Администратор персональных данных

Статья на тему: "Администратор персональных данных" с полным описанием тематики и ответами на интересующие вопросы. За консультацией можно обратиться к дежурному консультанту.

Администратор персональных данных

Практическая защита
персональных данных

Прежде всего необходимо выделить информационные системы персональных данных (ИСПДн).
Информационная система персональных данных
– это совокупность программных (например «1С-Предприятие») и технических средств (компьютеры, принтеры, сканеры, коммутационное оборудование и т.д.) на которых обрабатываются персональные данные. Обработка – это добавление, изменение, удаление, хранение, анализ, распространение персональных данных. Каждая ИСПДн должна иметь свою цель обработки. Именно цель обработки является основным критерием при выделении ИСПДн. Например, во многих медицинских учреждениях можно выделить 2 ИСПДн – «Сотрудники» и «Пациенты». Они имеют разные цели обработки персональных данных.

У всех ИСПДн должен быть назначен администратор безопасности. Администратор безопасности – сотрудник в должностные обязанности которого входит обеспечение защиты персональных данных в информационной системе. Он должен следить за работой средств защиты информации, своевременно проводить антивирусные проверки, консультировать сотрудников по вопросам безопасности персональных данных и т.п. Администраторов безопасности может быть несколько (например по одному на каждую ИСПДн). Администратор безопасности назначается приказом руководителя («Приказ о назначении администратора безопасности информационных систем персональных данных»). Чтобы определить требуемые меры по защите персональных данных необходимо определить уровень защищенности ИСПДн.О том как это сделать Вы можете прочитать в разделе Определение уровня защищенности ИСПДн.

По результатам определения уровня защищенности должен быть оформлен «Акт определения уровня защищенности информационной системы персональных данных».

Для каждой ИСПДн должна быть разработана «Частная модель актуальных угроз». В этом документе из всех возможных угроз безопасности персональных данных выделяются те, которые реально представляют опасность. Модель угроз разрабатывается на основе экспертных оценок. Ее разработку целесообразно поручить организации, которая имеет необходимое (3-4) число экспертов (людей, имеющих образование по защите информации и работающих в данной области).

Система защиты персональных данных разрабатывается на основании модели угроз и требований к уровню защищенности ИСПДн.

В большинстве случаев система защиты информации должна включать следующие компоненты:
— Антивирус;
— Средство защиты от несанкционированного доступа;
— Межсетевой экран.

Если осуществляется передача персональных данных по открытым каналам, то должны использоваться средства шифрования. Все средства защиты информации должны иметь сертификаты ФСТЭК, либо ФСБ.

© 2011-2019 «Практическая защита персональных данных»


Источник: http://pdsec.ru/mmenu.php?id=249

Приложение 15. Инструкция администратора информационных систем персональных данных

Приложение 15
к постановлению Администрации
Краснослободского муниципального района
от 19 января 2018 г. N 12

Инструкция
администратора информационных систем персональных данных

1. Общие положения

1.1. Администратор ИСПДн (далее Администратор) назначается постановлением Администрации Краснослободского муниципального района.

1.2. Администратор подчиняется Заместителю главы администрации — главы аппарата Администрации Краснослободского муниципального района.

1.3. Администратор в своей работе руководствуется настоящей инструкцией, руководящими и нормативными документами ФСТЭК России и регламентирующими документами Администрации Краснослободского муниципального района.

1.4. Администратор отвечает за обеспечение устойчивой работоспособности элементов ИСПДн и средств защиты, при обработке персональных данных.

1.5. Методическое руководство работой Администратора осуществляется комиссией по защите персональных данных в Администрации Краснослободского муниципального района.

2.1. Администратор обеспечивает устойчивую работоспособность элементов ИСПДн, средств ее защиты при обработке персональных данных и локальной вычислительной сети.

3. Должностные обязанности

3.1. Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководства по защите информации, постановлений и распоряжений, регламентирующих Порядок действий по защите информации.

3.2. Обеспечивать установку, настройку и своевременное обновление элементов ИСПДн:

Программного обеспечения АРМ и серверов (операционные системы, прикладное и специальное ПО); аппаратных средств вычислительной техники; аппаратных и программных средств защиты.

3.3. Обеспечивать работоспособность элементов ИСПДн и локальной вычислительной сети.

3.4. Осуществлять контроль за Порядком учета, создания, хранения и использования

3.5. Обеспечивать функционирование и поддерживать работоспособность средств защиты в рамках возложенных на него функций.

3.6. В случае отказа работоспособности технических средств и программного обеспечения элементов ИСПДн, в том числе средств защиты информации, принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности.

