Типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать:
Сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации
Фамилию, имя, отчество и адрес субъекта персональных данных
Источник получения данных
Специальное описание используемых оператором способов обработки персональных данных
Найти другие ответы на вопросы
Связанные темы
Темы, в которых встречается данный вопрос:
- Организация обработки и обеспечение безопасности персональных данных в ОАО «РЖД»
Правильные ответы на вопрос СДО — «Какие сведения должна содержать типовая форма документа или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы), предполагающие или допускающие включение»:
Все приведённые условия
Сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации
Фамилию, имя, отчество и адрес оператора; фамилию, имя, отчество и адрес субъекта персональных данных; источник получения данных; сроки их обработки; перечень действий с персональными данными, которые будут совершаться в процессе их обработки
Общее описание используемых оператором способов обработки персональных данных
В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;
3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
4) работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных настоящим Кодексом и другими федеральными законами;
5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;
6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами;
работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
9) работники не должны отказываться от своих прав на сохранение и защиту тайны;
10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.
См. все связанные документы >>>
1. Согласно ст. 24 Конституции РФ сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
Приведенные положения соответствуют важнейшим международным актам о защите прав и свобод человека:
— Международному пакту о гражданских и политических правах (1996 г.), ст. 17 которого предусматривает, что никто не может подвергаться произвольному или незаконному вмешательству в его личную и семейную жизнь, произвольным или незаконным посягательствам на неприкосновенность его жилища или тайну его корреспонденции или незаконным посягательствам на его честь и репутацию.
Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств;
— Конвенции о защите прав человека и основных свобод (1950 г.), ст. 8 которой устанавливает, что каждый имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции.
Не допускается вмешательство со стороны публичных властей в осуществление этого права, за исключением случаев, когда такое вмешательство предусмотрено законом и необходимо в демократическом обществе в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц;
— Конвенции Содружества Независимых Государств о правах и основных свободах человека (1995 г.), ст. 9 которой определяет, что каждый человек имеет право на уважение его личной и семейной жизни, на неприкосновенность жилища и тайну переписки.
Не должно быть никакого вмешательства со стороны государственных органов в пользовании этим правом, за исключением случаев, когда такое вмешательство предусмотрено законом и необходимо в демократическом обществе в интересах государственной и общественной безопасности, общественного порядка, охраны здоровья и нравственности населения или защиты прав и свобод других лиц.
2. 19.12.2005 Российская Федерация ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28.01.1981 с поправками, одобренными Комитетом министров Совета Европы 15.06.1999, подписанную от имени Российской Федерации в г. Страсбурге 07.11.2001.
Целью Конвенции является обеспечение на территории каждой из Сторон уважения прав и основных свобод каждого человека независимо от его гражданства или места жительства и в особенности его права на неприкосновенность личной сферы в связи с автоматической обработкой касающихся его персональных данных (защита данных).
Для целей данной Конвенции термин «персональные данные» означает информацию, касающуюся конкретного или могущего быть идентифицированным лица (субъекта данных); термин «автоматизированная база данных» означает любой набор данных, к которым применяется автоматическая обработка; автоматическая обработка персональных данных включает в себя операции, если они полностью или частично осуществляются с применением автоматизированных средств: накопление данных, проведение логических и/или арифметических операций с такими данными, их изменение, стирание, восстановление или распространение; контролер базы данных есть физическое или юридическое лицо, государственный орган, ведомство или любая другая организация, которая в соответствии с национальным правом наделена полномочиями решать, для какой цели создается автоматизированная база данных, какие категории персональных данных будут накапливаться и какие операции с ними будут осуществляться.
3. На 14-м пленарном заседании Межпарламентской Ассамблеи государств — участников СНГ (Постановление от 16.10.1999 N 14-19) принят Модельный закон о персональных данных, который определяет операции с персональными данными и их правовой режим с учетом общепризнанных норм международного права и обязательств по международным договорам.
Целью Закона является защита прав человека в отношении его персональных данных и операций с ними, определение правового режима использования персональных данных и функций их держателей.
В соответствии с этим Законом персональные данные — информация (зафиксированная на материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним. К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном, социальном положении, образовании, профессии, служебном и финансовом положении, состоянии здоровья и прочие.
Материальные носители — материальные объекты (в т.ч. физические поля), в которых персональные данные находят свое отображение в виде символов, образов и сигналов.
Субъект персональных данных (субъект) — человек, к которому относятся соответствующие персональные данные.
Держатель персональных данных (держатель) — органы государственной власти и органы местного самоуправления, юридические и физические лица, осуществляющие действия с персональными данными на законных основаниях.
Действия (операции) держателя с персональными данными — сбор, хранение, уточнение, передача, блокирование, обезличивание и уничтожение персональных данных.
Сбор персональных данных — документально оформленная процедура получения держателем персональных данных от субъектов этих данных.
Передача персональных данных — предоставление держателем персональных данных третьим лицам в соответствии с законом и международными договорами.
Трансграничная передача персональных данных — передача держателем персональных данных этих данных держателям, которые находятся под юрисдикцией другого государства.
Уточнение персональных данных — оперативное внесение изменений в персональные данные в соответствии с процедурами, установленными национальным законодательством.
Блокирование персональных данных — временное прекращение передачи, уточнения и уничтожения персональных данных.
Уничтожение персональных данных — действия держателя персональных данных по приведению последних в состояние, не позволяющее восстановить их содержание.
Обезличивание персональных данных — изъятие из персональных данных той их части, которая позволяет отождествить их с конкретным человеком.
База персональных данных — упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных).
Режим конфиденциальности персональных данных — нормативно установленные правила, определяющие ограничения доступа, передачи и условия хранения персональных данных.
Как видим, нормы комментируемой главы о защите персональных данных работника полностью соответствуют международным нормам и приняты в соответствии с обязательствами Российской Федерации.
4. Режим защиты информации устанавливается:
— в отношении сведений, отнесенных к государственной тайне — уполномоченными органами на основании Закона о государственной тайне;
— в отношении конфиденциальной документированной информации — собственником информационных ресурсов или уполномоченным лицом;
— в отношении персональных данных — Законом о персональных данных, ТК и иными нормативными правовыми актами.
5. В соответствии с указанным Законом о персональных данных персональные данные есть любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных):
— оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
— обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
— автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
— распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
— предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
— блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
— уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
— обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
— информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
— трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
6. В комментируемой статье законодатель определяет общие требования при обработке персональных данных работника и гарантии их защиты со стороны работодателя и его представителей в целях обеспечения прав и свобод человека и гражданина.
В п. 1 этой статьи сформулированы цели, для осуществления которых возможна обработка персональных данных — обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, получении образования, обучении и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы и обеспечение сохранности имущества.
В иных целях обработка указанных данных не допускается.
7. Исходя из названных целей, предусматривается, что при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК и иными федеральными законами.
