Ответственный за обеспечение безопасности персональных данных

Статья на тему: "Ответственный за обеспечение безопасности персональных данных" с полным описанием тематики и ответами на интересующие вопросы. За консультацией можно обратиться к дежурному консультанту.

Содержание

  • Приложение N 1. Положение об организации и проведении работ по обеспечению безопасности персональных данных обрабатываемых в информационных системах персональных данных и/или без использования средств автоматизации

    Приложение N 1
    к приказу ______________
    (название МО)
    от _________ N ________

    ГАРАНТ:

    По-видимому, в тексте документа допущена ошибка: п.п. 3.7., 3.8. в настоящем Положении отсутствуют

    ГАРАНТ:

    По-видимому, в тексте документа допущена ошибка: п.п. 3.7., 3.8. в настоящем Положении отсутствуют

    >
    N 2. Типовая форма журнала учета установленных средств защиты информации
    Содержание
    Приказ Министерства здравоохранения Свердловской области от 20 октября 2015 г. N 1622-п «Об организационных мерах защиты.

    Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

    Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

    © ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

    Источник: http://base.garant.ru/20972130/2303325ae84a54ba223840316a0fb8f7/

    О назначении ответственного за обеспечение безопасности персональных данных информационных систем персональных данных

    __________________________________________________________________________________________________________________

    ПРИКАЗ

    «___» __________ 201_ г.

    О назначении ответственного за обеспечение безопасности персональных данных информационных систем персональных данных _________________________

    В целях исполнения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и в соответствии с пунктом 14 «Требований к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119,

    п р и к а з ы в а ю:

    1. Назначить ответственным за обеспечение безопасности персональных данных информационных систем персональных данных _______________ и возложить функции администратора безопасности должность, фамилия и инициалы.
    2. Контроль исполнения настоящего приказа оставляю за собой.
    3. Настоящий приказ вступает в силу с момента его подписания.

    Директор

    фамилия и инициалы

    Источник: http://itsec2012.ru/o-naznachenii-otvetstvennogo-za-obespechenie-bezopasnosti-personalnyh-dannyh-informacionnyh-sistem-personalnyh-dannyh-1

    Инструкция ответственного за обеспечение безопасности персональных данныхпри их обработке в Автоматизированной информационной системе Государственной инспекции труда в Государственной инспекции труда в Камчатском крае

    Государственной инспекции труда

    в Камчатском крае

    _______________ Д.А. Колгин

    «____» _____________ 20___ г.

    ответственного за обеспечение безопасности персональных данныхпри их обработке в Автоматизированной информационной системе Государственной инспекции труда

    в Государственной инспекции труда в Камчатском крае

    1. Общие положения

    1.1. Ответственный за обеспечение безопасности персональных данных (далее – ПДн) при их обработке в Автоматизированной информационной системе Государственной инспекции труда (далее – АИС ГИТ) назначается приказом руководителя Государственной инспекции труда в Камчатском крае (далее – Гострудинспекция). Ответственный за обеспечение безопасности ПДн подчиняется непосредственно руководителю Гострудинспекции.

    1.2. На время отсутствия ответственного за обеспечение безопасности его обязанности выполняет администратор безопасности АИС ГИТ, который приобретает соответствующие права и несет ответственность за надлежащее исполнение возложенных на него обязанностей.

    2. Должностные обязанности

    2.1. Ответственный за обеспечение безопасности персональных данных при их обработке в АИС ГИТ обязан:

    — выполнять все требования, предъявляемые к лицам, допущенным к эксплуатации АИС ГИТ;

    — обеспечивать эксплуатацию АИС ГИТ в соответствии с ее назначением;

    — вести и хранить документацию на АИС ГИТ;

    — осуществлять взаимодействие с администратором безопасности АИС ГИТв целях контроля состояния защищенности персональных данныхв АИС ГИТ;

    — контролировать наличие необходимых инструкций по эксплуатации на рабочих местах сотрудников, имеющих доступ к АИС ГИТ;

    — контролировать качество и своевременность выполнения должностными лицами установленных требований по обеспечению безопасности персональных данных;

    — контролировать соблюдение правил допуска сотрудников в помещения, в которых находятся компоненты АИС ГИТ;

    — принимать участие в организации и проведении расследований по фактам нарушений в области защиты ПДн и разработке предложений по устранению недостатков и предупреждению подобного рода нарушений;

    3.1. Ответственный за обеспечение безопасности ПДн при их обработке в АИС ГИТ имеет право:

    — требовать от сотрудников выполнение инструкций по обеспечению безопасности и защите информации в АИС ГИТ;

    — инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения защиты, несанкционированного доступа, утраты, модификации, порчи защищаемой информации и технических компонентов АИС ГИТ;

    — требовать прекращения обработки информации в случае нарушения установленного порядка работ или нарушения функционирования средств и систем защиты информации;

    — участвовать в анализе ситуаций, касающихся функционирования средств защиты информации и расследования фактов несанкционированного доступа;