3.7. Проводить периодический контроль принятых мер по защите, в пределах возложенных на него функций.

3.8. Хранить, осуществлять прием и выдачу персональных паролей пользователям, осуществлять контроль за правильностью их использования.

3.9. Обеспечивать постоянный контроль за выполнением пользователями установленного комплекса мероприятий по обеспечению безопасности информации.

3.10. Информировать ответственного за обеспечение защиты персональных данных о фактах нарушения установленного Порядка работ и попытках несанкционированного доступа к информационным ресурсам ИСПДн.

3.11. Обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации обслуживания технических средств и отправке их в ремонт. Контролировать наличие соответствующих задачам лицензий у организаций, осуществляющих ремонт элементов ИСПДн. При проведении технического обслуживания и ремонта запрещается передавать ремонтным организациям узлы и блоки с элементами накопления и хранения информации. Вышедшие из строя элементы и блоки средств вычислительной техники заменяются на элементы и блоки, прошедшие специальные исследования и специальную проверку.

3.12. Присутствовать при выполнении технического обслуживания элементов ИСПДн с привлечением сторонних физических лиц и организаций.

3.13. Принимать меры по реагированию, в случае возникновения внештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий.

4. Права и полномочия

Администратор имеет право:

4.1. Требовать от пользователей соблюдения установленного комплекса мероприятий по обеспечению безопасности информации.

4.2. Участвовать в анализе ситуаций, касающихся функционирования средств защиты информации, и расследованиях фактов (попыток) несанкционированного доступа.

4.3. Требовать прекращения обработки информации, как в целом, так и для отдельных пользователей, в случае выявления нарушений установленного порядка работ или нарушения функционирования ИСПДн или средств защиты.

Читайте так же:  Как оплатить продление разрешения на оружие

5.1. Администратору необходимо отвечать за свои действия (бездействия) в рамках зафиксированных в п.п 3, 4 настоящей инструкции обязанностей, прав и полномочий.

5.2. Администратор несет дисциплинарную, материальную, гражданско-правовую, административную и уголовную ответственность в порядке, предусмотренном законодательством

>
Положение по обработке и защите персональных данных
Содержание
Постановление Администрации Краснослободского муниципального района Республики Мордовия от 19 января 2018 г. N 12 «Об.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Источник: http://base.garant.ru/44927402/7af06a18e696b1f1f06e05ebdce27796/

Приложение 13. Инструкция администратора информационной безопасности

Приложение 13
к постановлению Администрации
Краснослободского муниципального района
от 19 января 2018 г. N 12

Инструкция
администратора информационной безопасности

Настоящая инструкция определяет общие функции, права и обязанности администратора информационной безопасности (далее — Администратор ИБ) при подготовке и обработки персональных данных на ПЭВМ, входящих в состав информационной системы персональных данных (далее по тексту ИСПДн).

Администратор ИБ назначается из числа сотрудников Администрации Краснослободского муниципального района (далее — Администрация) и обеспечивает правильное использование и функционирование установленных средств защиты информации (далее — СЗИ) от несанкционированного доступа (далее — НСД). Администратор ИБ имеет все права администратора СЗИ от НСД.

Настоящая инструкция разработана на основании действующих нормативных документов по защите персональных данных.

1. Основные функции Администратора ИБ

1.1. Контроль за выполнением требований действующих нормативных и руководящих документов по защите персональных данных, при проведении работ на ПЭВМ.

1.2. Работа с учетными записями пользователей ИСПДн (удаление, регистрация новых пользователей), их правильная настройка и разграничение прав доступа пользователей к защищаемым ресурсам ИСПДн согласно разрешительной системе доступа.

1.3. Своевременная корректировка разрешительной системы доступа:

Изменение списка постоянных пользователей ИСПДн (ввод или удаление пользователя из ИСПДн); изменение прав доступа к защищаемым программным ресурсам или портам ввода вывода ИСПДн.

1.4. Корректировка разрешительной системы доступа осуществляется на основании служебной записки пользователя, утвержденной руководителем его структурного подразделения.

1.5. Контроль доступа пользователей к работе на ПЭВМ (в соответствии со списком допущенных сотрудников), выдача внешних носителей информации и соблюдения пользователями требований нормативных и руководящих документов (в том числе путем просмотра системного журнала).

1.6. Контроль за ежеквартальным проведением пользователями ИСПДн смены их личных паролей для доступа к ПЭВМ.

1.7. Настройка и сопровождение подсистемы регистрации и учета действий пользователей

при работе на ПЭВМ, в том числе и в части периодического контроля за печатью файлов пользователей на принтере и соблюдением установленных правил и параметров регистрации и учета документов, бумажных и машинных носителей информации.