К иным федеральным законам, о которых упоминается в ст. 86, относится прежде всего Закон о персональных данных, который регулирует отношения, связанные с обработкой персональных данных. Далее следует назвать Закон о государственной гражданской службе, где названы документы, представляемые гражданином при поступлении на государственную службу (ст. 26), и порядок ведения личных дел государственных служащих (ст. 42).
В соответствии с указанным Законом издан Указ Президента РФ от 30.05.2005 N 609, которым утверждено Положение о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела.
В этом Положении определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных государственного гражданского служащего Российской Федерации (далее — гражданский служащий), а также ведения его личного дела в соответствии со ст. 42 Закона о государственной гражданской службе.
Под персональными данными гражданского служащего понимаются сведения о фактах, событиях и обстоятельствах жизни гражданского служащего, позволяющие идентифицировать его личность и содержащиеся в личном деле гражданского служащего либо подлежащие включению в его личное дело в соответствии с вышеупомянутым Положением.
Представитель нанимателя в лице руководителя государственного органа либо его представителя, осуществляющих полномочия нанимателя от имени Российской Федерации или субъекта Российской Федерации (далее — представитель нанимателя), обеспечивает защиту персональных данных гражданских служащих, содержащихся в их личных делах, от неправомерного их использования или утраты.
Представитель нанимателя определяет лиц, как правило, из числа работников кадровой службы государственного органа, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных гражданских служащих в государственном органе и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.
При получении, обработке, хранении и передаче персональных данных гражданского служащего кадровая служба государственного органа обязана соблюдать следующие требования:
а) обработка персональных данных гражданского служащего осуществляется в целях обеспечения соблюдения Конституции РФ, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия гражданскому служащему в прохождении государственной гражданской службы Российской Федерации (далее — гражданская служба), в обучении и должностном росте, обеспечения личной безопасности гражданского служащего и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества государственного органа, учета результатов исполнения им должностных обязанностей;
б) персональные данные следует получать лично у гражданского служащего. В случае возникновения необходимости получения персональных данных гражданского служащего у третьей стороны следует известить об этом гражданского служащего заранее, получить его письменное согласие и сообщить гражданскому служащему о целях, предполагаемых источниках и способах получения персональных данных;
в) запрещается получать, обрабатывать и приобщать к личному делу гражданского служащего не установленные федеральными законами персональные данные о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в т.ч. в профессиональных союзах;
г) при принятии решений, затрагивающих интересы гражданского служащего, запрещается основываться на персональных данных гражданского служащего, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;
д) защита персональных данных гражданского служащего от неправомерного их использования или утраты обеспечивается за счет средств государственного органа в порядке, установленном федеральными законами;
е) передача персональных данных гражданского служащего третьей стороне не допускается без письменного согласия гражданского служащего, за исключением случаев, установленных федеральным законом.
В целях обеспечения защиты персональных данных, хранящихся в личных делах гражданских служащих, гражданские служащие имеют право:
а) получать полную информацию о своих персональных данных и об обработке этих данных (в т.ч. автоматизированной);
б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные гражданского служащего, за исключением случаев, предусмотренных федеральным законом;
в) требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением вышеназванного Закона. Гражданский служащий при отказе представителя нанимателя или уполномоченного им лица исключить или исправить персональные данные гражданского служащего имеет право заявить в письменной форме представителю нанимателя или уполномоченному им лицу о своем несогласии, обосновав соответствующим образом такое несогласие. Персональные данные оценочного характера гражданский служащий имеет право дополнить заявлением, выражающим его собственную точку зрения;
г) требовать от представителя нанимателя или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные гражданского служащего, обо всех произведенных в них изменениях или исключениях из них;
д) обжаловать в суд любые неправомерные действия или бездействие представителя нанимателя или уполномоченного им лица при обработке и защите персональных данных гражданского служащего.
Гражданский служащий, виновный в нарушении норм, регулирующих получение, обработку, хранение и передачу персональных данных другого гражданского служащего, несет ответственность в соответствии с настоящим Федеральным законом и другими федеральными законами.
8. Комментируемая статья предусматривает общий порядок получения персональных данных непосредственно от самого работника. Запрещены, как правило, получение и обработка персональных данных работника о его убеждениях (политических, религиозных и иных), частной жизни, членстве в общественных объединениях или профсоюзной деятельностью. При обработке персональных данных работника работодатель обязан следовать требованиям, установленным ст. 86 ТК, в частности:
— получать и обрабатывать персональные данные работников в соответствии с требованиями законов и других нормативных правовых актов и только для целей, установленных комментируемой статьей;
— получать персональные данные исключительно у работника. В том случае, если персональные данные работника могут быть получены только у третьих лиц, то необходимо уведомить об этом работника и получить его письменное согласие.
Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных законом, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные законом права субъекта персональных данных;
5) источник получения персональных данных.
Оператор освобождается от обязанности предоставить субъекту персональных данных вышеуказанные сведения в случаях, если:
1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.
9. Важной обязанностью работодателя является обязанность обеспечить за счет собственных средств защиту персональных данных от неправомерного использования и утраты. С этой целью работодатель обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законодательством и принятыми в соответствии с ним нормативными правовыми актами. Работодатель самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим законодательством и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам могут, в частности, относиться:
1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных законодательству и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения работодателем возложенных на него обязанностей;
6) ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в т.ч. с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
10. Работодатель с согласия работника вправе поручить обработку его персональных данных (ведение кадрового, бухгалтерского учета и проч.) другому лицу. Однако это не освобождает его от ответственности перед работником (ч. 3 ст. 6 Закона о персональных данных). Отметим, что ответственность перед работником за действия указанного лица несет работодатель (ч. 5 ст. 6 Закона о персональных данных).
11. Согласие работника на обработку персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес работника; реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе;
2) при получении согласия от представителя работника — его фамилию, имя, отчество, адрес; реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе; реквизиты доверенности или иного документа, подтверждающего полномочия представителя;
3) наименование или фамилию, имя, отчество и адрес работодателя;
4) цель обработки персональных данных;
5) перечень персональных данных, которые подлежат обработке;
6) фамилию, имя, отчество и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации;
7) перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки;
срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия;
9) подпись работника.
12. Согласие на обработку персональных данных в некоторых случаях должно быть получено не только у работника, но и у лица, ищущего работу. На практике нередки случаи, когда от имени лица, ищущего работу, действует кадровое агентство, с которым он заключил соответствующий договор, либо соискатель сам разместил свое резюме в сети Интернет, сделав его доступным неограниченному кругу лиц, тогда согласие на обработку его персональных данных не требуется.
