22. Акт определения уровней защищенности персональных данных

✔ Данным документом для каждой информационной системы персональных данных определяется уровень защищенности персональных данных, обрабатываемых в ней.


⇒ От определенного уровня защищенности зависит количество мер по обеспечению безопасности персональных данных, которые необходимо реализовать. Чем ниже уровень защищенности, тем больше требований необходимо выполнить.


Выполняемые требования законодательства

  • ❑ Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 г. "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

Как еще называют этот документ?

  • ❑ Акт определения уровня защищенности ИСПДн
  • ❑ Акт классификации ИСПДн
  • ❑ Акт классификации информационных систем персональных данных

23. Протокол определения ущерба субъекту персональных данных

✔ Данным протоколом Комиссия по приведению в соответствие с требованиями законодательства в области персональных данных определяет возможный ущерб субъекту персональных данных из-за реализации актуальных угроз безопасности персональных данных, определенных в Модели угроз.

Выполняемые требования законодательства

  • ❑ п.5) ч.1 ст.18.1 Федерального закона №152 "О персональных данных"
  • ❑ ч.2 "Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (ФСТЭК)
  • ❑ Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 г. "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

Как еще называют этот документ?

  • ❑ Протокол определения вреда субъекту персональных данных
  • ❑ Протокол оценки возможного вреда
  • ❑ Протокол оценки возможного вреда субъектам ПДн при их обработке в ИСПДн

24. Модель угроз безопасности персональных данных

✔ Настоящий документ определяет актуальные угрозы безопасности персональных данных.

⇒ На основании определения актуальных угроз можно снизить количество необходимых мер по обеспечению безопасности персональных данных. Модель угроз безопасности персональных данных готовится на основании информации о бизнес-процессах, ИТ-инфраструктуре и уже применяемых средств защиты, а также о допущенных к обработке сотрудников и третьих лиц.


Выполняемые требования законодательства

  • ❑ п.1) п.2 ст.19 Федерального закона №152 "О персональных данных"
  • ❑ "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (ФСТЭК)
  • ❑ "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (ФСТЭК)
  • ❑ Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 г. "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
  • ❑ Приказ ФСТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
  • ❑ Приказ ФСБ России от 10 июля 2014 г. №378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"
  • ❑ Приказ ФСТЭК России от 11.02.2013 №17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"

Как еще называют этот документ?

  • ❑  Базовая модель угроз безопасности персональных данных
  • ❑  Частная модель угроз безопасности персональных данных
  • ❑  Типовая модель угроз безопасности персональных данных
3 ЭТАП
Подача Уведомления о начале обработки персональных данных

Подается в бумажном или электронном формате с подписью уполномоченного лица до начала обработки в Роскомнадзор. Перечень некоторых сведений, содержащихся в таком уведомлении:

  • наименование и адрес оператора;
  • цель обработки;
  • категории ПД;
  • категории субъектов ПД;
  • правовое основание обработки;
  • описание способов обработки;
  • перечень принятых мер по безопасности обработки;
  • дата начала и срок (условие) прекращения обработки;

Следует учитывать, что в некоторых случаях нормативные документы по защите персональных данных не предусматривают обязательное уведомление. Например, при обработке:

  • в соответствии с ТЗ;
  • ПД, содержащих только ФИО их субъектов;
  • однократно (например, для пропуска на территорию).

Роскомнадзор требует, чтобы Уведомление об обработке персональных данных заполнялось через электронную форму на его сайте, после чего распечатывалось и отправлялось бы в соответствующий территориальный отдел Роскомнадзора.

25. Уведомление об обработке персональных данных

✔ Подача в Роскомнадзор Уведомления об осуществлении обработки персональных данных является одним из основных требований к оператору персональных данных. При этом в Федеральном законе №152-ФЗ "О персональных данных" также прописаны случаи, при которых подача уведомления не обязательна.


⇒ По итогам получения и обработки Уведомления, Роскомнадзор включает оператора в Реестр операторов персональных данных. В случае необходимости изменения сведений в Реестре операторов персональных данных, в Роскомнадзор необходимо подать Информационное письмо о внесении изменений в сведения, содержащиеся в реестре операторов персональных данных.


Выполняемые требования законодательства

  • ❑ ст.22 Федерального закона №152 "О персональных данных"
  • ❑ Приказ Роскомнадзора №706 "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных"
  • ❑ ч.2 ст.2 Федерального закона № 242-ФЗ от 21 июля 2014 г. "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях"
  • ❑ Приказ Минкомсвязи РФ от 28.08.2015 №315 "О внесении изменений в административный регламент федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги "ведение реестра операторов, осуществляющих обработку персональных данных", утвержденный приказом министерства связи и массовых коммуникаций Российской Федерации от 21.12.2011 №346"

Как еще называют этот документ?