1.8. Сопровождение подсистемы обеспечения целостности информации на ПЭВМ:

Периодический контроль за отсутствием на жестком магнитном диске ПЭВМ остаточной информации по окончании работы пользователей; поддержание установленного порядка и правил антивирусной защиты информации, обрабатываемой на ПЭВМ; контроль за соблюдением пользователями инструкции по антивирусному контролю. Программирование, выдача и учет выдачи пользователям электронных ключей от СЗИ НСД (при их наличии).

1.9. Контроль за наличием и целостностью пломб (печатей, специальных защитных знаков) на корпусе ПЭВМ и устройств.

1.10. Контроль за вскрытием и ремонтом (модернизацией) ПЭВМ, недопущением доступа посторонних лиц к конфиденциальной информации во время вскрытия, ремонта, модернизации ПЭВМ или устройств, последующим опечатыванием ПЭВМ (устройств), составлением соответствующих актов.

1.11. Контроль срока действия сертификатов соответствия ФСТЭК России на средства защиты от несанкционированного доступа, установленных на ИСПДн.

2. Права администратора информационной безопасности

Администратор ИБ вправе:

2.1. Требовать от сотрудников Оператора соблюдения установленной технологии обработки конфиденциальной информации и исполнения настоящей Инструкции.

2.2. Участвовать в анализе ситуаций, касающихся функционирования средств защиты информации, и расследованиях фактов (попыток) несанкционированного доступа;

2.3. Требовать от пользователей прекращения обработки информации в ИСПДн в случае:

Нарушения установленного Порядка работ; нарушения работоспособности средств и систем защиты информации или окончания срока действия сертификатов соответствия ФСБ России или ФСТЭК России; получения информации о возможном проведении технической разведки в отношении ИСПДн.

3. Обязанности администратора ИБ

Администратор ИБ обязан:

3.1. Обеспечивать правильное функционирование и поддерживать работоспособность средств и СЗИ от НСД;

3.2. В случае отказа СЗИ от НСД принимать меры по их восстановлению;

3.3. Проводить инструктаж пользователей по правилам работы на ПЭВМ, с установленной СЗИ от НСД;

3.4. Немедленно докладывать заведующему отделу информатизации и защиты информации Администрации Краснослободского муниципального района, о фактах и попытках несанкционированного доступа к персональным данным, о неправомерных действиях пользователей или иных лиц, приводящих к нарушению требований по защите информации, а также об иных нарушениях требований информационной безопасности ИСПДн.

3.5. Вносить изменения в документацию ИСПДн в соответствии с требованиями нормативных документов в части, касающейся СЗИ от НСД;

3.6. Проводить работу по выявлению возможных каналов утечки конфиденциальной информации.

>
Инструкция пользователя информационных систем персональных данных
Содержание
Постановление Администрации Краснослободского муниципального района Республики Мордовия от 19 января 2018 г. N 12 «Об.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Источник: http://base.garant.ru/44927402/5da741911cf9399494368b18de80fbe8/

Инструкция пользователя при работе с ИСПДн

Инструкция пользователя ИСПДн определяет должностные обязанности всех пользователей ИСПДн. Пользователь информационной системы персональных данных осуществляет обработку персональных данных в ИСПДн. Пользователем является каждый сотрудник оператора, участвующий в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению, данным и средствам защиты.

Читайте так же:  Непрерывность судебного разбирательства в уголовном процессе

Как составить инструкцию пользователя информационной системы персональных данных

Инструкция пользователя ИСПДн должна быть утверждена руководителем организации, ответственным за обеспечение безопасности ПДн или руководителем отдела.

Документ состоит из разделов: общие положения, должностные обязанности и организация парольной защиты, правила работы в сетях общего доступа и (или) международного обмена (при необходимости).

Основные должностные обязанности пользователя ИСПДн:

Особенности парольной защиты

В инструкция пользователя информационной системы персональных данных следует указать, что:

  • личные пароли доступа к элементам ИСПДн выдаются пользователям администратором информационной безопасности, администратором ИСПДн или создаются самостоятельно;
  • полная плановая смена паролей в ИСПДн проводится не реже одного раза в 3 месяца;
  • при формировании пароля, его ввода и хранения необходимо придерживаться утвержденных правил;
  • лица, использующие паролирование, обязаны четко знать и строго выполнять требования инструкции и других руководящих документов по паролированию, а также своевременно сообщать администратору информационной безопасности об утере, компрометации, несанкционированном изменении паролей и несанкционированном изменении сроков действия паролей.

Для уточнения обязанностей пользователя ИСПДн, вследствие специфических особенностей организации, в инструкцию пользователя информационной системы персональных данных нужно внести соответствующие изменения.