Согласие не требуется и в тех случаях, когда:
— обработка необходима в целях исполнения заключенного с работником договора или возложенных на работодателя обязанностей, функций и полномочий;
— это предусмотрено коллективным договором, соглашением, а также локальными актами работодателя, принятыми в установленном ст. 372 ТК порядке;
— обязанность по обработке предусмотрена законодательством, в т.ч. для опубликования и размещения персональных данных работников в сети Интернет;
— обработка сведений о состоянии здоровья работника касается возможности выполнения им трудовой функции;
— обработка персональных данных специальных категорий проводится органами прокуратуры при проведении надзорных мероприятий;
— обработка персональных данных близких родственников работника проводится в объеме, предусмотренном личной карточкой, а также при получении алиментов, оформлении социальных выплат, допуска к государственной тайне и др.;
— обработка персональных данных связана с выполнением работником своих трудовых обязанностей;
— обработка персональных данных проводится в целях организации работодателем пропускного режима на территорию его служебных зданий и помещений;
— персональные данные работника передаются третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных федеральными законами;
— обработка персональных данных осуществляется в отношении уволенных работников, например, в рамках бухгалтерского и налогового учета.
13. Обработка персональных данных может производиться без использования средств автоматизации. Порядок такой обработки персональных данных определяется Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 N 687.
Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в т.ч. сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии).
При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать: сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации; имя (наименование) и адрес оператора; фамилию, имя, отчество и адрес субъекта персональных данных; источник получения персональных данных; сроки обработки персональных данных; перечень действий с персональными данными, которые будут совершаться в процессе их обработки; общее описание используемых оператором способов обработки персональных данных;
б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку персональных данных;
в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.
При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:
а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;
б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;
в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.
При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
Обработка персональных данных, проводимая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются работодателем.
14. Законодательством предусмотрена возможность обработки персональных данных с использованием средств автоматизации. Закон о персональных данных определяет автоматизированную обработку персональных данных как обработку данных с помощью средств вычислительной техники. Необходимо учитывать, что обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержались в информационной системе персональных данных либо были извлечены из нее.
Персональные данные работников обрабатывает уполномоченный на это представитель работодателя. Следовательно, он должен руководствоваться правилами, предусмотренными для обработки персональных данных без использования средств автоматизации.
В равной мере ст. 86 ТК запрещает работодателю при принятии решений, затрагивающих интересы работника, основываться на его персональных данных, полученных исключительно в результате их автоматизированной обработки или от электронных носителей информации.
Наконец, комментируемая статья Кодекса предусматривает обязанность работодателя обеспечить защиту персональных данных от их неправомерного использования или утраты и устанавливает, что работники не должны отказываться от своих прав на сохранение и защиту тайны.
Положения ст. 86 получают дальнейшее развитие в последующих статьях этой главы.
По результатам проведения проверок регуляторами всё больше организаций теряют статус операторов персональных данных и тем самым, не имеют права осуществлять деятельность по сбору, обработке, хранению и передаче персональных данных. С целью функционирования информационной системы персональных данных согласно действующим нормативно-правовым актам, в первую очередь, необходимо определить и документально утвердить основные положения, правила и процедуры обработки и защиты персональных данных в организации.
Требования, предъявляемые оператору к обработке и защите персональных данных, отражены в следующих нормативно-правовых актах, регламентирующих создание организационно-распорядительной документации (ОРД) организации:
Неотъемлемой частью системы защиты информации является комплекс организационных мероприятий, задокументированный в локальных нормативных актах. Комплекс ОРД должен в полном объеме учитывать положения нормативно-правовых актов в области защиты персональных данных.
Федеральный закон «О персональных данных» от 27 июля 2006 N 152-ФЗ определяет следующие требования к составу ОРД:
Локальный нормативный акт | Требование |
---|---|
Соглашение о соблюдении безопасности персональных данных |
Ст.6 п.3 Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона. |
Обязательство о неразглашении |
Ст.7 Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. |
Согласие субъекта на обработку персональных данных |
Ст.9 п.1 Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором. |
Регламент по трансграничной передаче данных. Приложения к документу: Протокол заседания комиссии по определению возможности осуществления трансграничной передачи персональных данных. | Ст.12 |
Регламент реагирования на обращения и запросы субъектов персональных данных. Приложения к документу: — запрос субъекта персональных данных на получение информации, касающейся обработки его персональных данных; — запрос субъекта персональных данных на предоставление доступа к своим персональным данным; — запрос субъекта персональных данных в случае выявления недостоверных персональных данных; — запрос субъекта персональных данных в случае выявления неправомерных действий с персональными данными; — запрос субъекта персональных данных в случае отзыва согласия на обработку персональных данных. |
Ст.14 |
Приказ о назначении ответственных за организацию обработки и обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных |
Ст.18.1 п.1 Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться: 1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных; |
Положение об обработке персональных данных, учитывающее: — состав и (или) перечень ПДн; — цели сбора ПДн; — виды носителей ПДн; — технологию обработки и хранения ПДн; — список лиц, имеющих доступ; — ответственность за разглашение ПДн. Политика обработки персональных данных (размещается на сайте организации) |
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; |
Технический проект на систему защиты ИСПДн. План мероприятий по обеспечению безопасности персональных данных. |
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона; |
Положение о комиссии по защите персональных данных. Политика защиты персональных данных (Политика обеспечения безопасности персональных данных). Регламент проведения контрольных мероприятий. Приложения к документу: — план внутренних проверок соблюдения требований законодательства в области персональных данных; — план пересмотра внутренних нормативных актов по персональным данным; — протокол пересмотра внутренних нормативных актов по персональным данным; — протокол проведения внутренней проверки на соблюдение требований законодательства в области персональных данных; — акт пересмотра внутренних нормативных актов по персональным данным; — акт проведения внутренней проверки на соблюдение требований законодательства в области персональных данных. |
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора; |
Положение об оценке вреда, который может быть причинен субъектам персональных данных, с приложением: — инструкция по оценке вреда; — акт оценки вреда (при наличии). |
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом; |
Инструкция администратора безопасности. Регламент проведения контрольных мероприятий. Приложения к документу: — план внутренних проверок соблюдения требований законодательства в области персональных данных; — план пересмотра внутренних нормативных актов по персональным данным; — протокол пересмотра внутренних нормативных актов по персональным данным; — протокол проведения внутренней проверки на соблюдение требований законодательства в области персональных данных; — акт пересмотра внутренних нормативных актов по персональным данным; — акт проведения внутренней проверки на соблюдение требований законодательства в области персональных данных. |
6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников. |
Регламент взаимодействия с уполномоченным регулятором в области обработки персональных данных, включая журнал учета обращений и ответов на обращения. |
Ст.18.1 п.4 Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных |
Модель угроз безопасности ПДн. Перечень ИСПДн. |
Ст.19 п.2 Обеспечение безопасности персональных данных достигается, в частности: 1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных; |
Технический проект на систему защиты персональных данных. Акт определения уровня защищенности персональных данных. Приказ о назначении комиссии по определению уровня защищенности персональных данных. |
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; |
Перечень средств защиты информации (Технический проект на систему защиты персональных данных) | 3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; |