    — участвовать в мероприятиях по осуществлению контроля защиты информации. Одной из форм контроля защиты персональных данных является периодическая проверка объектов АИС ГИТ, проводимая не реже одного раза в год рабочей группой в составе администратора безопасности персональных данных и ответственного за обеспечение безопасности персональных данных. Для проверки АИС ГИТ может привлекаться организация, имеющая лицензию ФСТЭК России на деятельность по технической защите информации;

    — участвовать в расследовании возникающих инцидентов безопасности персональных данных АИС ГИТ. По каждой предпосылке к утечке информации для выяснения обстоятельств и причин невыполнения установленных требований по указанию руководителя Гострудинспекции или ответственного за обеспечение безопасности персональных данных проводится расследование. Для проведения расследования назначается специальная комиссия. Комиссия обязана установить, имела ли место утечка сведений, и обстоятельства ей сопутствующие, установить лиц, виновных в нарушении предписанных мероприятий по защите информации, установить причины и условия, способствовавшие нарушению, и выработать рекомендации по их устранению. После окончания расследования руководитель Гострудинспекции принимает решение о наказании виновных лиц и необходимых мероприятиях по устранению недостатков.

    4.1. Ответственный за обеспечение безопасности ПДн при их обработке в АИС ГИТ несет ответственность за результаты проведения организационных мероприятий по обеспечению безопасности ПДн при их обработке в АИС ГИТ.

    Читайте так же:  Образцы исковых заявлений судов беларуси

    4.2. Ответственный за обеспечение безопасности ПДн при их обработке в АИС ГИТ привлекается к ответственности:

    — За ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей инструкцией, – в пределах, установленных действующим трудовым законодательством Российской Федерации.

    — За правонарушения, совершенные в процессе своей деятельности, – в пределах, установленных действующим административным, уголовным и гражданским законодательством Российской Федерации.

    — За причинение материального ущерба предприятию – в пределах, установленных действующим трудовым и гражданским законодательством Российской Федерации.

    Источник: http://git41.rostrud.ru/mery_napravlennye_na_realizatsiyu_trebovaniy_zakonodatelstva_o_zashchite_personalnykh_dannykh/29774.html

    Падунская средняя общеобразовательная школа имени Заслуженного учителя школы РСФСР И.Е. Хребтова, филиал Муниципального автономного общеобразовательного учреждения Заводоуковского городского округа «Заводоуковская средняя общеобразовательная школа № 4 имени Заслуженного учителя РСФСР, Почетного гражданина г. Заводоуковска Агафонова Леонида Устиновича» (Падунская СОШ, филиал МАОУ «СОШ № 4»)

    We invite schools of other countries to cooperate with us!

    В МАОУ «Падунская СОШ» была проведена соответствующая работа в соответствие с требованиями Федерального закона № 152-ФЗ «О персональных данных»:

    1. Приказами директора:

    — введен режим обработки и защиты персональных данных МАОУ «СОШ № 59»

    — назначен ответственный за безопасность персональных данных

    — назначен администратор информационной безопасности

    2. Организован доступ ответственных за обработку персональных данных в информационных системах персональных данных, на основании прав перечисленных в Матрице о разграничении прав доступа к обрабатываемым персональным данным.

    3. Разработан комплект документов согласно ФЗ №152:

    — Положение об обработке и защите персональных данных МАОУ «Падунская СОШ»

    — Согласие работника на обработку своих персональных данных

    — Согласие родителей на обработку персональных данных ребенка

    — Инструкция администратора информационных систем персональных данных.

    4. Меры по обеспечению безопасности ПДн сотрудников, учащихся и их родителей (законных представителей) в МАОУ «Падунская СОШ» при их обработке.

    Организационные меры: информация о ПДн доступна для строго определенного круга сотрудников, в здании установлены охранная и пожарная сигнализации, сведения на бумажных носителях хранятся в сейфах или запирающихся металлических шкафах, определены места хранения персональных данных, назначены ответственные за обеспечение безопасности персональных данных, в организации в ближайшее время будет введено положение о защите персональных данных, физическая охрана информационной системы (технических средств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации; учет всех защищаемых носителей информации.

    Технические меры : используется электронная цифровая подпись, используются антивирусные средства защиты информации, идентификация и проверка подлинности пользователя при входе в систему информационной системы по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов; наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонентов средств защиты информации, их периодическое обновление и контроль работоспособности.

    5. Правовое основание обработки персональных данных :

    Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

    Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ (ст. 85-90);

    Гражданский кодекс РФ;

    Налоговый кодекс РФ;

    Закон РФ от 10.07.1992 № 3266-1 «Об образовании»;

    Устав МАОУ «Падунская СОШ»

    6. Правовое основание защиты персональных данных:

    Закон РФ «О персональных данных» №152-ФЗ от 27.07.2006г.;

    Статья 13.11 КоАП РФ «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)»;

    Статья 137 УК РФ «Нарушение неприкосновенности частной жизни».

    Категории персональных данных:

    фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; контактные телефоны родителей учащихся (законных представителей), сведения об учебном процессе и занятости обучающегося ( перечень изученных, изучаемых предметов и факультативных курсов, успеваемость, в том числе результаты текущего контроля успеваемости, промежуточной и итоговой аттестации, данные о посещаемости уроков, причины отсутствия на уроках, поведение в школе, награды и поощрения и др.