  • ❑ Уведомление о начале обработки персональных данных
  • ❑ Уведомление о намерении осуществлять обработку персональных данных
  • ❑ Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных
  • ❑ Уведомление в Роскомнадзор
4 ЭТАП
Разработка организационно-распорядительной документации

Именно этот этап в первую очередь подвергается проверке контролирующими органами. Поэтому необходимый пакет документов 152-ФЗ должен быть у каждой организации, физ. лица, муниципального органа или иного субъекта, выполняющего операции с ПД. Такой пакет разрабатывается для каждого оператора индивидуально и включает несколько десятков документов, в том числе:

  • приказы, определяющие ответственных лиц, границы контролируемой зоны, организацию защитных мер и т. д.;
  • описание положений процесса обработки ПД;
  • списки сотрудников, привлеченных к работе с ПД;
  • инструкции по организации работы с ПД, внедрению антивирусов, обновлению ПО и т. д.;
  • шаблоны письменного согласия, уведомлений и т. п.
ЧЕТВЕРТЫЙ ЭТАП
ПЕРЕЧЕНЬ НОРМАТИВНО-ПРАВОВОЙ ДОКУМЕНТАЦИИ
8 документов

26. Регламент резервного копирования персональных данных

✔ Настоящим регламентом определяется последовательность резервного копирования и восстановления персональных данных при их обработке в информационных системах персональных данных. 

 

⇒ Резервные копии, содержащие персональные данные, и план резервного копирования указываются в журнале резервных копий и плане резервного копирования персональных данных. 


Выполняемые требования законодательства

  • ❑  п.7) ч.2 ст.19 Федерального закона №152 "О персональных данных"
  • ❑  п.8.11. ч.2 Приказа ФСТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

Приложения к документу
  • ❑  План резервного копирования персональных данных
  • ❑  Журнал восстановления данных учета создания и использования резервных копий персональных данных

Как еще называют этот документ?

  • ❑ Порядок резервирования и восстановления работоспособности информационных систем

27. Регламент реагирования на запросы субъектов персональных данных

✔ Настоящий регламент описывает последовательность действий по реагированию на запросы субъектов персональных данных.

⇒ Количество возможных категорий запросов субъектов персональных данных ограниченно, каждой категории запросов в документе выделяется соответствующая глава. В приложения к данному документу представлены варианты запросов для заполнения субъектом персональных данных и журнал учета запросов субъектов персональных данных.


Выполняемые требования законодательства

  • ❑ ст.14, 15, 16, 17, 18, 20 Федерального закона №152 "О персональных данных"
  • ❑ ч.6 ст.1 Федерального закона № 242-ФЗ от 21 июля 2014 г. "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях"

Приложения к документу
  • ❑ Запрос субъекта персональных данных на получение информации, касающейся обработки его персональных данных
  • ❑ Запрос субъекта персональных данных на предоставление доступа к своим персональным данным
  • ❑ Запрос субъекта персональных данных в случае выявления недостоверных персональных данных
  • ❑ Запрос субъекта персональных данных в случае выявления неправомерных действий с персональными данными
  • ❑ Запрос субъекта персональных данных в случае отзыва согласия на обработку персональных данных
  • ❑ Форма запроса на блокирование персональных данных
  • ❑ Форма запроса на уничтожение персональных данных
  • ❑ Форма запроса на уточнение персональных данных

Как еще называют этот документ?

  • ❑ Инструкция по работе с обращениями субъектов персональных данных
  • ❑ Журнал учета обращений физических лиц
  • ❑ Журнал регистрации запросов и обращений субъектов персональных данных

28. Регламент допуска сотрудников и третьих лиц к обработке персональных данных

✔ Настоящим регламентом описываются процессы по разовому и постоянному допуску сотрудников и третьих лиц к персональным данным.

 

⇒ Также в данном документе описываются процессы по прекращению доступа к персональным данным и расширению доступа. 