Акт ввода в опытную эксплуатацию системы защиты информации в информационной системе персональных данных. Акт о завершении опытной эксплуатации системы защиты информации в информационной системе персональных данных. Акт о вводе информационной системы персональных данных в промышленную эксплуатацию. |
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных; |
Регламент учета, хранения и уничтожения носителей персональных данных, содержащий: — Правила и процедуры учета, хранения и уничтожения бумажных и машинных носителей информации; — журнал учета машинных носителей; — акты установки (ввода в эксплуатацию) машинных носителя(ей) (при наличии); — акты уничтожения носителей (при наличии); — акты восстановления машинных носителя(ей) персональных данных (при наличии); — акты приема-передачи носителя(ей) персональных данных (при наличии). |
5) учетом машинных носителей персональных данных; |
Положение о выявлении, ликвидации и предотвращении инцидентов безопасности персональных данных, с приложением: — журнал учета инцидентов; — акты выявления инцидентов (при наличии); — акты устранения инцидентов (при наличии); — акт проведения расследования инцидента безопасности, связанного с персональными данными. |
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер; |
Регламент резервного копирования и восстановления персональных данных. Приложения к документу: — план резервного копирования персональных данных; — журнал восстановления данных учета создания и использования резервных копий персональных данных. |
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; |
Матрица доступа к информационным ресурсам ИСПДн. Инструкция по защите информации о событиях безопасности в информационной системе персональных данных. Регламент проведения контрольных мероприятий. Приложения к документу: — план внутренних проверок соблюдения требований законодательства в области персональных данных; — план пересмотра внутренних нормативных актов по персональным данным; — протокол пересмотра внутренних нормативных актов по персональным данным; — протокол проведения внутренней проверки на соблюдение требований законодательства в области персональных данных; — акт пересмотра внутренних нормативных актов по персональным данным; — акт проведения внутренней проверки на соблюдение требований законодательства в области персональных данных. |
установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; 9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных. |
Регламент взаимодействия с уполномоченным регулятором в области обработки персональных данных, включая журнал учета обращений и ответов на обращения |
Ст.20 п.4 Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса. |
Уведомление об обработке персональных данных |
Ст.21 п.1 Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. |
Инструкция лица, ответственного за организацию обработки персональных данных. Регламент проведения контрольных мероприятий. Приложения к документу: — план внутренних проверок соблюдения требований законодательства в области персональных данных; — план пересмотра внутренних нормативных актов по персональным данным; — протокол пересмотра внутренних нормативных актов по персональным данным; — протокол проведения внутренней проверки на соблюдение требований законодательства в области персональных данных; — акт пересмотра внутренних нормативных актов по персональным данным; — акт проведения внутренней проверки на соблюдение требований законодательства в области персональных данных. Регламент реагирования на обращения и запросы субъектов персональных данных. Приложения к документу: — запрос субъекта персональных данных на получение информации, касающейся обработки его персональных данных; — запрос субъекта персональных данных на предоставление доступа к своим персональным данным; — запрос субъекта персональных данных в случае выявления недостоверных персональных данных; — запрос субъекта персональных данных в случае выявления неправомерных действий с персональными данными; — запрос субъекта персональных данных в случае отзыва согласия на обработку персональных данных. |
Ст.22.1 4 Лицо, ответственное за организацию обработки персональных данных, в частности, обязано: 1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных; 2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных; 3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов. |
ОРД по ПДн без использования средств автоматизации
Постановление Правительства Российской Федерации от 15 сентября 2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» определяет следующие требования к составу ОРД:
Локальный нормативный акт | Требование |
---|---|
Положение об обеспечении сохранности и учета носителей персональных данных, работа с которыми осуществляется без использования средств автоматизации, с приложением: — акты уничтожения носителей персональных данных (при наличии); — акты восстановления носителей персональных данных (при наличии); — акты приема-передачи носителей персональных данных (при наличии). |
В целом для документа |
Регламент проведения контрольных мероприятий. Приложения к документу: — план внутренних проверок соблюдения требований законодательства в области персональных данных; — план пересмотра внутренних нормативных актов по персональным данным; — протокол пересмотра внутренних нормативных актов по персональным данным; — протокол проведения внутренней проверки на соблюдение требований законодательства в области персональных данных; — акт пересмотра внутренних нормативных актов по персональным данным; — акт проведения внутренней проверки на соблюдение требований законодательства в области персональных данных. |
Ст.6 Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии). |
Инструкции по заполнению бумажных форм документов, предусматривающих внесение в них персональных данных. |
Ст.7 При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться следующие условия: а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных; б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку персональных данных; в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных; г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы. |
Перечень лиц, допущенных к обработке персональных данных. |
П.13 Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. |
ОРД по ПДн в информационных системах.
Постановление Правительства Российской Федерации от 1.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» определяет следующие требования к составу ОРД:
Локальный нормативный акт | Требование |
---|---|
Техническое задание на систему защиты персональных данных. Технический проект на систему защиты персональных данных. Модель угроз безопасности ПДн. Акт определения уровней защищенности персональных данных. Приказ о назначении комиссии по определению уровня защищенности персональных данных. |
П.2 Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных». Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах. |
Инструкция администратора безопасности. | П.3 Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее — оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее — уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе. |
Положение о режиме обеспечения безопасности помещений с ИСПДн, с приложениями: — акт установления границы контролируемой зоны; — перечень помещений, в которых осуществляется обработка персональных данных; — журнал учета доступа в помещения, в которых осуществляется обработка персональных данных (в случае отсутствия СКУД). |
П.13 а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения. |
Регламент учета, хранения и уничтожения носителей персональных данных, содержащий: — правила и процедуры учета, хранения и уничтожения бумажных и машинных носителей информации; — журнал учета машинных носителей; — акты установки (ввода в эксплуатацию) машинных носителя(ей) (при наличии); — акты уничтожения носителей (при наличии); — акты восстановления машинных носителя(ей) персональных данных (при наличии); — акты приема-передачи носителя(ей) персональных данных (при наличии). Положение об обеспечении сохранности и учета носителей персональных данных, работа с которыми осуществляется без использования средств автоматизации, с приложением: — акты уничтожения носителей персональных данных (при наличии); — акты восстановления носителей персональных данных (при наличии); — акты приема-передачи носителей персональных данных (при наличии). |
б) обеспечение сохранности носителей персональных данных. |
Перечень лиц, доступ которым к персональным данным, обрабатываемым в информационной системе персональных данных необходим для выполнения служебных (трудовых) обязанностей. | в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей. |
Сертификаты соответствия требованиям безопасности средств защиты информации (рекомендуется хранить в печатном виде комплектно с дистрибутивами СрЗИ). | г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. |
Приказ о назначении ответственных за организацию обработки и обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных. |
3УЗ П.14 Необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе. |
Инструкция администратора безопасности ИСПДн. |
2УЗ П.15 Необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей. |
Инструкция администратора безопасности ИСПДн Приказ о создании структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе. |
1УЗ П.16 а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе; б) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности. |