    Цель обработки персональных данных: осуществление образовательной деятельности (получение начального образования, основного общего образования, среднего полного общего образования, в т.ч. формирование базы данных в рамках проведения ЕГЭ.

    Перечень действий с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение, уничтожение персональных данных.

    ИНФОРМАЦИЯ О ПЕРЕЧНЕ ДОКУМЕНТОВ ИСПДн

    Наименование учреждения: Муниципальное автономное общеобразовательное учреждение Заводоуковского городского округа «Падунская средняя общеобразовательная школа имени Заслуженного учителя школы РСФСР И.Е. Хребтова»

    Наименование документа согласно перечня общих организационно-распорядительных документов

    Реквизиты документа (дата утверждения)

    Источник: http://padunschool.ucoz.ru/index/obespechenie_bezopasnosti_personalnykh_dannykh/0-165

    Приложение 12. Инструкция ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных Администрации города Махачкалы

    Утверждено
    постановлением Администрации
    города Махачкалы
    от 28 марта 2018 г. N 333

    Инструкция
    ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных Администрации города Махачкалы

    1. Общие положения

    Ответственный за обеспечение безопасности персональных данных в информационных системах персональных данных Администрации города Махачкалы (далее — Ответственный) назначается приказом Администрации города Махачкалы (далее — Администрация) и отвечает за обеспечение конфиденциальности, целостности и доступности персональных данных (далее — ПДн) в процессе их обработки в информационных системах персональных данных (далее — ИСПДн) Администрации.

    Ответственный должен знать законодательные и иные нормативные правовые акты Российской Федерации, методические материалы в сфере обработки и защиты ПДн.

    В своей деятельности Ответственный руководствуется Политикой в отношении обработки персональных данных в Администрации города Махачкалы, настоящей Инструкцией, рекомендациями Ответственного за организацию обработки персональных данных (далее — Ответственный за организацию обработки ПДн).

    2. Основные функции и обязанности ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных

    Ответственный изучает все стороны деятельности Администрации и вырабатывает рекомендации по защите ПДн при решении следующих основных вопросов:

    проведение аналитической работы по комплексной защите и предупреждению утечки ПДн;

    подготовка решений в отношении сведений о работах, выполняемых Администрацией, подлежащих защите;


    координация внедрения и эксплуатации систем защиты и безопасности информации, обрабатываемой техническими средствами;

    проведение работ по контролю эффективности принимаемых мер по выявлению и закрытию возможных каналов утечки ПДн;

    подготовка предложений по совершенствованию действующей системы защиты ПДн с последующим предоставлением Ответственному за организацию обработки ПДн Администрации;

    учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей ПДн;

    обеспечение соответствия проводимых работ в части обработки ПДн технике безопасности, правилам и нормам охраны труда;

    осуществление в пределах своей компетенции иных функций в соответствии с целями и задачами Администрации.

    Соблюдать требования нормативно-правовых и организационно-распорядительных документов по обеспечению безопасности ПДн при их обработке в ИСПДн.

    Читайте так же:  Сон выгонять дочь из дома

    Знать состав, структуру, назначение и выполняемые задачи ИСПДн, а также состав информационных технологий и технических средств, позволяющих осуществлять обработку ПДн.

    Осуществлять общее техническое сопровождение ИСПДн: контролировать соблюдение требований по размещению и использованию технических средств, указанных в инструкциях по эксплуатации этих средств;

    контролировать сохранность пломб на оборудовании автоматизированных рабочих мест;

    вести журнал учета и выдачи используемых материальных носителей ПДн;

    контролировать использование съемных материальных носителей информации, в том числе запрещать использование неучтенных носителей информации;

    проводить инструктаж сотрудников, осуществляющих обработку ПДн и имеющих доступ к ПДн, обрабатываемым в ИСПДн Администрации (далее — Пользователи ИСПДн) по правилам работы в ИСПДн.

    Осуществлять настройку и сопровождение подсистемы регистрации и учета ИСПДн:

    реализовывать полномочия доступа (чтение, запись) для каждого пользователя к элементам защищаемых информационных ресурсов (том, каталог, файл, запись, поле записи) на основе утвержденного руководителем списка сотрудников, допущенных к работе в ИСПДн;

    назначать пароли Пользователей ИСПДн;

    контролировать плановую смену паролей Пользователями ИСПДн для доступа в ИСПДн;

    своевременно удалять профиль Пользователя ИСПДн при увольнении или переводе сотрудника;

    вводить в базу данных системы защиты от несанкционированного доступа (далее — НСД) описания событий, подлежащих регистрации в системном журнале;

    регулярно проводить анализ системного журнала для выявления попыток несанкционированного доступа к ИСПДн;

    своевременно информировать Ответственного за организацию обработки ПДн о несанкционированных действиях персонала для организации расследования попыток НСД.

    Видео удалено.
    Видео (кликните для воспроизведения).

    Сопровождать подсистему обеспечения целостности рабочего программного обеспечения (ПО) ИСПДн:

    обеспечивать регулярное и своевременное обновление антивирусного программного обеспечения Администрации;

    обеспечивать поддержание установленного порядка эксплуатации антивирусного программного обеспечения;

    обеспечивать регулярное и своевременное создание резервных копий ИСПДн Администрации;

    осуществлять настройку и сопровождение системы защиты от НСД в ИСПДн.