Источник: http://www.freshdoc.ru/zashita_personalnyh_dannyh/docs/instrukcii/polzovatelja_ispdn/

Инструкция администратора безопасности

Настоящий документ устанавливает обязанности, права и ответственность администратора безопасности информационных систем персональных данных. Данное лицо организует техническую и организационную защиту персональных данных, участвует в определении уровней защищенности персональных данных, разрабатывает систему защиты персональных данных и при должной квалификации настраивает средства защиты.

Выполняемые требования законодательства

Видео удалено.
Видео (кликните для воспроизведения).

— ч.5 «Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (ФСТЭК)
— ч.3 Постановления Правительства №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

Как еще называют этот документ?

— Инструкция администратора безопасности персональных данных
— Инструкция администратора безопасности
— Инструкция администратора безопасности информационных систем персональных данных

Источник: http://b-152.ru/instruktsiya_administratora_bezopasnosti

Инструкция администратора государственной информационной системы персональных данных

____________ (фамилия и инициалы)

«___» ______________ 201_г.

ИНСТРУКЦИЯ № ____

администратора государственной информационной системы персональных данных «___________________________________»

  1. Общие положения

1.1. Настоящая инструкция (далее – Инструкция) определяет общие функции, ответственность, права и обязанности администратора государственной информационной системы персональных данных «____________________________________» (далее – АИС ______________________) в _____________________________________________________________________________________________________ (далее –______________________).

1.2. Администратор назначается на должность приказом __________ на основании Положения о разграничении прав доступа к обрабатываемым персональным данным в АИС ______________________ из числа штатных сотрудников ______________________ или сторонней организации, осуществляющей сопровождение АИС ______________________ по договору подряда.

1.3. Администратор подчиняется непосредственно Директору ______________________.

1.4. На время отсутствия Администратора (отпуск, болезнь, пр.) его обязанности исполняет лицо, назначенное в установленном порядке, которое приобретает соответствующие права и несет ответственность за надлежащее исполнение возложенных на него обязанностей.

1.5. Администратор в своей работе руководствуется настоящей Инструкцией, Концепцией информационной безопасности ______________________, Политикой информационной безопасности ______________________, другими регламентирующими документами ______________________, руководящими и нормативными документами регуляторов Российской Федерации в области обеспечения безопасности персональных данных.

1.6. Методическое руководство работой Администратора осуществляется ответственным за организацию обработки персональных данных в ______________________.

1.7. Администратор является ответственным лицом, обеспечивающим устойчивое функционирование всех элементов АИС ______________________ на этапах промышленной эксплуатации и модернизации.

  1. Обязанности

2.1. Соблюдать требования законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, Правил обработки персональных данных и других нормативных документов ______________________ в области обработки и защиты персональных данных.

2.2. Создавать, изменять и удалять учетные записи всех групп пользователей в АИС ______________________.

2.3. Обеспечивать установку, настройку и своевременное обновление элементов АИС ______________________:

  • программного обеспечения (далее – ПО) автоматизированных рабочих мест (далее – АРМ) пользователей и серверов (операционных систем (далее – ОС), прикладного и специального ПО);
  • аппаратных средств;
  • аппаратных и программных средств защиты информации (далее – СЗИ).

2.4. Обеспечивать устойчивую работоспособность элементов АИС ______________________, в том числе АРМ пользователей, и локальной вычислительной сети (далее – ЛВС).

2.5. Осуществлять резервное копирование баз данных и настроек комплекса средств автоматизации АИС ______________________ согласно Инструкции по обеспечению безопасности персональных данных.

2.6. Обеспечивать функционирование и поддерживать работоспособность СЗИ в рамках возложенных на него функций.

2.7. Поддерживать необходимый уровень защищенности (режим безопасности) персональных данных при их обработке в АИС ______________________ согласно Инструкции по обеспечению безопасности персональных данных в рамках возложенных на него функций.

2.8. Проводить периодический контроль принятых мер по защите в рамках возложенных на него функций.

2.9. В случае отказа работоспособности технических средств и ПО элементов АИС ______________________, в том числе СЗИ, принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности.

2.10. Участвовать в проведении расследований случаев несанкционированного доступа к персональным данным и других нарушений Правил обработки персональных данных.

2.11. Участвовать в приемке новых программных и технических средств.

2.12. Совместно с администратором безопасности АИС ______________________ обеспечивать постоянный контроль выполнения пользователями установленного комплекса мероприятий по обеспечению безопасности информации.

2.13. Информировать ответственного за организацию обработки персональных данных в АИС ______________________ о фактах нарушения установленного порядка работ и попытках несанкционированного доступа к информационным ресурсам АИС ______________________

2.14. Требовать прекращения обработки информации, какв целом, таки для отдельных пользователей, в случае выявления нарушений установленного порядка работ или нарушения функционирования АИС ______________________ или СЗИ.

2.15. Обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации обслуживания технических средств и отправке их в ремонт. Техническое обслуживание и ремонт средств вычислительной техники, предназначенных для обработки персональных данных, проводятся организациями, имеющими соответствующие лицензии. При проведении технического обслуживания и ремонта запрещается передавать ремонтным организациям узлы и блоки с элементами накопления и хранения информации.

Читайте так же:  Структура гражданской ответственности

2.16. Присутствовать при выполнении технического обслуживания элементов АИС ______________________, в том числе АРМ пользователей, сотрудниками сторонних организаций.

2.17. Принимать меры по реагированию в случае возникновения нештатных или аварийных ситуаций с целью ликвидации их последствий.

Администратор имеет право:

3.1. Участвовать в анализе ситуаций, касающихся функционирования средств защиты информации, и расследованиях по случаям несанкционированного доступа к персональным данным и другим случаям нарушения режима обработки персональных данных.

3.2. Вносить предложения руководству по совершенствованию работы, связанной с предусмотренными настоящей инструкцией обязанностями.

3.3. Требовать от руководства оказания содействия в исполнении своих должностных обязанностей и прав.

3.4. Запрашивать лично или через руководство информацию и документы, необходимые для выполнения своих должностных обязанностей.

  1. Ответственность

Администратор несет ответственность:

4.1. За обеспечение устойчивой работоспособности элементов АИС ______________________, в том числе АРМ пользователей, при обработке персональных данных.

4.2. За ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей Инструкцией, в пределах, определенных действующим трудовым законодательством Российской Федерации.

4.3. За правонарушения, совершенные в процессе осуществления своей деятельности, в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации.

4.4. За причинение материального ущерба – в пределах, определенных действующим трудовым и гражданским законодательством Российской Федерации.

  1. Порядок пересмотра инструкции

5.1. Настоящая Инструкция пересматривается, изменяется и дополняется по мере необходимости, но не реже одного раза в пять лет.

5.2. С приказом о внесении изменений (дополнений) в настоящую Инструкцию знакомятся под расписку все сотрудники ______________________, на которых распространяется действие этой инструкции.

Источник: http://itsec2012.ru/instrukciya-administratora-gosudarstvennoy-informacionnoy-sistemy-personalnyh-dannyh

Снова о защите персональных данных или готовимся к проверке Роскомнадзора

Вступление

Всем доброго времени суток! В этой статье я хотел бы еще раз поднять тему защиты персональных данных (далее будем обзывать их — ПДн), а также тему защиты от регуляторов. Пик дебатов на тему защиты ПДн давно прошел. Приходились эти пики как правило на приближение очередного «самого последнего срока» ввода 152-ФЗ в полную силу. В итоге «самый последний срок» наступил, активные дебаты стихли, но закон «О персональных данных» живет, регуляторы устраивают проверки и наказывают нарушителей. Поэтому тема будет еще долго актуальна.

Сразу оговорюсь, что в этой статье в основном будет информация организационного характера, нежели техническая. «А зачем такая информация нужна нам?» — спросит читатель хабра. Объясняю: так уж получилось, что начальники как крупных, так и не очень организаций не любят выстраивать длинные логические цепочки и вникать в суть вопроса, который лежит далеко от их компетенции. Поэтому при возникновении необходимости обеспечения защиты персональных данных строится вполне логичная по их мнению взаимосвязь: «Защита персональных данных» — > «Защита информации» — > «Информационные технологии» — > «Взвалить вопрос защиты ПДн на IT-шников». И пофигу, что в этом вопросе львиную долю можно поручить юристам и кадровикам, но как говорится в бородатом анекдоте: «кому не нравится грузить люминь, пойдет грузить чугуний».


Типичный пример разглашения ПДн специальной категории (сведения об интимной жизни)

Итак, почему здесь я все-таки не буду рассматривать техническую защиту персональных данных.