Регламент проведения контрольных мероприятий. Приложения к документу: — план внутренних проверок соблюдения требований законодательства в области персональных данных; — план пересмотра внутренних нормативных актов по персональным данным; — протокол пересмотра внутренних нормативных актов по персональным данным; — протокол проведения внутренней проверки на соблюдение требований законодательства в области персональных данных; — акт пересмотра внутренних нормативных актов по персональным данным; — акт проведения внутренней проверки на соблюдение требований законодательства в области персональных данных. |
П.17 Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом). |
Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяет следующие требования к комплекту ОРД:
Локальный нормативный акт | Требование |
---|---|
Регламент проведения контрольных мероприятий. Приложения к документу: — план внутренних проверок соблюдения требований законодательства в области персональных данных; — план пересмотра внутренних нормативных актов по персональным данным; — протокол пересмотра внутренних нормативных актов по персональным данным; — протокол проведения внутренней проверки на соблюдение требований законодательства в области персональных данных; — акт пересмотра внутренних нормативных актов по персональным данным; — акт проведения внутренней проверки на соблюдение требований законодательства в области персональных данных. |
П.6 Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года. |
Инструкция администратору безопасности ИСПДн. Инструкция пользователю ИСПДн. Инструкция по организации парольной защиты в информационной системе персональных данных. |
П.8.1 Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности). |
Инструкция администратору безопасности ИСПДн. Положение о разрешительной системе доступа к ресурсам ИСПДн. Перечень лиц, допущенных к обработке ПДн. Матрица доступа к информационным ресурсам ИСПДн. |
П.8.2 Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил. |
Инструкция администратору безопасности ИСПДн. Перечень программного обеспечения и (или) его компонентов, разрешенного к использованию на ПЭВМ, входящих в состав информационной системы персональных данных. |
П.8.3 Меры по ограничению программной среды должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения. |
Инструкция администратору безопасности ИСПДн. Регламент учета, хранения и уничтожения носителей персональных данных, содержащий: — правила и процедуры учета, хранения и уничтожения бумажных и машинных носителей информации; — журнал учета машинных носителей; — акты установки (ввода в эксплуатацию) машинных носителя(ей) (при наличии); — акты уничтожения носителей (при наличии); — акты восстановления машинных носителя(ей) персональных данных (при наличии); — акты приема-передачи носителя(ей) персональных данных (при наличии). |
П.8.4 Меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных. |
Инструкция администратору безопасности ИСПДн Инструкция по защите информации о событиях безопасности в информационной системе персональных данных. |
П.8.5 Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них. |
Инструкция по организации антивирусной защиты в информационной системе персональных данных. |
П.8.6 Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации. |
Инструкция администратору безопасности ИСПДн. |
П.8.7 Меры по обнаружению (предотвращению) вторжений должны обеспечивать обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия. |
Политика контроля (анализа) защищенности информационной системы персональных данных. |
П.8.8 Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных. |
Инструкция администратору безопасности ИСПДн. Инструкция пользователю ИСПДн. Положение о порядке обеспечения безопасности персональных данных с использованием средств криптографической защиты информации. |
П.8.9 Меры по обеспечению целостности информационной системы и персональных данных должны обеспечивать обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных. |
Регламент резервного копирования и восстановления персональных данных. Приложения к документу: — план резервного копирования персональных данных; — журнал восстановления данных учета создания и использования резервных копий персональных данных. Политика безопасной эксплуатации ТС. Политика защиты ПО. |
П.8.10 Меры по обеспечению доступности персональных данных должны обеспечивать авторизованный доступ пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования информационной системы. |
Инструкция администратору безопасности ИСПДн. Инструкция пользователю ИСПДн. Инструкция по организации парольной защиты в информационной системе персональных данных. Матрица доступа к информационным ресурсам ИСПДн. Инструкция по защите информации о событиях безопасности в информационной системе персональных данных. Политика безопасной эксплуатации ТС и политика защиты ПО. Регламент резервного копирования и восстановления персональных данных. Приложения к документу: — план резервного копирования персональных данных; — журнал восстановления данных учета создания и использования резервных копий персональных данных; — инструкция по организации антивирусной защиты в информационной системе персональных данных. |
П.8.11 Меры по защите среды виртуализации должны исключать несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям. |
Положение о режиме обеспечения безопасности помещений с ИСПДн, с приложением: — акт установления границы контролируемой зоны; — перечень помещений, в которых осуществляется обработка персональных данных; — журнал учета доступа в помещения, в которых осуществляется обработка персональных данных (в случае отсутствия СКУД). Политика безопасной эксплуатации ТС. |
П.8.12 Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее — средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей. |
Положение о порядке обеспечения безопасности персональных данных с использованием средств криптографической защиты информации Политика обеспечения сетевой безопасности Инструкция по защите информации о событиях безопасности в информационной системе персональных данных Приказ о назначении ответственных за организацию обработки и обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных Политика защиты ПО Политика безопасной эксплуатации ТС | П.8.13 Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных. |
Перечень лиц, ответственных за выявление инцидентов и реагирование на них. Положение о выявлении, ликвидации и предотвращении инцидентов безопасности персональных данных, с приложением: — журнал учета инцидентов; — акты выявления инцидентов (при наличии); — акты устранения инцидентов (при наличии); — акт проведения расследования инцидента безопасности, связанного с персональными данными. Инструкция пользователю ИСПДн. |
П.8.14 Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов. |
Перечень лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных. Политика управления конфигурацией информационной системы и системы защиты персональных данных. |
П.8.15 Меры по управлению конфигурацией информационной системы и системы защиты персональных данных должны обеспечивать управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений. |
Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» определяет следующие требования к составу ОРД:
Локальный нормативный акт | Требование |
---|---|
Инструкция администратору ИСПДн. Инструкция пользователю ИСПдн. Положение о порядке обеспечения безопасности персональных данных с использованием средств криптографической защиты информации. |
П.4 Эксплуатация СКЗИ должна осуществляться в соответствии с документацией на СКЗИ и требованиями, установленными в настоящем документе, а также в соответствии с иными нормативными правовыми актами, регулирующими отношения в соответствующей области. |
Положение о режиме обеспечения безопасности помещений с ИСПДн, с приложением: — акт установления границы контролируемой зоны; — перечень помещений, в которых осуществляется обработка персональных данных, журнал учета доступа в помещения, в которых осуществляется обработка персональных данных (в случае отсутствия СКУД). |
П.6 Для выполнения требования, указанного в подпункте «а» пункта 5 настоящего документа, необходимо обеспечение режима, препятствующего возможности неконтролируемого проникновения или пребывания в помещениях, где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ (далее — Помещения), лиц, не имеющих права доступа в Помещения, которое достигается путем: а) оснащения Помещений входными дверьми с замками, обеспечения |
Положение о режиме обеспечения безопасности помещений с ИСПДн, с приложением: — акт установления границы контролируемой зоны; — перечень помещений, в которых осуществляется обработка персональных данных, журнал учета доступа в помещения, в которых осуществляется обработка персональных данных (в случае отсутствия СКУД). |
б) утверждения правил доступа в Помещения в рабочее и нерабочее время, а также в нештатных ситуациях. |
Перечень лиц, имеющих право доступа в помещения с элементами ИСПДн | в) утверждения перечня лиц, имеющих право доступа в Помещения. |
Регламент учета, хранения и уничтожения носителей персональных данных, содержащий: — правила и процедуры учета, хранения и уничтожения бумажных и машинных носителей информации; — журнал учета машинных носителей; — акты установки (ввода в эксплуатацию) машинных носителя(ей) (при наличии); — акты уничтожения носителей (при наличии); — акты восстановления машинных носителя(ей) персональных данных (при наличии); — акты приема-передачи носителя(ей) персональных данных (при наличии). |
П.7 Для выполнения требования, указанного в подпункте «б» пункта 5 настоящего документа, необходимо: а) осуществлять хранение съемных машинных носителей персональных |