    Проводить периодическое тестирование функций системы защиты от НСД при изменении программной среды и полномочий Пользователей ИСПДн.

    Требовать прекращения обработки ПДн в случае нарушения установленного порядка работ или нарушения функционирования средств и систем защиты информации.

    Участвовать в анализе ситуаций, касающихся функционирования средств защиты информации и служебных расследований фактов НСД.

    Участвовать при проведении внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн.

    Контролировать выполнение Пользователями ИСПДн требований Инструкции пользователя информационных систем персональных данных Администрации, а также установленных требований для обеспечения уровней защищенности ПДн.

    Контролировать правильность применения Пользователями ИСПДн средств защиты информации.

    В случае получения от Пользователей ИСПДн информации о фактах утраты, компрометации ключевой, парольной и аутентифицирующей информации, а также любой другой информации ограниченного доступа, незамедлительно принять все необходимые меры для обеспечения безопасности ПДн в пределах своих полномочий.

    Обеспечивать функционирование и поддерживать работоспособность на автоматизированных рабочих местах ИСПДн:

    антивирусного программного обеспечения;

    средств защиты от несанкционированного доступа.

    В случае нарушения работоспособности технических средств и программного обеспечения ИСПДн, в том числе средств защиты ИСПДн, принимать меры по их своевременному восстановлению и выявлению причин, приведших к нарушению работоспособности. Своевременно информировать Ответственного за организацию обработки ПДн о выявленных нарушениях требований по обеспечению безопасности ПДн и попытках несанкционированного доступа к ИСПДн.

    Права ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных

    Ответственный имеет право:

    Знакомиться с нормативными актами Администрации, регламентирующими процессы обработки и защиты ПДн.

    Вносить предложения руководителю Администрации по совершенствованию существующей системы защиты информации.

    Привлекать по согласованию с Ответственным за организацию обработки ПДн и руководителем Администрации к работе по созданию и совершенствованию системы защиты ПДн других сотрудников

    Требовать от Пользователей ИСПДн соблюдения требований Инструкции пользователя информационных систем персональных данных Администрации и иных нормативно-правовых и организационно-распорядительных документов по обеспечению безопасности ПДн.

    Участвовать в работе по совершенствованию мероприятий, обеспечивающих безопасность ПДн, вносить свои предложения по совершенствованию организационных и технических мер защиты ПДн в ИСПДн.

    Инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения безопасности ПДн.

    Требовать прекращения работы в ИСПДн, как в целом, так и отдельных Пользователей ИСПДн, в случае выявления нарушений требований по обеспечению безопасности ПДн или в связи с нарушением функционирования ИСПДн.

    Обращаться за необходимыми разъяснениями по вопросам обработки и обеспечения безопасности ПДн к Ответственному за организацию обработки ПДн.

    >
    Уведомление о факте обработки персональных данных без использования средств автоматизации
    Содержание
    Постановление Администрации городского округа с внутригородским делением «город Махачкала» Республики Дагестан от.

    Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

    Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

    Источник: http://base.garant.ru/42468192/f52b32b623103013c77c8c319c288f45/

    Инструкция ответственного за обеспечение безопасности персональных данных информационных систем персональных данных

    ____________ (фамилия и инициалы)

    «___» ______________ 201_ г.

    ИНСТРУКЦИЯ № ____

    ответственного за обеспечение безопасности персональных данных информационных систем персональных данных в ____________

    1. Общие положения

    1.1. Настоящая инструкция (далее – Инструкция) определяет общие функции, ответственность, права и обязанности ответственного за обеспечение безопасности персональных данных информационных систем персональных данных (далее – Ответственный) в ______________________________________________________________________________________ (далее –_______________).

    1.2. Настоящая инструкция разработана в соответствии с руководящими и нормативными документами регуляторов Российской Федерации в области защиты персональных данных.

    1.3. Ответственный назначается приказом __________ на основании «Положения о разграничении прав доступа к обрабатываемым персональным данным в _______________ из числа штатных сотрудников _______________» или сторонней организации, осуществляющей сопровождение ИСПДн по договору подряда.

    1.4. Ответственный подчиняется непосредственно Директору _______________.

    1.5. На время отсутствия Ответственного (отпуск, болезнь, пр.) его обязанности исполняет лицо, назначенное в установленном порядке, которое приобретает соответствующие права и несет ответственность за надлежащее исполнение возложенных на него обязанностей.

    1.6. Ответственный в своей работе руководствуется настоящей Инструкцией, Концепцией информационной безопасности _______________, Политикой информационной безопасности _______________, другими регламентирующими документами _______________, руководящими и нормативными документами регуляторов Российской Федерации в области обеспечения безопасности персональных данных.

    1.7. Методическое руководство работой Ответственного осуществляется ответственным за организацию обработки персональных данных в _______________.

    1.8. Ответственный является ответственным лицом, уполномоченным на проведение работ по технической защите информации и поддержанию необходимого уровня защищенности ИСПДн _______________ и их ресурсов на этапах промышленной эксплуатации и модернизации.

