Список документов

Ниже приведен список документов, адаптированный для организации (учреждения), в котором обрабатываются только персональные данные сотрудников. Все эти документы Вы можете сгенерировать при помощи нашего онлайн сервиса. Для регистрации в сервисе перейдите по ссылке .

1. Приказ о назначении ответственного за обработку персональных данных

Ответственный осуществляет: контроль соблюдения сотрудниками, обрабатывающими персональные данные, правил обработки и обеспечения безопасности персональных данных.

Новости

10-16 мая года Дворец учащейся молодежи Санкт-Петербурга по инициативе депутата Законодательного собрания Анатолия Кривенченко проводит военно-патриотическую

12.05.15

Сегодня, 12 мая, празднует юбилей человек, которого искренне любит и горячо уважает не только туристский бизнес

09.05.15

Дорогие друзья! От всей души поздравляем вас с наступающим великим праздником - 70-летием Победы советского народа в Великой

30.04.15

Уважаемые коллеги! 10 мая в 23.00 на Московском вокзале Санкт-Петербурга состоится торжественная

28.04.15

26 апреля в Санкт-Петербурге завершился всероссийский межвузовский военно-патриотический фестиваль Весна Победы. В фестивале приняли участие студенты 18

Если у Вас есть немного времени и способность мыслить, Вы сможете создать пакет документов по защите персональных данных самостоятельно

Лебедева Наталья Юрьевна

Я помогаю организациям сделать качественные документы по защите персональных данных.

Специализация: Профессионал в области применения информационных технологий в бизнесе. Предприниматель в сфере ИТ уже более 10 лет.

Основатель и директор фирмы «Софтагент» (http://softagent.ru ). Автор проекта «MS Dynamics CRM малому бизнесу» (http://dyncrm.ru )

Образование . Курганский государственный университет, инженер-программист, «Программное обеспечение вычислительной техники и автоматизированных систем», Master Business Administration (Moscow Business School).

Международный аэропорт Рощино (г.Тюмень)

Информационно-расчетный центр (г.Муравленко ХМАО)

ООО ДатаКрат-Екатеринбург

ООО Габионы Маккаферри СНГ (Москва)

ФГУП Кадастровая палата Курганской области

ООО «Управляющая компания Восток-Центр» (Курган)

Начальный приказ о работах по ПДн (Приказ о введении режима обработки персональных данных) является основополагающим документом, устанавливающим, что в организации ведется обработка персональных данных.

Приказ должен быть оформлен в соответствии с внутренним порядком документооборота организации и быть утвержден руководителем организации. В приказе о введении режима обработки персональных данных должна указываться дата составления и его номер.

В приказе должен быть указан сотрудник, ответственный за контроль исполнения приказа. Ответственным сотрудником может быть руководитель организации, лицо, отвечающее за обеспечение режима безопасности, или любой другой сотрудник, на которого возложен контроль за выполнение приказа.

В Приказе о проведении работ по защите персональных данных на предприятии отмечается, что необходимо:

С приказом о введении обработки персональных данных должны быть ознакомлены все сотрудники учреждения.

Защита персональных данных

FAQ – Часто задаваемые вопросы

1. На какие законы надо ссылаться при обсуждении с руководством предприятия вопросов защиты ПД? Где найти информацию об этих законах? >>
2. Где можно получить ответы на вопросы, связанные с соблюдением требования законодательства по защите ПД? >>
3. Как определить категорию персональных данных, обрабатываемых на предприятии? >>
4. Как классифицировать ИСПДн? Какие относятся к типовым, а какие к специальным? >>
5. В каких случаях предприятие обязано уведомлять Россвязькомнадзор об обработке ПД, а в каких нет? >>
6. Как подать уведомление в Россвязькомнадзор? К кому обратиться если есть вопросы при заполнении уведомления? >>
7. Мы определили класс ИСПДн нашего предприятия. Где найти перечень требований по ИБ, которые являются обязательными для данного класса? >>
8. Мы определили класс ИСПДн нашего предприятия. Где найти перечень требований по ИБ, которые являются обязательными для данного класса? >>
9. Какие организационные меры по обеспечению безопасности ПД надо предпринять? Что надо сделать в первую очередь, что можно сделать позже? >>
10. Как реализовывать технические меры по защите ПД на основе сформированных требований? >>
11. Где найти перечень сертифицированных средств защиты информации? >>
12. Когда проводят аттестацию ИСПДн и каким образом? >>
13. Нужно ли получать лицензии при реализации технической защиты конфиденциальной информации и внедрению криптографических средств? >>

1. На какие законы надо ссылаться при обсуждении с руководством предприятия вопросов защиты ПД? Где найти информацию об этих законах?

Ссылаться нужно в первую очередь на следующие нормативно-правовые акты:

Методические документы регуляторов:

2. Где можно получить ответы на вопросы, связанные с соблюдением требования законодательства по защите ПД?

Можно направить официальные запросы и письма контролирующим органам:

Также можно (и зачастую целесообразнее) обратиться к специализированным компания, занимающимся защитой персональных данных.

