Организационно-распорядительные документы для защиты персональных данных в Российской Федерации
Организационные меры защиты персональных данных включают в себя разработку организационно-распорядительных документов, а также реализацию мероприятий по защите персональных данных.
В соответствии с п. 1 ст. 23 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» и п. 1 Положения о Федеральной службе по надзору в сфере связи и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16.03.2009 года № 228, уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи и массовых коммуникаций (Роскомнадзор).[1]
Организационные меры осуществляются на предприятии независимо от того, подавалось уведомление в Роскомнадзор или нет, осуществляется обработка ПДн с использованием средств автоматизации или без их использования.
Перечень мероприятий и необходимых документов может меняться в зависимости от специфики обработки персональных данных, орг.структуры и других особенностей каждого отдельно взятого предприятия.
Реализация организационных мер защиты проводится с учетом категорий Пдн: чем выше категория, тем выше требования к их защите.
Перечень нормативно-правовых актов, непосредственно регулирующих проведение проверок[править]
1. Кодекс Российской Федерации об административных правонарушениях
2. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
3. Федеральный закон от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»
4. Федеральный закон от 2 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»
5. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
7. Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
8. Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
9. Постановление Правительства Российской Федерации от 16 марта 2009 г. № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»
10.
11. Приказ Министерства связи и массовых коммуникаций Российской Федерации от 7 апреля 2009 г. № 51 «Об утверждении Типового положения о территориальном органе Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций» (зарегистрирован Министерством юстиции Российской Федерации 13 мая 2009 г., регистрационный № 13919)."
[2]
Перечень организационно — распорядительных документов[править]
Данные документы регламентируют весь процесс получения, обработки, хранения, передачи и защиты персональных данных (например):
Приказ о назначении комиссии по приведению в соответствие с требованиями законодательства в области персональных данных[править]
Документ необходим для назначения комиссии, которая будет заниматься приведением деятельности компании в соответствие с требованиями законодательства в области ПДн с целью исполнения требований законодательства РФ при обработке персональных данных. Выполняет требования следующих нормативных документов:
—
Положение о комиссии по приведению в соответствие с требованиями законодательства в области персональных данных[править]
Документ необходим для определения порядка создания комиссии, функций и задач выполняемых комиссией, а так же ответственность членов комиссии. Выполняет требования следующих нормативных документов:
—
План мероприятий по приведению в соответствие с требованиями законодательства в области персональных данных[править]
Документ необходим для разработки мероприятий, которые должны быть проведены с целью приведения деятельности компании в соответствие с требованиями законодательства в области ПДн. Выполняет требования следующих нормативных документов:
— п.6. ПП № 781
— п.2. Приказ № 55/86/20
— п.6.3.8 СТР-К
Перечень должностей и третьих лиц, допущенных к обработке персональных данных[править]
Документ необходим для определения круга лиц, которые будут допущены к к обработке персональных данных в компании. Выполняет требования следующих нормативных документов:
— п.14. ПП № 781
— п.6 ч.2 ПП № 687
— р.13 ч.3 ПП № 687
— п.6.3.2 СТР-К
Форма Обязательства о неразглашении персональных данных[править]
Документ необходим для того, чтоб сотрудник получивший доступ к обработке персональных данных принял на себя обязательство о неразглашении информации.
Выполняет требования следующих нормативных документов:
— п.1 ст.7 ФЗ №-152
Форма Соглашения о соблюдении конфиденциальности персональных данных, переданных на обработку[править]
Документ необходим для того, чтоб сотрудник получивший доступ к обработке персональных данных подписал соглашение о соблюдении конфиденциальности информации.
Выполняет требования следующих нормативных документов:
— п.1 ст.7 ФЗ №-152
Перечень обрабатываемых персональных данных[править]
Документ необходим для определения перечня персональных данных, которые будут обрабатываться в ИСПДн. Выполняет требования следующих нормативных документов:
— р.2.1. ч.2 приказ ФСТЭК № 58
"Признать утратившим силу "приказ" ФСТЭК России от 5 февраля 2010 г. N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный N 16456)."