    1. Организация работы

    2.1. Ответственный должен иметь специальное рабочее место, размещённое на территории контролируемой зоны, установленной приказом директора _______________ от «__» ___ 2013 г. № __ «Об определении границ контролируемой зоны и требований к ее безопасности», таким образом, чтобы исключить несанкционированный доступ к нему посторонних лиц и других сотрудников _______________.

    Читайте так же:  Основания для отмены судебного приказа

    2.2. Рабочее место Ответственного должно быть оборудовано средствами физической защиты (личный сейф, железный шкаф или другое), подключением к ИСПДн, а так же средствами контроля технических средств защиты информации (далее – СЗИ).

    1. Обязанности

    3.1. Соблюдать требования законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, «Правил обработки персональных данных» и других нормативных документов _______________ в области обработки и защиты персональных данных.

    3.2. Поддерживать необходимый уровень защищенности (режим безопасности) персональных данных при их обработке в ИСПДн согласно «Инструкции по обеспечению безопасности персональных данных».

    3.3. Наделять и изменять права доступа всех групп пользователей ИСПДн к персональным данным и защищаемым программным ресурсам и портам ввода-вывода ИСПДн.

    3.4. Осуществлять установку, настройку и сопровождение программных и технических СЗИ.

    3.5. Осуществлять методическое руководство всех групп пользователей _______________ в вопросах функционирования СЗИ и введенного режима защиты.

    3.6. Участвовать в контрольных и тестовых испытаниях и проверках элементов ИСПДн.

    3.7. Участвовать в приемке новых программных и технических средств, в том числе СЗИ.

    3.8. Участвовать в проведении расследований случаев несанкционированного доступа к персональным данным и других нарушений «Правил обработки персональных данных».

    3.9. Обеспечить доступ к защищаемой информации всем группам пользователей ИСПДн согласно их правам доступа при получении оформленного соответствующим образом разрешения.

    3.10. Уточнять в установленном порядке обязанности всех групп пользователей ИСПДн по обеспечению безопасности персональных данных.

    3.11. Вести контроль над процессом осуществления резервного копирования баз данных и настроек комплекса средств автоматизации ИСПДн согласно «Инструкции по порядку резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и СЗИ в АИС _______________ СПО».

    3.12. Осуществлять контроль порядка учёта, создания, хранения и использования резервных и архивных копий массивов данных, машинных (выходных) документов.

    3.13. Осуществлять контроль выполнения «Плана мероприятий по обеспечению защиты персональных данных в_______________».

    3.14. Анализировать состояние защиты ИСПДн и их отдельных подсистем.

    3.15. Контролировать неизменность состояния СЗИ, их параметров и режимов защиты.

    3.16. Контролировать физическую сохранность СЗИ и оборудования ИСПДн.

    3.17. Контролировать исполнение всеми группами пользователей ИСПДн введённого режима защищенности, а так же правильность работы с элементами ИСПДн и СЗИ.

    3.18. Контролировать исполнение всем группами пользователей ИСПДн парольной политики согласно «Инструкции по организации парольной защиты».

    3.19. Организовывать антивирусную защиту всех элементов ИСПДн согласно «Инструкции по организации антивирусной защиты».

    3.20. Контролировать работу пользователей ИСПДн в ЛВС У _______________ и филиалах.

    3.21. Своевременно анализировать журнал учёта событий, регистрируемых СЗИ, с целью выявления возможных нарушений.

    3.22. Недопускать установку, использование, хранение и размножение в ИСПДн ПО, не связанных с выполнением функциональных задач.

    3.23. Не допускать к работе на элементах ИСПДн посторонних лиц.

    3.24. Регистрировать факты выдачи внешних носителей в «Журнале учета мобильных технических средств».

    3.25. Осуществлять периодические контрольные проверки рабочих станций и тестирование правильности функционирования СЗИ ИСПДн.

    3.26. Периодически представлять руководству отчёт о состоянии защиты АИС _______________ СПО и о нештатных ситуациях на объектах ИСПДн и допущенных всеми группами пользователей нарушениях и установленных требований по защите информации.

    3.27. В случае отказа работоспособности СЗИ ИСПДн, принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности.

    3.28. Принимать меры по реагированию в случае возникновения нештатных или аварийных ситуаций с целью ликвидации их последствий.

    3.29. Предлагать руководству мероприятия по совершенствованию работы по защите персональных данных.

    Ответственный имеет право

    4.1. Требовать от всех групп пользователей ИСПДн соблюдения законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, «Правил обработки персональных данных» и других нормативных документов _______________ в области обработки и защиты персональных данных.

    4.2. Запрещать всем группам пользователей ИСПДн доступ к персональным данным при нарушении «Правил обработки персональных данных», при неисправностях в работе СЗИ и с целью предотвращения несанкционированного доступа к охраняемой информации.

    4.3. Участвовать в анализе ситуаций, касающихся функционирования СЗИ, и в расследованиях по случаям несанкционированного доступа к персональным данным и другим случаям нарушения режима обработки персональных данных.

    4.4. Вносить предложения руководству по совершенствованию работы, связанной с предусмотренными настоящей инструкцией обязанностями.