Выполняемые требования законодательства

  • ❑  п.6 ч.2, п.13 ч.3 Постановления Правительства №687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"
  • ❑ п.8.2. ч.2 Приказа ФСТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" 
29. Приказ об утверждении инструкции пользователя информационных систем персональных данных

✔ Настоящим приказом утверждается инструкция, по которой сотрудники обязаны правильно работать с персональными данными и следить за их защитой и за работой средств защиты информации, установленными на их компьютерах


Выполняемые требования законодательства

  • ❑  ст.19 Федерального закона №152 "О персональных данных" 
  • ❑  ст.86 ТК РФ 

Как еще называют этот документ?

  • ❑ Приказ об утверждении инструкции по работе с СКЗИ
  • ❑ Инструкция по работе с персональными данными
  • ❑ Инструкция по защите персональных данных

30. Регламент учета, хранения и уничтожения носителей персональных данных

✔ Настоящий регламент определяет процедуры учета, хранения и уничтожения носителей персональных данных. 

 

⇒ Помимо этого, указываются возможные виды носителей персональных данных, бумажные и электронно-магнитные, и способы их уничтожения.


Выполняемые требования законодательства

  • ❑  п.5) ч.2 ст.19 Федерального закона №152 "О персональных данных" 
  • ❑  Постановление Правительства №687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" 
  • ❑  п.8.4. ч.2 Приказа ФСТЭК №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" 
  • ❑  Постановление Правительства РФ №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» 
  • ❑  ч. б) ст.13 Постановления Правительства РФ №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" 

Как еще называют этот документ?

  • ❑ Инструкция по обработке персональных данных без использования средств автоматизации
  • ❑ Инструкция по работе со съемными носителями, содержащими персональные данные
  • ❑ Инструкция о порядке физической охраны помещений, содержащих носители персональных данных
  • ❑ Журнал учета съемных носителей
  • ❑ Порядок уничтожения носителей персональных данных

31. Инструкция пользователя информационных систем персональных данных

✔ Данный документ устанавливает обязанности, права и ответственность пользователей информационных систем персональных данных. 


⇒ Так, настоящим документом закреплены требования по соблюдению политики "чистого стола", реагировании на инциденты безопасности. 

Как еще называют этот документ?

  • ❑ Инструкция пользователя информационной системы персональных данных
  • ❑ Инструкция сотрудников, допущенных к обработке персональных данных
  • ❑ Инструкция по обеспечению безопасности рабочих мест обработки персональных данных

32. Регламент по трансграничной передаче данных

✔ Настоящий документ определяет порядок осуществления трансграничной передачи персональных данных в соответствии с требованиями законодательства в области персональных данных.

 

⇒ Помимо этого, в регламенте описаны критерии, определяющие возможность осуществления трансграничной передачи, а также представлена информация по локализации баз данных на территории РФ.


Приложения к документу: протокол заседания комиссии по определению возможности осуществления трансграничной передачи персональных данных.


Выполняемые требования законодательства

  • ❑  Статья 12 Федерального закона № 152-ФЗ «О персональных данных»
  • ❑  Статья 2 Федерального закона № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»
Как еще называют этот документ?
  • ❑ Регламент по трансграничной передаче персональных данных,
  • ❑ Инструкция по трансграничной передаче персональных данных,
  • ❑ Руководство по трансграничной передаче персональных данных.

33. Регламент проведения контрольных мероприятий

✔ Настоящий документ определяет последовательность проведения контрольных внутренних мероприятий по соответствию требованиям законодательства в области персональных данных и последовательность действий при возникновении инцидентов информационной безопасности.

⇒ Помимо этого, в регламенте указываются последовательность действий по обновлению и актуализации внутренних локальных актов, касающихся обработки и защиты персональных данных.


Приложения к документу
  • ❑ План внутренних проверок соблюдения требований законодательства в области персональных данных
  • ❑ План пересмотра внутренних нормативных актов по персональным данным
  • ❑ Журнал учета инцидентов безопасности, связанных с персональными данными
  • ❑ Заявка на расследование инцидента безопасности, связанного с персональными данными
  • ❑ Протокол расследования инцидента безопасности, связанного с персональными данными
  • ❑ Протокол пересмотра внутренних нормативных актов по персональным данным
  • ❑ Протокол проведения внутренней проверки на соблюдение требований законодательства в области персональных данных
  • ❑ Акт проведения расследования инцидента безопасности, связанного с персональными данными
  • ❑ Акт пересмотра внутренних нормативных актов по персональным данным
  • ❑ Акт проведения внутренней проверки на соблюдение требований законодательства в области персональных данных