3. Как определить категорию персональных данных, обрабатываемых на предприятии?

Законом установлены следующие категории ПД:

Для того чтобы определить, какая категория обрабатывается каждой конкретной ИСПДн (информационной системой персональных данных), предприятиям необходимо провести обследование всего предприятия и выявить все свои ИСПДн. Кроме кадровой, бухгалтерской системы, ИСПДн могут являться приложения поддержки основных бизнес-процессов (автоматизированная банковская система, автоматизированная система расчета за услуги оператора связи, базы договоров в страховых компаниях, электронные истории болезней в медучреждениях и т. п.).

4. Как классифицировать ИСПДн? Какие относятся к типовым а какие к специальным?

Классифицировать следует согласно Приказу ФСТЭК, ФСБ, Мининформсвязи № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»

Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности

персональных данных.

Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

К специальным информационным системам должны быть отнесены:

Большинство ИСПДн будут относиться к специальным, а в соответствии с законом «О персональных данных»: «Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий» к специальным ИСПДн можно отнести все ИСПДн.

5. В каких случаях предприятие обязано уведомлять Россвязькомнадзор об обработке ПД, а в каких нет?

Согласно закону «О персональных данных»:

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку

персональных данных:

Но даже если оператор не должен уведомлять Россвязькомнадзор, он обязан защищать персональные данные.

6. Как подать уведомление в Россвязькомнадзор? К кому обратиться если есть вопросы при заполнении уведомления?

Форму и рекомендации по заполнению уведомления можно посмотреть на сайте Россвязькомнадзора. Туда же можно обратиться по вопросам ее заполнения.

Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.

7. Мы определили класс ИСПДн нашего предприятия. Где найти перечень требований по ИБ, которые являются обязательными для данного класса?

Система защиты должна разрабатываться на основании модели угроз (модель угроз разрабатывается и для специальных, и для типовых

ИСПДн).

Для типовых систем мероприятия по защите ПДн в рамках подсистем: управления доступом, регистрации и учета, обеспечения целостности, криптографической защиты, антивирусной защиты, обнаружения вторжений определены в документе ФСТЭК России - «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в ИСПДн», заказать его можно в территориальном управлении ФСТЭК.

При использовании оператором криптографических средств при обеспечении защиты персональных данных нужно также руководствоваться документами ФСБ России:

8. Мы определили, что ИСПДн нашего предприятия относится к классу специальных. Как провести анализ угроз безопасности ПД, чтобы потом сформировать набор обязательных требований по ИБ?

Анализ угроз безопасности производится на основании документов ФСТЭК:

Заказать их можно в территориальном управлении ФСТЭК

В случае определения оператором необходимости обеспечения безопасности персональных данных с использованием криптосредств при формировании модели угроз используются методические документы ФСБ:

9. Какие организационные меры по обеспечению безопасности ПД надо предпринять? Что надо сделать в первую очередь, что можно сделать позже?

Прежде всего, необходимо разработать документы, регламентирующие защиту ПД в организации: положение об обработке ПД,

регламенты, руководства пользователям и администраторам ИСПДн, акт классификации ИСПДн, перечень применяемых средств защиты информации и т.д.

Разработать форму и порядок письменного согласия субъектов персональных данных на обработку своих персональных данных,

определить сроки хранения персональных данных, разработать план мероприятий по защите персональных данных (и выполнить эти

мероприятия):

10. Как реализовывать технические меры по защите ПД на основе сформированных требований?

К данным работам правильнее привлекать специализированную организацию, имеющую опыт реализации проектов в области защиты информации с применением сертифицированных средств защиты информации и обладающую необходимыми лицензиями для осуществления этой деятельности.

11. Где найти перечень сертифицированных средств защиты информации?

Государственный реестр сертифицированных средств защиты информации

12. Когда проводят аттестацию ИСПДн и каким образом?

После окончания работ по построению системы защиты персональных проводят аттестацию ИСПДн на соответствие требованиям утвержденной регулирующими органами РФ нормативной и методической документации по безопасности информации. Для проведения аттестации привлекается аттестационный орган ФСТЭК.

13. Нужно ли получать лицензии при реализации технической защиты конфиденциальной информации и внедрению криптографических средств?

В случае ИСПДн - 1-го, 2-го класса или распределенной 3-го класса надо получать лицензию на деятельность по технической защите конфиденциальной информации (это определено в документах ФСТЭК).

Деятельность по внедрению шифровальных (криптографических средств), как и по разработке систем, защищенных с использованием

данных средств, подлежит лицензированию в органах ФСБ.

Правильнее передать деятельность по технической защите и обслуживанию СЗИ на аутсорсинг компании, которая имеет все необходимые лицензии и сертификаты, а так же опыт проведения подобных работ.

Документ подготовлен с использованием справочно-правовой системы КонсультантПлюс.

За подробной консультацией обращайтесь по телефон ам. +7 ( 495 ) 789-9151, 737-42-22 или пишите на it@tlsgroup.ru

Источники: pdsec.ru, www.rstnw.ru, pd.nlebedeva.ru, www.quickdoc.ru, www.tls-cons.ru