  • Этой информации итак много в интернетах и она более-менее однозначная.
  • Эта тема довольно емкая и заслуживает отдельной статьи, в этом опусе я все же хочу коснуться именно организационных моментов.
  • Организационные моменты проверяет Роскомнадзор, а технические – ФСТЭК. ФСТЭК проверяет гораздо меньше по защите персональных данных, хотя бы потому, что управление Роскомнадзора есть в каждом регионе, а управление ФСТЭК – одно на Федеральный округ.
  • В связи с отменой Постановления правительства № 781, регламентирующего техническую защиту персональных данных, и его заменой на ПП № 1119, нормативные документы ФСТЭК России и ФСБ России оказались в «подвешенном» состоянии. Ими по идее нельзя пользоваться, так как они были изданы во исполнение отмененного постановления № 781, но с другой стороны документы ФСТЭК России должен отменять сам ФСТЭК России. Поэтому техническую защиту ПДн лучше рассматривать предметно после выхода новой документации от регуляторов.
  • IT-шникам все же гораздо ближе техническая защита ПДн и им проще в этом разобраться, а вот когда начальство взваливает «бумажную» работу, многим может понадобиться помощь и разъяснения.

Немного о себе

Я посчитал нужным сначала немного рассказать о себе для того, чтобы читателю стало понятно, что все, написанное ниже, основано на личном опыте организации защиты персональных данных в различных организациях, а не является квинтэссенцией различных форумных дебатов в интернетах (там «специалисты» иногда такого напишут, что волосы дыбом встают, и не только на голове).

Я являюсь начальником отдела одной из компаний на Дальнем Востоке, занимающихся аутсорсингом предприятий в сфере информационной безопасности. Безусловно, защита персональных данных – одна из наиболее востребованных наших услуг. Работаю я в этом направлении с 2008 года. Среди клиентов есть как небольшие организации, так и достаточно крупные государственные (департаменты, аппараты правительства, законодательные собрания и тд), так и коммерческие (операторы сотовой связи, интернет-провайдеры, частные медицинские клиники).

У некоторых клиентов проходили проверки Роскомнадзора на предмет выполнения требований законодательства в сфере защиты ПДн и пока что результат – 100% успешных проверок. Также у меня есть личный опыт представления интересов организации в ходе подобной проверки.

Итак, вас назначили ответственным за организацию обработки ПДн, да к тому же вы узнали, что внесены в план проверок Роскомназдора на грядущий год. С чего начать?

И вот, это случилось: начальник, не особо заморачиваясь подписал приказ в котором сказано «Системному администратору ООО «Рога и копыта» Иванову И. И. сделать так, чтобы защита персональных данных в нашей опупенной организации была по фен-шую». Что делать в первую очередь?

Читайте так же:  Как отследить исковое заявление в суде

В первую очередь нужно выяснить, есть ли в реестре операторов персональных данных ваша организация. Для этого в поиске достаточно вбить ИНН компании. Если такого уведомления нет, то нужно его подать (но нужно учесть, что если уведомление не было подано ранее – это уже повод для регулятора оштрафовать вашу организацию).

Если уведомление все-таки присутствует, нужно уточнить его содержание. Часто бывает так, что уведомление заполнялось каким-нибудь Васей Пупкиным из отдела кадров от балды в далеком 2007 году, которого к тому же давным давно уволили. В этом случае вполне естественно, что содержание многих полей не соответствует действительности. В то же время практика карательных мер как раз говорит о том, что большинство предписаний выносится Роскомнадзором именно в связи с несоответствием уведомления тому, что происходит в организации на самом деле. Например, в графе «Категории обрабатываемых персональных данных» указано «ФИО, паспортные данные, адрес места жительства, номер телефона», а вы обрабатываете еще и сведения о здоровье.

Для внесения изменений в уведомление на портале персональных данных также существует специальная форма. Тут надо помнить, что изменения не будут учтены, если вы вслед не отправите бумажное письмо в свое территориальное управление Роскомнадзора. Это же касается и первоначального уведомления.

Хорошо, с уведомлением разобрались, что потом?

Потом вам нужно издать и утвердить в своей организации кучу документов (инструкции, положения, приказы, журналы и тд). Здесь нужно помнить, что документы должны регламентировать не только автоматизированную обработку но и «аналоговую» тоже.

Перечня документов как такового не существует, есть лишь перечень аспектов, которые вы должны описать в них.
Первым делом нужно назначить ответственного за организацию обработки персональных данных (это лицо теперь требуется указывать в уведомлении оператора). Этот человек у нас будет отвечать в основном за «бумажные» вопросы. Также требуется назначить администратора безопасности персональных данных. Он будет отвечать уже за техническую сторону вопроса. И того и другого можно назначить одним приказом. Тут сразу хочу заметить, что все формулировки настоятельно рекомендуется согласовывать с текстом законодательства, так как проверяющие очень часто к ним придираются. Например, если вы ответственного за организацию обработки ПДн назовете просто ответственным за обработку ПДн, то с вероятностью 99.9% регулятор в процессе проверки попросит внести изменения в документ.