    4.5. В пределах своей компетенции сообщать руководству о недостатках, выявленных в процессе исполнения должностных обязанностей, и вносить предложения по их устранению.

    4.6. Требовать от руководства оказания содействия в исполнении своих должностных обязанностей и прав.

    4.7. Привлекать с разрешения руководства сотрудников всех структурных подразделений к решению задач, возложенных на него.

    4.8. Запрашивать лично или через директора _______________ информацию и документы, необходимые для выполнения своих должностных обязанностей.

    1. Ответственность

    Ответственный несет ответственность:

    5.1. За качество проводимых работ по контролю всех групп пользователей ИСПДн в вопросах обеспечения безопасности персональных данных.

    5.2. За обеспечение устойчивой работоспособности СЗИ ИСПДн.

    5.3. За ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей Инструкцией, в пределах, определенных действующим трудовым законодательством Российской Федерации.

    5.4. За правонарушения, совершенные в процессе осуществления своей деятельности, в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации.

    5.5. За причинение материального ущерба – в пределах, определенных действующим трудовым и гражданским законодательством Российской Федерации.

    1. Порядок пересмотра инструкции

    6.1. Настоящая Инструкция пересматривается, изменяется и дополняется по мере необходимости, но не реже одного раза в три года.

    6.2. С приказом о внесении изменений (дополнений) в настоящую Инструкцию знакомятся под расписку все сотрудники _______________, на которых распространяется действие этой инструкции.

    Источник: http://itsec2012.ru/instrukciya-otvetstvennogo-za-obespechenie-bezopasnosti-personalnyh-dannyh-informacionnyh-sistem-personalnyh-dannyh

    Снова о защите персональных данных или готовимся к проверке Роскомнадзора

    Вступление

    Всем доброго времени суток! В этой статье я хотел бы еще раз поднять тему защиты персональных данных (далее будем обзывать их — ПДн), а также тему защиты от регуляторов. Пик дебатов на тему защиты ПДн давно прошел. Приходились эти пики как правило на приближение очередного «самого последнего срока» ввода 152-ФЗ в полную силу. В итоге «самый последний срок» наступил, активные дебаты стихли, но закон «О персональных данных» живет, регуляторы устраивают проверки и наказывают нарушителей. Поэтому тема будет еще долго актуальна.

    Сразу оговорюсь, что в этой статье в основном будет информация организационного характера, нежели техническая. «А зачем такая информация нужна нам?» — спросит читатель хабра. Объясняю: так уж получилось, что начальники как крупных, так и не очень организаций не любят выстраивать длинные логические цепочки и вникать в суть вопроса, который лежит далеко от их компетенции. Поэтому при возникновении необходимости обеспечения защиты персональных данных строится вполне логичная по их мнению взаимосвязь: «Защита персональных данных» — > «Защита информации» — > «Информационные технологии» — > «Взвалить вопрос защиты ПДн на IT-шников». И пофигу, что в этом вопросе львиную долю можно поручить юристам и кадровикам, но как говорится в бородатом анекдоте: «кому не нравится грузить люминь, пойдет грузить чугуний».

    Читайте так же:  Виды гражданских споров в суде


    Типичный пример разглашения ПДн специальной категории (сведения об интимной жизни)

    Итак, почему здесь я все-таки не буду рассматривать техническую защиту персональных данных.

    • Этой информации итак много в интернетах и она более-менее однозначная.
    • Эта тема довольно емкая и заслуживает отдельной статьи, в этом опусе я все же хочу коснуться именно организационных моментов.
    • Организационные моменты проверяет Роскомнадзор, а технические – ФСТЭК. ФСТЭК проверяет гораздо меньше по защите персональных данных, хотя бы потому, что управление Роскомнадзора есть в каждом регионе, а управление ФСТЭК – одно на Федеральный округ.
    • В связи с отменой Постановления правительства № 781, регламентирующего техническую защиту персональных данных, и его заменой на ПП № 1119, нормативные документы ФСТЭК России и ФСБ России оказались в «подвешенном» состоянии. Ими по идее нельзя пользоваться, так как они были изданы во исполнение отмененного постановления № 781, но с другой стороны документы ФСТЭК России должен отменять сам ФСТЭК России. Поэтому техническую защиту ПДн лучше рассматривать предметно после выхода новой документации от регуляторов.
    • IT-шникам все же гораздо ближе техническая защита ПДн и им проще в этом разобраться, а вот когда начальство взваливает «бумажную» работу, многим может понадобиться помощь и разъяснения.

    Немного о себе

    Я посчитал нужным сначала немного рассказать о себе для того, чтобы читателю стало понятно, что все, написанное ниже, основано на личном опыте организации защиты персональных данных в различных организациях, а не является квинтэссенцией различных форумных дебатов в интернетах (там «специалисты» иногда такого напишут, что волосы дыбом встают, и не только на голове).

    Я являюсь начальником отдела одной из компаний на Дальнем Востоке, занимающихся аутсорсингом предприятий в сфере информационной безопасности. Безусловно, защита персональных данных – одна из наиболее востребованных наших услуг. Работаю я в этом направлении с 2008 года. Среди клиентов есть как небольшие организации, так и достаточно крупные государственные (департаменты, аппараты правительства, законодательные собрания и тд), так и коммерческие (операторы сотовой связи, интернет-провайдеры, частные медицинские клиники).