Выполняемые требования законодательства

  • ❑ п.4) ч.1 ст.18.1; п.6), 9) ч.2 ст.19; ч.4 ст.22.1 Федерального закона №152 "О персональных данных"
  • ❑ п.15, 17 Постановления Правительства РФ №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
  • ❑ п.6 Приказа ФСТЭК №21" Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
Как еще называют этот документ?
  • ❑ Инструкция о порядке проведения разбирательств по фактам нарушений
  • ❑ Акт о проведении контрольных мероприятий
ПРОЧЕЕ

34. Согласие на обработку персональных данных, разрешенных субъектом для распространения (новое требование)

Согласие на распространение персональных данных оператор должен оформлять отдельно от иных согласий субъекта на обработку его персональных данных. Перед оформлением такого согласия оператор обязан обеспечить субъекту возможность определить перечень персональных данных по каждой из категории, указанной в этом согласии. То есть оператор предоставляет субъекту список - какие именно его персональные данные будут обрабатываться (например, при приеме на работу будут обрабатываться паспортные данные, Ф.И.О., адрес и т.д.). Из списка субъект должен выбрать те данные, которые можно распространять.

Если из согласия на обработку упомянутых данных не следует, что лицо согласилось с их распространением, оператор обрабатывает данные без права распространения. Молчание или бездействие лица не считается согласием на обработку указанных данных. Требования к содержанию такого согласия устанавливает Роскомнадзор (ч. 9 ст. 9, ст. 23 ФЗ-152.

Как еще называют этот документ?
  • ❑ Согласие на распространение персональных данных

35. Перечень форм, содержащих персональные данные

Данный документ закрепляет перечень типовых форм, используемых оператором, которые содержат персональные данные.

36. Правила осуществления внутреннего контроля

Правила осуществления внутреннего контроля устанавливают регламент проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленных законодательством о персональных данных и принятыми в соответствии с ним локальными актами оператора.

37. Договор поручения на обработку персональных данных

От оператора персональных данных необходимо отличать лицо, которое осуществляет обработку по поручению такого оператора (обработчик). Обработчиками обычно выступают организации оказывающие услуги на аутсорсинге, например, провайдеры облачных сервисов или аутсорсинг-бухгалтерия.

С такими лицами должен быть заключен договор поручения. В таком договоре должен содержаться перечень операций с персональными данными, которые будут совершаться обработчиком, цели обработки, обязанность соблюдать конфиденциальность персональных данных.

Как еще называют этот документ?
  • Поручение обработки персональных данных
  • Договор на обработку персональных данных
  • Договор обработки персональных данных
  • Дополнительное соглашение на поручение обработки персональных данных

38. Приказ об определении контролируемой территории

Данным приказом устанавливаются границы контролируемой зоны информационных систем персональных данных. В периметре установленных границ ответственные за организацию обработки и за безопасность персональных данных осуществляют контроль за обработкой персональных данных и обеспечивают их безопасность.

Как еще называют этот документ?
  • Приказ об определении границ контролируемой зоны и требований к ее безопасности

39. Приказ об определении контролируемой территории

Данным приказом устанавливаются границы контролируемой зоны информационных систем персональных данных. В периметре установленных границ ответственные за организацию обработки и за безопасность персональных данных осуществляют контроль за обработкой персональных данных и обеспечивают их безопасность.

Как еще называют этот документ?
  • Приказ об определении границ контролируемой зоны и требований к ее безопасности

40. Инструкция по учету лиц, допущенных к работе с персональными данными в ИСПДн

Инструкция по учету лиц, допущенных к работе с персональными данными в информационных системах персональных данных (ИСПДн) определяет порядок учета лиц, допущенных к работе с персональными данными, порядок их допуска и прекращения такого допуска.

41. Инструкция по проведению инструктажа, допущенных к работе в ИСПДн

Инструкция по проведению инструктажа лиц, допущенных к работе с информационными системами персональных данных (ИСПДн) разрабатывается с целью обеспечения безопасности персональных данных, определяет порядок проведения инструктажа работников ответственным за организацию обработки персональных данных.

42. Инструкция пользователя ИСПДн

Инструкция пользователя информационной системы персональных данных (ИСПДн) определяет права, обязанности и ответственность пользователя по соблюдению порядка обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные, ставшей ему известной (или доступной для обработки) в процессе работы.

43. Инструкция по учёту и хранению съёмных носителей

Инструкция по учёту и хранению съёмных носителей персональных данных нужна для определения порядка работы со съёмными носителями персональных данных. С данной инструкцией знакомятся под роспись и выполняют её все лица, допущенные к обработке персональных данных в соответствии с приказом о допуске к обработке персональных данных.