Далее, многие об этом забывают, но Роскомнадзор требует: во всех кабинетах, в которых обрабатываются ПДн на бумаге должны быть определены места хранения (сейф, шкаф, стеллаж) и ответственные за сохранность конфиденциальности ПДн в этом кабинете. Проще говоря, издаем приказ, в котором пишем «В кабинете № 1 утвердить местом хранения сейф, ответственным назначить такого-то такого-то».
Далее, вы должны назначить комиссию по классификации и комиссию по уничтожению ПДн. В эти комиссии должны входить: председатель комиссии и, как минимум, два члена комиссии. Обе комиссии по своему составу могут быть на 100% идентичными.

Далее, необходимо определиться с лицами, допущенными к обработке персональных данных. Это сотрудники, которые работают с ПДн как работников организации, так и клиентов, абонентов и других категорий субъектов. Причем в документе должно быть указано какой работник к каким данным имеет доступ, обрабатывает он эти данные с помощью средств автоматизации или нет, а в случае с автоматизированной обработкой еще и его роль в системе (пользователь, администратор и тд). Тут следует заметить, что каждый сотрудник, допущенный к обработке персональных данных должен подписать соглашение о неразглашении ПДн.

Следующим шагом нужно определить категории персональных данных, которые у нас подлежат защите. Это делается также отдельным приказом. Здесь есть тоже такой момент, о котором многие забывают, но Роскомнадзор при проверках спрашивает – персональные данные являются частным случаем сведений конфиденциального характера, поэтому отдельным приказом должен быть утвержден также и такой перечень. Что может относиться к сведениям конфиденциального характера, определено указом президента РФ № 188 от 6 марта 1997 г. Просто переписываем пункты, относящиеся к вашей организации в свой приказ и готово.

Наконец, вы должны утвердить в организации основной документ, регламентирующий защиту ПДн. Обычно такой документ называют «Положение об обработке и защите персональных данных». Здесь вы описываете основные понятия из законодательства, цели и законные основания обработки ПДн, права и обязанности оператора, права и обязанности субъекта ПДн.

Также придется разработать ряд журналов, вы должны показать Роскомнадзору, что вы проводите регулярную (а не только одноразовую) деятельность по защите ПДн. В этом вам помогут, например «Журнал проведения инструктажа по информационной безопасности» и «Журнал учета мероприятий по контролю обеспечения защиты персональных данных». Обязательно (Роскомнадзор обязательно спросит) должен быть журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав. Также не забудьте перед проверкой обзавестись журналом учета проверок юридических лиц контролирующими органами.

Подводя итог по внедрению организационной документации по защите ПДн в вашей организации, еще раз повторюсь, строгого перечня документов нет. Вы можете создать один большой документ под названием «Политика в отношении защиты персональных данных», в котором опишите все, что я выше перечислил, а можете разбить на множество мелких документов. Можете издать несколько разных приказов, а можете назначить всех ответственных, определить лиц, допущенных к обработке ПДн и тд одним единственным распоряжением.

Вот, примерно так, опять же, список может быть гораздо шире или гораздо уже, все зависит от того, что будет написано в каждом из документов, здесь важно именно содержание. Образцы всех документов достаточно легко нагуглить.

Многие наверное заметили, что в списке документов много таких, которые регламентируют автоматизированную обработку и защиту ПДн в информационных системах. Несмотря на то, что при проверке Роскомнадзор обращает больше внимания на документальное обеспечение защиты ПДн, нежели на техническое, все равно — чем больше документов вы предоставите по защите ПДн, тем больше плюсиков в карму со стороны регулятора вам упадет.

Читайте так же:  Регламент выдача разрешения служебное оружие

Завершая раздел про документы, отмечу еще несколько моментов, на которые нужно обратить внимание. Во-первых, ко всем вышеперечисленным документам должен идти лист ознакомления и все лица, которых касается этот документ (будь то инструкция или приказ) должны расписаться в том, что они с бумажкой ознакомлены. Во-вторых, в должностные инструкции всех лиц, допущенных к обработке персональных данных нужно вписать строку «При работе с персональными данными руководствоваться Положением об обработке и защите персональных данных». И, в-третьих, помимо внутренних документов, необходимо разработать один публичный. Обычно его обзывают как «Политика в отношении обработки персональных данных». Такой документ должен вывешиваться на веб-сайте оператора ПДн, либо, если веб-сайта нет, на информационной доске в офисе или находиться в другом общедоступном месте. Примеров политики также можно нагуглить великое множество.