- Согласно приказу №21 от 18.02.2013
Форма Согласия на обработку персональных данных[править]
Документ необходим для того, чтобы субъект персональных данных подписал согласие об обработки его персональных данных в ИСПДн. Выполняет требования следующих нормативных документов:
— п.2 ст.5 ФЗ №-152
— п.2 ст.15 ФЗ №-152
— п.3 ст.21 ФЗ №-152
— п.4 ст.21 ФЗ №-152
— п.3 ст.21 ФЗ №-152
— п.3 ст.18 ФЗ №-152
— п.1 ст.6 ФЗ №-152
Перечень информационных систем персональных данных[править]
Документ необходим для определения информационных систем в которых будут обрабатываться персональные данные. Выполняет следующие требования нормативных документов:
— р.13 ч.3 ПП № 687
— р.2.1. ч.2 приказ ФСТЭК № 58
— р.2.1 ч.2 приказ ФСТЭК № 58
— п.3.8 СТР-К
— п.5.1.3 СТР-К
— п.3.18 СТР-К
— п.2.7 СТР-К
— п.4.2.1 СТР-К
Технический паспорт информационных систем персональных данных[править]
Документ необходим для описания используемой ИСПДн. В нем описывается расположение, схема и принцип работы ИСПДн . Выполняет следующие требования нормативных документов:
— р.13 ч.3 ПП № 687
— р.2.1. ч.2 приказ ФСТЭК № 58
— р.2.1 ч.2 приказ ФСТЭК № 58
— п.3.8 СТР-К
— п.5.1.3 СТР-К
— п.3.18 СТР-К
— п.2.7 СТР-К
— п.4.2.1 СТР-К
Перечень средств защиты информации[править]
Документ необходим для определения и описания используемых в ИСПДн средств защиты информации. Выполняет следующие требования нормативных документов:
— п.12б. ПП № 781
— п.12г. ПП № 781
— п.3.20 СТР-К
— п.3.21 СТР-К
— п.12к. ПП № 781
Приказ о назначении лиц, ответственных за обработку и защиту персональных данных[править]
Документ необходим для определения лиц, которые будут ответственны за процессы обработки и защиты персональных данных. Выполняет требования следующих нормативных документов:
— п.13. ПП № 781
— п.3.21 СТР-К
— п.5.3.5 СТР-К
— п.6.3.3 СТР-К
— п.6.3.1 СТР-К
— п.6.3.11 СТР-К
Инструкция администратора информационной безопасности[править]
Документ необходим для определения действий администратора информационной безопасности в различных ситуациях. Выполняет требования следующих нормативных документов:
— р.2.1 ч.2 приказ ФСТЭК № 58
— п.5.3.2 СТР-К
— п.5.5.3 СТР-К
— п.5.6.2 СТР-К
— п.5.6.3 СТР-К
— п.6.1.4 СТР-К
— п.6.3.6 СТР-К
Инструкция менеджера обработки персональных данных[править]
Документ необходим для определения действий менеджера обработки персональных в различных ситуациях. Выполняет требования следующих нормативных документов:
— р.2.1 ч.2 приказ ФСТЭК № 58
— п.5.3.2 СТР-К
— п.5.5.3 СТР-К
— п.5.6.2 СТР-К
— п.5.6.3 СТР-К
— п.6.1.4 СТР-К
— п.6.3.6 СТР-К
Положение по обработке персональных данных[править]
Документ необходим для установления требований, которые необходимо соблюдать при обработке персональных данных работника, гарантии их защиты, правила хранения и использования персональных данных, права работника по защите персональных данных и ответственность работодателя за нарушение норм, регулирующих обработку и защиту персональных данных работника. Выполняет требования следующих нормативных документов:
— п.2 ст.5 ФЗ №-152
— п.1 ст.14 ФЗ №-152
— п.3 ст.21 ФЗ №-152
— п.4 ст.21 ФЗ №-152
— п.7. ПП № 781
— п.16. ПП № 781
— п.6 ПП № 687
Положение об обеспечении безопасности персональных данных[править]
Документ необходим для установления требований, которые необходимо соблюдать при обработке персональных данных работника для обеспечения необходимой безопасности персональных данных. Выполняет требования следующих нормативных документов:
— Приказ № 55/86/20
— Приказ № 58
— ФЗ №-152
Уведомление об обработке персональных данных[править]
Документ необходим для того чтобы уведомить уполномоченный орган по защите прав субъектов персональных данных об обработке персональных данных. Выполняет требования следующих нормативных документов:
— ФