Контакты
Подписка
МЕНЮ
Контакты
Подписка

Документы, регламентирующие обработку персональных данных. Комментарии экспертов

Документы, регламентирующие обработку персональных данных. Комментарии экспертов

В рубрику "Защита информации" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Документы, регламентирующие обработку персональных данных

Комментарии экспертов компании ReignVox.

В рамках проведения работ по защите персональных данных необходимо разработать пакет документов, регламентирующих обработку ПДн в информационных системах Компании.

Приведем примерный список документов, которые разрабатываются оператором персональных данных в соответствии с требованиями законодательства, а также юридическое обоснование разработки перечисленных документов.

Документы, регламентирующие обработку ПДн в ИСПДн Компании (для каждой ИСПДн)

  1. Акт классификации информационной системы персональных данных (ИСПДн).

    Постановление Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:

    п.6.   Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных, в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.

    Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 г. №55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных», устанавливает следующий порядок проведения классификации:

    п. 4. Проведение классификации информационных систем включает в себя следующие этапы:
    • сбор и анализ исходных данных по информационной системе;
    • присвоение информационной системе соответствующего класса и его документальное оформление.
  2. Модель угроз безопасности ПДн при их обработке в ИСПДн (для специальных систем).

    Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 г. №55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»:

    п. 16. По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
  3. Определение границ контролируемой зоны ИСПДн.

    Нормативно-методический документ ФСТЭК России «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:

    Одним из основных организационных мероприятий по защите информации является установление контролируемой зоны (КЗ) вокруг ИСПДн.

    Примечание:
    Определение границ КЗ необходимо для разработки ряда документов, в которых учитывается привязка к границам КЗ, в частности:
    • технический паспорт ИСПДн;
    • модель угроз безопасности ПДн при их обработке в ИСПДн.
  4. Технический паспорт ИСПДн.

    Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) в соответствии с требованиями которых разрабатывается технический паспорт ИСПДн установленной формы.

  5. Электронный журнал регистрации обращений пользователей ИСПДн на получение ПДн.

    Постановление Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:

    Запросы пользователей информационной системы на получение персональных данных, включая лиц, доступ которых к персональным данным, необходим для выполнения служебных (трудовых) обязанностей, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица.
  6. Регламент разграничения прав доступа.

    Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К):

    В организации должна быть разработана соответствующая система доступа персонала к сведениям конфиденциального характера.
    Доступ к информации исполнителей (пользователей, обслуживающего персонала) осуществляется в соответствии с разрешительной системой допуска исполнителей к документам и сведениям конфиденциального характера, действующей в организации.
  7. Приказ о назначении администратора безопасности ИСПДн.
  8. Руководство администратора ИСПДн.

    Методический документ ФСТЭК «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:

    Описание порядка установки, настройки, конфигурирования и администрирования средств антивирусной защиты, а также порядка действий в случае выявления факта вирусной атаки или иных нарушений требований по защите от программно-математических воздействий должны быть включены в руководство администратора безопасности информации в ИСПДн.
  9. Руководство пользователя ИСПДн.
  10. Приказ об утверждении списка лиц, которым необходим доступ к ПДн, обрабатываемым в ИСПДн, для выполнения служебных (трудовых) обязанностей.

    Постановление Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:

    Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом.
  11. Перечень применяемых средств защиты информации (СЗИ).

    Постановление Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:

    мероприятия по обеспечению безопасности ПДн при их обработке в информационных системах включают в себя:
    • проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
    • учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных.
  12. Перечень эксплуатационной и технической документации применяемых СЗИ(правовое обоснование см. в п.11).
  13. Перечень носителей ПДн(правовое обоснование см. в п.11).
  14. Заключение о готовности СЗИ к эксплуатации(правовое обоснование см. в п.11).

Документы, регламентирующие обработку ПДн в компании

  1. Положение о защите персональных данных в компании.
  2. Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн.

    Методический документ ФСТЭК «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:

    При подготовке документации по вопросам обеспечения безопасности ПДн при их обработке в ИСПДн и эксплуатации СЗПДн в обязательном порядке разрабатываются:
    • положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн;
    • требования по обеспечению безопасности ПДн при обработке в ИСПДн;
    • должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн;
    • рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации.
  3. Должностные инструкции персоналу в части обеспечения безопасности ПДн при их обработке в ИСПДн(правовое обоснование см. в п.2.).
  4. Рекомендации по использованию программных и аппаратных средств защиты(правовое обоснование см. в п.2.).
  5. Положение по организации контроля эффективности защиты информации в компании.

    Методический документ ФСТЭК «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:

    Контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке их обоснованности и эффективности принятых мер. Он может проводиться оператором или на договорной основе сторонними организациями, имеющими лицензии на деятельность по технической защите информации.
  6. Положение об организации режима безопасности помещений, где осуществляется работа с ПДн.

    Методический документ ФСТЭК «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:

    Одним из основных организационных мероприятий по защите информации является организация режима и контроля доступа в помещения, в которых установлены аппаратные средства ИСПДн.

    Постановление Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:

    п.8.Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
  7. Положение о порядке хранения и уничтожения носителей ПДн.

    Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К):

    Носители информации на магнитной (магнитооптической), оптической и бумажной основе должны учитываться, храниться и уничтожаться в подразделениях организации в установленном порядке.
  8. Формы учета для организации обработки ПДн (шаблоны, бланки).

    Формы учета необходимы для организации взаимодействия с субъектами персональных данных и уполномоченным органом по защите прав субъектов персональных данных.
    При разработке форм руководствоваться требованиями ФЗ-152, Трудового Кодекса РФ.

  9. Отчет об обследования информационных систем компании.

    Методический документ ФСТЭК «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:

    Порядок организации обеспечения безопасности ПДн в ИСПДн должен предусматривать оценку обстановки, в рамках которой проводится определение состава, содержания и местонахождения ПДн подлежащих защите.
  10. Перечень сведений конфиденциального характера.

    Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К):

    В организации должен быть документально оформлен перечень сведений конфиденциального характера, подлежащих защите в соответствии с нормативно-правовыми актами.
  11. Приказ о назначении структурного подразделения или должностного лица, ответственного за обеспечение безопасности ПДн.

    Постановление Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:

    п.13.Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.

    СТР-К:

    Разработка мер и обеспечение защиты информации осуществляются подразделениями по защите информации (службами безопасности) или отдельными специалистами, назначенными руководителями организации для проведения таких работ. Разработка мер защиты информации может осуществляться также сторонними организациями, имеющими лицензию на право проведения соответствующих работ.
  12. Копия «Уведомления об обработке ПДн», выписка из реестра операторов ПДн.

    Федеральный закон «О персональных данных» ФЗ-152

    Ст.22. Уведомление об обработке персональных данных» направляется в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор).

    Получение Выписки регламентируется Приказом Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28.03.2008 г. №154 «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных»:

    п. 17.Операторы, включенные в Реестр, вправе получить выписку из Реестра по письменному обращению в Службу в срок не позднее тридцати дней.
Статья предоставлена компанией ReignVox.

Опубликовано: Сайт ITSec.Ru-2009

Приобрести этот номер или подписаться

Статьи про теме