Аттестация

Несмотря на то, что этот момент больше относится к технической защите (ведь аттестация производится, когда наша информационная система полностью заряжена средствами защиты информации), все же хотел здесь пару слов сказать и о ней. Мне просто очень часто приходится слышать от очередных клиентов, что им промыли мозги о том, что аттестация информационных систем персональных данных является обязательной. Запомните раз и навсегда – это все ЧУШЬ! В положении об аттестации объектов информатизации черным по белому написано, что обязательной аттестации подлежат только объекты, содержащие государственную тайну и экологически опасные объекты. Поэтому весь этот бред об обязательной аттестации ИСПДн – просто происки недобросовестных интеграторов, желающих лишний раз скосить бабла с доверчивого клиента.

Аттестация ИСПДн может быть обязательной только в том случае, если ваша организация находится в подчинении вышестоящего органа, и эта самая верхушка спустила вам указание аттестовывать все свои ИСПДн.

Хотя, аттестацию может возжелать и сам начальник организации, ведь аттестат соответствия однозначно подтверждает, что ваши информационные системы полностью соответствуют законодательству как в плане документального обеспечения, так и в плане технической защиты. В этом случае нужно помнить, что одним из условий действительности аттестата является неизменность условий эксплуатации ИСПДн. То есть грубо говоря вы не можете поменять монитор на рабочем месте или установить дополнительное ПО без согласования с органом по аттестации, а это влечет за собой дополнительные затраты. Также стоит помнить, что аттестат соответствия может выдаваться максимум на три года, а потом – все по новой.
Возвращаясь к нашей основной теме – подготовке к проверке Роскомназдора, хочу сказать, что за все пять лет работы в данной сфере, проверяющие никогда не требовали Аттестат соответствия.

Вместо заключения

Букв получилось довольно много и, я думаю, пора закругляться, тем более, что выполнив описанные выше меры, можно сказать, что вы практически готовы к проверке Роскомнадзора. Но все же еще раз постараюсь коротко сформулировать основные этапы, выполнение которых поможет вам с большой долей вероятности получить положительное заключение по итогам проверки и некоторые другие, не вошедшие в статью, моменты:

На этом, наверное, и закончу. Как видно не так страшны проверки РКН, как могут показаться на первый взгляд. Если у читателей есть какие-либо вопросы или предложения по следующим статьям на тему ПДн, постараюсь на все ответить и все учесть.

Источник: http://habr.com/en/post/169527/

Инструкция администратора ИСПДн

Инструкция администратора ИСПДн определяет должностные обязанности администратора ИСПДн. Инструкция состоит из 2 частей: общие положения и должностные обязанности.

Инструкция должна быть утверждена руководителем организации, ответственным за обеспечение безопасности ПДн или руководителем отдела. В инструкции должно быть указано лицо, которому непосредственно подчиняется администратор ИСПДн.

В случае уточнения обязанностей администратора ИСПДн, вследствие специфических особенностей организации, в инструкцию должны быть внесены соответствующие изменения.

К основным должностным обязанностям администратора ИСПДн относят:

Обеспечивать установку, настройку и своевременное обновление элементов ИСПДн: программного обеспечения АРМ и серверов (операционные системы, прикладное и специальное ПО), аппаратных средств, аппаратных и программных средств защиты.

Обеспечивать работоспособность элементов ИСПДн и локальной вычислительной сети.

Осуществлять контроль за порядком учета, создания, хранения и использования резервных и архивных копий массивов данных, машинных (выходных) документов.

Обеспечивать функционирование и поддерживать работоспособность средств защиты.

В случае отказа работоспособности технических средств и программного обеспечения элементов ИСПДн, в том числе средств защиты информации, принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности.

Проводить периодический контроль принятых мер по защиты.

Хранить, осуществлять прием и выдачу персональных паролей пользователей, осуществлять контроль за правильностью использования персонального пароля Оператором ИСПДн.

Обеспечивать постоянный контроль за выполнением пользователями установленного комплекса мероприятий по обеспечению безопасности информации.

Информировать ответственного за обеспечение защиты персональных данных о фактах нарушения установленного порядка работ и попытках несанкционированного доступа к информационным ресурсам ИСПДн.

Требовать прекращения обработки информации, как в целом, так и для отдельных пользователей, в случае выявления нарушений установленного порядка работ или нарушения функционирования ИСПДн или средств защиты.

Обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации обслуживания технических средств и отправке их в ремонт.

Присутствовать при выполнении технического обслуживания элементов ИСПДн, сторонними физическими людьми и организациями.

Принимать меры по реагированию, в случае возникновения внештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий.

Видео удалено.
Видео (кликните для воспроизведения).

Источник: http://www.freshdoc.ru/zashita_personalnyh_dannyh/docs/instrukcii/instrukcija_administratora_ispdn/

Администратор персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here