    У некоторых клиентов проходили проверки Роскомнадзора на предмет выполнения требований законодательства в сфере защиты ПДн и пока что результат – 100% успешных проверок. Также у меня есть личный опыт представления интересов организации в ходе подобной проверки.

    Итак, вас назначили ответственным за организацию обработки ПДн, да к тому же вы узнали, что внесены в план проверок Роскомназдора на грядущий год. С чего начать?

    И вот, это случилось: начальник, не особо заморачиваясь подписал приказ в котором сказано «Системному администратору ООО «Рога и копыта» Иванову И. И. сделать так, чтобы защита персональных данных в нашей опупенной организации была по фен-шую». Что делать в первую очередь?

    В первую очередь нужно выяснить, есть ли в реестре операторов персональных данных ваша организация. Для этого в поиске достаточно вбить ИНН компании. Если такого уведомления нет, то нужно его подать (но нужно учесть, что если уведомление не было подано ранее – это уже повод для регулятора оштрафовать вашу организацию).

    Если уведомление все-таки присутствует, нужно уточнить его содержание. Часто бывает так, что уведомление заполнялось каким-нибудь Васей Пупкиным из отдела кадров от балды в далеком 2007 году, которого к тому же давным давно уволили. В этом случае вполне естественно, что содержание многих полей не соответствует действительности. В то же время практика карательных мер как раз говорит о том, что большинство предписаний выносится Роскомнадзором именно в связи с несоответствием уведомления тому, что происходит в организации на самом деле. Например, в графе «Категории обрабатываемых персональных данных» указано «ФИО, паспортные данные, адрес места жительства, номер телефона», а вы обрабатываете еще и сведения о здоровье.

    Для внесения изменений в уведомление на портале персональных данных также существует специальная форма. Тут надо помнить, что изменения не будут учтены, если вы вслед не отправите бумажное письмо в свое территориальное управление Роскомнадзора. Это же касается и первоначального уведомления.

    Хорошо, с уведомлением разобрались, что потом?

    Потом вам нужно издать и утвердить в своей организации кучу документов (инструкции, положения, приказы, журналы и тд). Здесь нужно помнить, что документы должны регламентировать не только автоматизированную обработку но и «аналоговую» тоже.

    Перечня документов как такового не существует, есть лишь перечень аспектов, которые вы должны описать в них.
    Первым делом нужно назначить ответственного за организацию обработки персональных данных (это лицо теперь требуется указывать в уведомлении оператора). Этот человек у нас будет отвечать в основном за «бумажные» вопросы. Также требуется назначить администратора безопасности персональных данных. Он будет отвечать уже за техническую сторону вопроса. И того и другого можно назначить одним приказом. Тут сразу хочу заметить, что все формулировки настоятельно рекомендуется согласовывать с текстом законодательства, так как проверяющие очень часто к ним придираются. Например, если вы ответственного за организацию обработки ПДн назовете просто ответственным за обработку ПДн, то с вероятностью 99.9% регулятор в процессе проверки попросит внести изменения в документ.

    Далее, многие об этом забывают, но Роскомнадзор требует: во всех кабинетах, в которых обрабатываются ПДн на бумаге должны быть определены места хранения (сейф, шкаф, стеллаж) и ответственные за сохранность конфиденциальности ПДн в этом кабинете. Проще говоря, издаем приказ, в котором пишем «В кабинете № 1 утвердить местом хранения сейф, ответственным назначить такого-то такого-то».
    Далее, вы должны назначить комиссию по классификации и комиссию по уничтожению ПДн. В эти комиссии должны входить: председатель комиссии и, как минимум, два члена комиссии. Обе комиссии по своему составу могут быть на 100% идентичными.

    Далее, необходимо определиться с лицами, допущенными к обработке персональных данных. Это сотрудники, которые работают с ПДн как работников организации, так и клиентов, абонентов и других категорий субъектов. Причем в документе должно быть указано какой работник к каким данным имеет доступ, обрабатывает он эти данные с помощью средств автоматизации или нет, а в случае с автоматизированной обработкой еще и его роль в системе (пользователь, администратор и тд). Тут следует заметить, что каждый сотрудник, допущенный к обработке персональных данных должен подписать соглашение о неразглашении ПДн.

    Читайте так же:  Как подавать возражение на судебный приказ

    Следующим шагом нужно определить категории персональных данных, которые у нас подлежат защите. Это делается также отдельным приказом. Здесь есть тоже такой момент, о котором многие забывают, но Роскомнадзор при проверках спрашивает – персональные данные являются частным случаем сведений конфиденциального характера, поэтому отдельным приказом должен быть утвержден также и такой перечень. Что может относиться к сведениям конфиденциального характера, определено указом президента РФ № 188 от 6 марта 1997 г. Просто переписываем пункты, относящиеся к вашей организации в свой приказ и готово.