Регламент учета, хранения и уничтожения носителей персональных данных, содержащий: — правила и процедуры учета, хранения и уничтожения бумажных и машинных носителей информации; — журнал учета машинных носителей; — акты установки (ввода в эксплуатацию) машинных носителя(ей) (при наличии); — акты уничтожения носителей (при наличии); — акты восстановления машинных носителя(ей) персональных данных (при наличии); — акты приема-передачи носителя(ей) персональных данных (при наличии). |
-б) осуществлять поэкземплярный учет машинных носителей персональных данных, который достигается путем ведения журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров. |
— перечень лиц, доступ которым к персональным данным, обрабатываемым в информационной системе персональных данных необходим для выполнения служебных (трудовых) обязанностей. |
8. Для выполнения требования, указанного в подпункте «в» пункта 5 настоящего документа, необходимо: а) разработать и утвердить документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей. |
Регламент проведения контрольных мероприятий. Приложения к документу: — план внутренних проверок соблюдения требований законодательства в области персональных данных; — план пересмотра внутренних нормативных актов по персональным данным; — протокол пересмотра внутренних нормативных актов по персональным данным; — протокол проведения внутренней проверки на соблюдение требований законодательства в области персональных данных; — акт пересмотра внутренних нормативных актов по персональным данным; — акт проведения внутренней проверки на соблюдение требований законодательства в области персональных данных. |
б) поддерживать в актуальном состоянии документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей. |
Модель угроз безопасности ПДн. Возможности нарушителей, которые могут использоваться при создании способов, подготовке и проведении атак. |
П.9 Для выполнения требования, указанного в подпункте «г» пункта 5 настоящего документа, необходимо для каждого из уровней защищенности персональных данных применение СКЗИ соответствующего класса, позволяющих обеспечивать безопасность персональных данных при реализации целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых СКЗИ персональных данных или создания условий для этого (далее — атака), которое достигается путем: а) получения исходных данных для формирования совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак; б) формирования и утверждения руководителем оператора совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, и определение на этой основе и с учетом типа актуальных угроз требуемого класса СКЗИ. |
Приказ о назначении ответственных за организацию обработки и обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных. |
П.17 Для выполнения требования, указанного в пункте 16 настоящего документа, необходимо назначение обладающего достаточными навыками должностного лица (работника) оператора ответственным за обеспечение безопасности персональных данных в информационной системе. |
Перечень лиц, допущенных к содержанию электронного журнала сообщений Инструкция администратору ИСПДн. |
П.20 Для выполнения требования, указанного в пункте 19 настоящего документа, необходимо: а) утверждение руководителем оператора списка лиц, допущенных к содержанию электронного журнала сообщений, и поддержание указанного списка в актуальном состоянии. |
Политика защиты ПО Политика безопасной эксплуатации ТС Инструкция администратору ИСПДн. |
б) обеспечение информационной системы автоматизированными средствами, регистрирующими запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам в электронном журнале сообщений; в) обеспечение информационной системы автоматизированными средствами, исключающими доступ к содержанию электронного журнала сообщений лиц, не указанных в утвержденном руководителем оператора списке лиц, допущенных к содержанию электронного журнала сообщений; г) обеспечение периодического контроля работоспособности указанных в подпунктах «б» и «в» настоящего пункта автоматизированных средств (не реже 1 раза в полгода). |
Матрица доступа к информационным ресурсам ИСПДн. Инструкция администратора ИСПДн. Приказ о назначении лица, ответственного за периодический контроль ведения электронного журнала безопасности и соответствия отраженных в нем полномочий сотрудников оператора их должностным обязанностям. |
П.23 Для выполнения требования, указанного в подпункте «а» пункта 22 настоящего документа, необходимо: а) обеспечение информационной системы автоматизированными средствами, позволяющими автоматически регистрировать в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе; б) отражение в электронном журнале безопасности полномочий сотрудников оператора персональных данных по доступу к персональным данным, содержащимся в информационной системе. Указанные полномочия должны соответствовать должностным обязанностям сотрудников оператора; в) назначение оператором лица, ответственного за периодический контроль ведения электронного журнала безопасности и соответствия отраженных в нем полномочий сотрудников оператора их должностным обязанностям (не реже 1 раза в месяц). |
Приказ о создании структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе. |
П.24 Для выполнения требования, указанного в подпункте «б» пункта 22 настоящего документа, необходимо: а) провести анализ целесообразности создания отдельного структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе; б) создать отдельное структурное подразделение, ответственное за обеспечение безопасности персональных данных в информационной системе, либо возложить его функции на одно из существующих структурных подразделений. |
Положение о режиме обеспечения безопасности помещений с ИСПДн, с приложением: — акт установления границы контролируемой зоны; — перечень помещений, в которых осуществляется обработка персональных данных, журнал учета доступа в помещения, в которых осуществляется обработка персональных данных (в случае отсутствия СКУД). |
П.25 Для выполнения требования, указанного в подпункте «а» пункта 5 настоящего документа, для обеспечения 1 уровня защищенности необходимо: а) оборудовать окна Помещений, расположенные на первых и (или) последних этажах зданий, а также окна Помещений, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в Помещения посторонних лиц, металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения; б) оборудовать окна и двери Помещений, в которых размещены серверы информационной системы, металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения. |
Согласно СТР-К (Специальные требования и рекомендации по технической защите конфиденциальной информации), который носит рекомендательный характер, определены следующие требования к составу ОРД:
Локальный нормативный акт | Требование |
---|---|
Технический паспорт ИСПДн. | |
Положение о порядке организации и проведения работ по защите конфиденциальной информации. |
П.3.5 |
Перечень сведений конфиденциального характера. | П.3.6 |
Техническое задание на создание системы защиты информации. | П.3.7 |
Перечень сведений конфиденциального характера. Модель угроз безопасности ПДн. Модель нарушителя. Приказ об определении границ контролируемой зоны информационной системы. Акт классификации АС. |
П.3.8 |
Перечень сведений конфиденциального характера. | 3.10 |
Акт классификации АС. | 3.15 |
Технический проект на систему защиты информации. Положение о режиме обеспечения безопасности помещений с ИСПДн, с приложением: — акт установления границы контролируемой зоны; — перечень помещений, в которых осуществляется обработка персональных данных, журнал учета доступа в помещения, в которых осуществляется обработка персональных данных (в случае отсутствия СКУД). Регламент учета, хранения и уничтожения носителей персональных данных, содержащий: — правила и процедуры учета, хранения и уничтожения бумажных и машинных носителей информации; — журнал учета машинных носителей; — акты установки (ввода в эксплуатацию) машинных носителя(ей) (при наличии); — акты уничтожения носителей (при наличии); — акты восстановления машинных носителя(ей) персональных данных (при наличии), акты приема-передачи носителя(ей) персональных данных (при наличии). Положение о разрешительной системе доступа к ресурсам ИСПДн. Перечень лиц, допущенных к обработке ПДн. Матрица доступа к информационным ресурсам ИСПДн. Приказ о назначении ответственных за организацию обработки и обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных. Приказ о создании структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе …(весь пакет ОРД) |
3.16 |
Техническое задание | 3.17 |
Пояснительная записка с изложением решений по комплексу принимаемых организационных и технических мер, составу средств защиты информации с указанием их соответствия требованиям ТЗ. Технически проект на систему защиты информации. Технический паспорт ИСПДн. Инструкция администратора безопасности ИСПДн. Инструкция пользователя ИСПДн. |
3.18 |
Акт ввода в опытную эксплуатацию системы защиты информации в информационной системе персональных данных. Акт о завершении опытной эксплуатации системы защиты информации в информационной системе персональных данных. Акт о вводе информационной системы персональных данных в промышленную эксплуатацию. |
3.19 |
Акты внедрения средств защиты информации. Протоколы аттестационных испытаний и заключение по их результатам. Аттестат соответствия объекта информатизации. |
3.20 |
Приказ на проектирование системы защиты информации. Приказ о назначении лиц, ответственных за проектирование системы защиты информации. Приказ о назначении ответственных за организацию обработки и обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных. Приказ на обработку в АС конфиденциальной информации. |
3.21 |
Что в итоге с ОРД.