44. Инструкция по резервному копированию и восстановлению

Инструкция по резервному копированию и восстановлению определяет действия, связанные с функционированием технических и программных средств автоматизированной информационной системы (АИС) и системы защиты персональных данных.

45. Инструкция по организации антивирусной защиты в ИСПДн

Инструкция по организации антивирусной защиты в информационных системах персональных данных (ИСПДн) разрабатывается в целях защиты персональных данных в информационных системах персональных данных от несанкционированного копирования, модификации и уничтожения под действием вирусов и другого вредоносного программного обеспечения.

46. Инструкция пользователя при возникновении нештатной ситуации

Инструкция пользователя информационной системы персональных данных (ИСПДн) при возникновении нештатных ситуаций необходима для определения возможных аварийных ситуаций, связанных с функционированием информационных систем персональных данных, а также меры и средства поддержания непрерывности работы и восстановления работоспособности ИСПДн после аварийных ситуаций.

Целью настоящего документа является превентивная защита элементов ИСПДн от прерывания работоспособности в случае реализации рассматриваемых угроз.

47. Журнал учета съемных носителей, содержащих персональные данные

Журнал учета съемных носителей, содержащих персональные данные, ведется оператором в качестве меры, направленной на обеспечение сохранности съемных носителей персональных данных. Хранить съемные носители с персональными данными (флеш-карты, внешние жесткие диски, мобильные устройства и т.п.) необходимо в сейфах, если персональные данные на самих носителях содержатся не в зашифрованном виде.

Документ предназначен для поэкземплярного учета таких носителей, и разработан в соответствии с инструкцией по учёту и хранению съёмных носителей.

48. Журнал учета прохождения первичного инструктажа работниками

Журнал учета прохождения первичного инструктажа работниками ведется оператором в качестве меры, направленной на учет прохождения первичного инструктажа работниками допущенными к обработке персональных данных на основании приказа о допуске к обработке персональных данных.

49. Журнал регистрации нарушения и восстановления работоспособности

Журнал регистрации нарушения и восстановления работоспособности ведется оператором в качестве меры, направленной на учет событий нарушения работоспособности оборудования или ИСПДн, даты и времени обнаружения события, причин нарушения, информации о предпринятых мерах по восстановлению работоспособности оборудования или ИСПДн.

50. Журнал учёта прав доступа к ИСПДн

Журнал учёта прав доступа к информационным системам персональных данных (ИСПДн) ведется оператором в качестве меры, направленной на учет лиц, допущенных к работе с персональными данными, их должности, объема прав и времени доступа.

Журнал учёта прав доступа к информационным системам персональных данных (ИСПДн) создается и поддерживается в актуальном состоянии оператором на основании приказа о допуске к обработке персональных данных, а также инструкции по учету лиц, допущенных к работе с персональными данными в информационных системах персональных данных (ИСПДн).

51. Журнал учёта средств защиты информации

Журнал учёта средств защиты информации ведется оператором в качестве меры, направленной на учет средств защиты информации, эксплуатационной и технической документации к ним, а также лиц производящих установку средств защиты информации.

52. Журнал учёта проверок контролирующими органами

Журнал учёта проверок контролирующими органами, ведется оператором в качестве меры, направленной на обеспечение исполнения обязанности оператора по предоставлению информации по запросам уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) и иных органов.

53. Журнал учёта проверок контролирующими органами

Журнал учёта проверок контролирующими органами, ведется оператором в качестве меры, направленной на обеспечение исполнения обязанности оператора по предоставлению информации по запросам уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) и иных органов.

54. Акт оценки потенциального вреда субъектам персональных данных

Акт оценки потенциального вреда субъектам персональных данных предназначен для оформления результаты оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований законодательства о персональных данных.

В документе для каждой категории субъектов персональных данных (работники, клиенты, соискатели и т.п.) и для каждого способа обработки персональных данных указывается присвоенная степень вреда (низкий, умеренный, средний, значительный, высокий, чрезвычайно высокий). Степень тяжести вреда обычно зависит от идентифицирующего потенциала, количества персональных данных и количества субъектов персональных данных.

55. Акт об уничтожении персональных данных

Порядок уничтожения персональных данных должен соответствовать установленным законом правилам: после процесса уничтожения информация не должна иметь возможность быть восстановленной. При этом сам процесс должен проводиться специальной комиссией, созданной как раз для подобных случаев. После завершения процедуры создается акт, подписываемый членами комиссии и руководителем.