    Наконец, вы должны утвердить в организации основной документ, регламентирующий защиту ПДн. Обычно такой документ называют «Положение об обработке и защите персональных данных». Здесь вы описываете основные понятия из законодательства, цели и законные основания обработки ПДн, права и обязанности оператора, права и обязанности субъекта ПДн.

    Также придется разработать ряд журналов, вы должны показать Роскомнадзору, что вы проводите регулярную (а не только одноразовую) деятельность по защите ПДн. В этом вам помогут, например «Журнал проведения инструктажа по информационной безопасности» и «Журнал учета мероприятий по контролю обеспечения защиты персональных данных». Обязательно (Роскомнадзор обязательно спросит) должен быть журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав. Также не забудьте перед проверкой обзавестись журналом учета проверок юридических лиц контролирующими органами.

    Подводя итог по внедрению организационной документации по защите ПДн в вашей организации, еще раз повторюсь, строгого перечня документов нет. Вы можете создать один большой документ под названием «Политика в отношении защиты персональных данных», в котором опишите все, что я выше перечислил, а можете разбить на множество мелких документов. Можете издать несколько разных приказов, а можете назначить всех ответственных, определить лиц, допущенных к обработке ПДн и тд одним единственным распоряжением.

    Вот, примерно так, опять же, список может быть гораздо шире или гораздо уже, все зависит от того, что будет написано в каждом из документов, здесь важно именно содержание. Образцы всех документов достаточно легко нагуглить.

    Многие наверное заметили, что в списке документов много таких, которые регламентируют автоматизированную обработку и защиту ПДн в информационных системах. Несмотря на то, что при проверке Роскомнадзор обращает больше внимания на документальное обеспечение защиты ПДн, нежели на техническое, все равно — чем больше документов вы предоставите по защите ПДн, тем больше плюсиков в карму со стороны регулятора вам упадет.

    Завершая раздел про документы, отмечу еще несколько моментов, на которые нужно обратить внимание. Во-первых, ко всем вышеперечисленным документам должен идти лист ознакомления и все лица, которых касается этот документ (будь то инструкция или приказ) должны расписаться в том, что они с бумажкой ознакомлены. Во-вторых, в должностные инструкции всех лиц, допущенных к обработке персональных данных нужно вписать строку «При работе с персональными данными руководствоваться Положением об обработке и защите персональных данных». И, в-третьих, помимо внутренних документов, необходимо разработать один публичный. Обычно его обзывают как «Политика в отношении обработки персональных данных». Такой документ должен вывешиваться на веб-сайте оператора ПДн, либо, если веб-сайта нет, на информационной доске в офисе или находиться в другом общедоступном месте. Примеров политики также можно нагуглить великое множество.

    Аттестация

    Несмотря на то, что этот момент больше относится к технической защите (ведь аттестация производится, когда наша информационная система полностью заряжена средствами защиты информации), все же хотел здесь пару слов сказать и о ней. Мне просто очень часто приходится слышать от очередных клиентов, что им промыли мозги о том, что аттестация информационных систем персональных данных является обязательной. Запомните раз и навсегда – это все ЧУШЬ! В положении об аттестации объектов информатизации черным по белому написано, что обязательной аттестации подлежат только объекты, содержащие государственную тайну и экологически опасные объекты. Поэтому весь этот бред об обязательной аттестации ИСПДн – просто происки недобросовестных интеграторов, желающих лишний раз скосить бабла с доверчивого клиента.

    Аттестация ИСПДн может быть обязательной только в том случае, если ваша организация находится в подчинении вышестоящего органа, и эта самая верхушка спустила вам указание аттестовывать все свои ИСПДн.

    Хотя, аттестацию может возжелать и сам начальник организации, ведь аттестат соответствия однозначно подтверждает, что ваши информационные системы полностью соответствуют законодательству как в плане документального обеспечения, так и в плане технической защиты. В этом случае нужно помнить, что одним из условий действительности аттестата является неизменность условий эксплуатации ИСПДн. То есть грубо говоря вы не можете поменять монитор на рабочем месте или установить дополнительное ПО без согласования с органом по аттестации, а это влечет за собой дополнительные затраты. Также стоит помнить, что аттестат соответствия может выдаваться максимум на три года, а потом – все по новой.
    Возвращаясь к нашей основной теме – подготовке к проверке Роскомназдора, хочу сказать, что за все пять лет работы в данной сфере, проверяющие никогда не требовали Аттестат соответствия.

    Вместо заключения

    Букв получилось довольно много и, я думаю, пора закругляться, тем более, что выполнив описанные выше меры, можно сказать, что вы практически готовы к проверке Роскомнадзора. Но все же еще раз постараюсь коротко сформулировать основные этапы, выполнение которых поможет вам с большой долей вероятности получить положительное заключение по итогам проверки и некоторые другие, не вошедшие в статью, моменты:

    На этом, наверное, и закончу. Как видно не так страшны проверки РКН, как могут показаться на первый взгляд. Если у читателей есть какие-либо вопросы или предложения по следующим статьям на тему ПДн, постараюсь на все ответить и все учесть.

    Видео удалено.
    Видео (кликните для воспроизведения).

    Источник: http://habr.com/post/169527/

    Ответственный за обеспечение безопасности персональных данных
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here