На основании вышеизложенного можно сделать вывод о том, что к основным организационно-распорядительным документам, регламентирующим процесс обработки и защиты информации, относятся:
- Согласие субъекта на обработку ПДн.
- Соглашение о соблюдении безопасности ПДн.
- Обязательство о неразглашении.
- Положение об обработке ПДн.
- Политика обработки ПДн (размещается на сайте организации).
- Политика защиты ПДн (Политика обеспечения безопасности ПДн).
- Положение об оценке вреда, который может быть причинен субъектам ПДн.
- Уведомление об обработке ПДн.
- Регламент взаимодействия с уполномоченным регулятором в области обработки ПДн, включая журнал учета обращений и ответов на обращения.
- Регламент реагирования на обращения и запросы субъектов ПДн.
- Приказ о назначении ответственных за организацию обработки и обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных
- Приказ об определении границ контролируемой зоны ИСПДн.
- Приказ о назначении комиссии по определению уровня защищенности ПДн.
- Положение о разрешительной системе доступа к ресурсам ИСПДн.
- Техническое задание на создание системы защиты ИСПДн.
- Технический проект на систему защиты ИСПДн.
- Акт определения уровня защищенности ПДн.
- Инструкция администратора безопасности ИСПДн.
- Инструкция пользователя ИСПДн.
- Инструкция лица, ответственного за организацию обработки ПДн.
- Инструкции по заполнению бумажных форм документов, предусматривающих внесение в них ПДн.
- Перечень ПДН, обрабатываемых в ИСПДн.
- Перечень ИСПДн.
- Перечень средств защиты информации.
- Сертификаты соответствия требованиям безопасности средств защиты информации (рекомендуется хранить в печатном виде комплектно с дистрибутивами СрЗИ).
- Технический паспорт ИСПДн.
- Модель угроз безопасности ПДн.
- Модель нарушителя ИСПДн.
- Возможности нарушителей, которые могут использоваться при создании способов, подготовке и проведении атак на ИСПДн.
- Матрица доступа к информационным ресурсам ИСПДн.
- Положение о режиме обеспечения безопасности помещений с ИСПДн.
- Перечень лиц, допущенных к обработке ПДн.
- Перечень лиц, доступ которым к ПДн, обрабатываемым в ИСПДн необходим для выполнения служебных (трудовых) обязанностей.
- Перечень лиц, имеющих право доступа в помещения с элементами ИСПДн.
- Политика безопасной эксплуатации технических средств.
- Перечень программного обеспечения и (или) его компонентов, разрешенного к использованию на ПЭВМ, входящих в состав ИСПДн.
- Положение об обеспечении сохранности и учета носителей ПДн, работа с которыми осуществляется без использования средств автоматизации.
- План мероприятий по обеспечению безопасности ПДн.
- Положение о комиссии по защите ПДн.
- Регламент проведения контрольных мероприятий.
- Регламент учета, хранения и уничтожения носителей ПДн.
- Регламент резервного копирования и восстановления ПДн.
- Инструкция по защите информации о событиях безопасности в ИСПДн.
- Инструкция по организации парольной защиты в ИСПДн.
- Инструкция по организации антивирусной защиты в ИСПДн.
- Политика контроля (анализа) защищенности ИСПДн.
- Положение о порядке обеспечения безопасности ПДн с использованием средств криптографической защиты информации.
- Политика защиты программного обеспечения.
- Политика обеспечения сетевой безопасности.
- Перечень лиц, ответственных за выявление инцидентов и реагирование на них.
- Перечень лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты ПДн.
- Политика управления конфигурацией информационной системы и системы защиты ПДн.
- Положение о порядке организации и проведения работ по защите ПДн.
- Положение о выявлении, ликвидации и предотвращении инцидентов безопасности ПДн.
- Пояснительная записка с изложением решений по комплексу принимаемых организационных и технических мер, составу средств защиты информации с указанием их соответствия требованиям ТЗ.
- Акт(ы) внедрения средств защиты информации.
- Акт ввода в опытную эксплуатацию системы защиты информации в ИСПДн.
- Акт о завершении опытной эксплуатации системы защиты информации в ИСПДн.
- Акт о вводе ИСПДн в промышленную эксплуатацию.
В зависимости от уровня защищенности персональных данных, а также функциональных особенностей информационной системы персональных данных может дополняться содержание организационно-распорядительных документов, перечисленных выше, а также их перечень следующими документами:
- Регламент по трансграничной передаче данных.
- Перечень лиц, допущенных к содержанию электронного журнала сообщений.
- Приказ о назначении лица, ответственного за периодический контроль ведения электронного журнала безопасности и соответствия отраженных в нем полномочий сотрудников оператора их должностным обязанностям.
- Приказ о создании структурного подразделения, ответственного за обеспечение безопасности ПДн в ИСПДн.
Данный пакет документов возможно разработать самостоятельно, но при этом должно быть четкое понимание происходящих в Компании процессов и высокий уровень знаний в области защиты информации. Разработанные инструкции должны быть реализуемыми и не содержать избыточной информации.
Рекомендуется изучить лучшие практики в области защиты информации. Применение шаблонных инструкций, размещенных в открытом доступе не всегда допустимо, в связи с тем, что они не учитываю специфику Компании и могут содержать неактуальные требования устаревших нормативных актов. Однако, такие шаблонные инструкции могут помочь в соблюдении структуры повествования.
Процесс разработки ЛНА может занять от 3 месяцев до полугода, в зависимости от масштаба Компании и сложности информационных процессов, требующих обеспечение защиты информации.
При этом сотрудники, занимающиеся изучением данной области, формированием комплекта ЛНА , на этот процесс тратят в денежно эквиваленте куда больше, чем если бы эти документы были заказаны у опытного интегратора, сотрудники которого имеют высокий уровень компетенций в области защиты информации, владеют актуальной информацией об изменениях в законодательстве РФ, касающиеся защиты информации.
При этом после получения такого рода услуги имеется возможность получить консультативную поддержку по введению в действие политик и регламентов по защите информации.
Получить консультацию |
Заказать выполнение |
Если вы реально оценили свои возможности и готовы выполнить все требования законодательства сами, но у вас остались вопросы, вы можете обратиться к нам за консультацией |
Или вы можете заказать у нас комплекс работ, чтобы полностью закрыть вопрос о выполнении требований ФЗ-152 и других нормативных актов по персональным данным. |
Согласно ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) оператор персональных данных – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку таких данных, а также определяющие цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с данными.
Общим признаком оператора персональных данных для всех организаций является обработка персональных данных работников. Организации, оказывающие услуги населению, обрабатывают еще и персональные данные клиентов. То есть, по сути, операторами персональных данных являются все без исключения организации.
Зачастую многие операторы персональных данных так или иначе сталкиваются с необходимостью подготовки пакета документов в сфере защиты персональных данных. Это может происходить в разных случаях. Некоторые операторы готовят документы при открытии или расширении собственного бизнеса. Кто-то – из-за надвигающейся проверки Роскомнадзора. В любом случае каждому оператору необходимо знать о существовании примерного перечня документов для надлежащей обработки персональных данных.
1. Документ, определяющий политику оператора в отношении обработки персональных данных, и подтверждение ознакомления с ним работников оператора
Получить консультацию по персональным данным
Спасибо! Ваше сообщение получено
В соответствии со ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) к обязанностям оператора персональных данных относится, в том числе издание документа, определяющего политику оператора в отношении обработки персональных данных, что позволяет обеспечить реализацию принципов законности, конфиденциальности и безопасности информации.
Многие организации этот документ так и называют – «Политика в отношении обработки персональных данных». Ранее он составлялся в произвольной форме, но в августе 2017 года Роскомнадзор разработал Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Законом № 152-ФЗ. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к указанному документу и к сведениям о реализуемых требованиях к защите персональных данных.
Согласно ч.1 ст.18.1 Закона № 152-ФЗ, оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам, в частности, может относиться ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
2. Отдельные локальные акты по вопросам обработки таких данных, документы об ознакомлении с ними работников оператора.
Помимо Политики у оператора должны быть отдельные локальные акты по вопросам обработки таких данных и локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий нарушений: например,
- различные положения (об обработке персональных данных, об обеспечении безопасности персональных данных и т. п.),
- перечни (должностей и лиц, допущенных к обработке персональных данных, применяемых средств защиты и др.),
- инструкции и регламенты.
Согласно ч.4 ст.22.1 Закона № 152-ФЗ, лицо, ответственное за организацию обработки персональных данных, в частности, обязано доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных.
3. Уведомление об обработке персональных данных (изменения в уведомление об обработке персональных данных).
В соответствии со ст.22 Закона № 152-ФЗ, оператор до начала обработки персональных данных обязан подготовить уведомление об обработке персональных данных (и при необходимости, изменения в уведомление об обработке персональных данных) и направить данное уведомление о своем намерении осуществлять обработку персональных данных в уполномоченный орган по защите прав субъектов персональных данных.
Исключения (когда оператор имеет право обрабатывать персональные данные без уведомления уполномоченного органа), в частности, установлены в отношении персональных данных:
• обрабатываемых в соответствии с трудовым законодательством;
• полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если они не распространяются, не предоставляются третьим лицам без согласия субъекта данных, используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
• относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими объединением или организацией, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
• сделанных субъектом персональных данных общедоступными;
• включающих в себя только фамилии, имена и отчества субъектов персональных данных;
• необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
• включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
• обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
• обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
4. Приказ (распоряжение) о назначении ответственного за организацию обработки персональных данных у оператора.
В соответствии со ст.22.1 Закона № 152-ФЗ, оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных, то есть у оператора должен быть издан приказ (распоряжение) о назначении ответственного за организацию обработки персональных данных у оператора.
5. Согласие субъекта персональных данных на обработку его персональных данных.
В соответствии со ст.9 Закона № 152-ФЗ, субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора. То есть у оператора также должен быть такой документ, как согласие субъекта персональных данных на обработку его персональных данных.
6. Документы, подтверждающие предоставление субъекту персональных данных информации, в случае если персональные данные получены не от субъекта персональных данных.
Согласно ст.18 Закона № 152-ФЗ, если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных;
5) источник получения персональных данных.
7. Документы, содержащие положения о принятии оператором ПД правовых, организационных и технических мер для защиты персональных данных.
Согласно ч.1 ст.19 Закона № 152-ФЗ, оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8. Документы по организации приема и обработке обращений и запросов субъектов персональных данных.
Согласно ч.4 ст.22.1 Закона № 152-ФЗ, лицо, ответственное за организацию обработки персональных данных, в частности, обязано организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
- Документ о классификации информационных систем;
- Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом.
В соответствии со ст.ст. 86-88 Трудового кодекса РФ от 30 декабря 2001 года № 197-ФЗ работодатель обязан иметь документ, устанавливающий порядок обработки персональных данных работников, с которым работники и их представители должны быть ознакомлены под роспись.
Действие Закона № 152-ФЗ распространят свое действие как на случаи обработки персональных данных с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и, в большинстве случаев, без использования таких средств. Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства РФ от 15.09.2008 г. № 687 (далее – Положение № 687), урегулированы вопросы обработки персональных данных (использование, уточнение, распространение, уничтожение) без использования средств автоматизации.
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
Оператором персональных данных при обработке персональных данных, осуществляемой без использования средств автоматизации, должны быть оформлены также следующие документы.
• Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации.
Согласно п.6 Положения № 687, лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).
• Типовые формы документов.
Согласно п. 7 Положения № 687, при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться определенные условия:
— типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
— типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку персональных данных;
— типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
— типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
• Документ, устанавливающий требования к ведению журналов (реестров, книг…), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор.
Согласно п.8 Положения № 687, при ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:
— необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;
— копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;
— персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.
• Документ, устанавливающий требования к хранению материальных носителей, содержащих персональные данные
Согласно п.15 Положения № 687, при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.
Требования к защите персональных данных при их обработке в информационных системах персональных данных и уровни защищенности таких данных установлены Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».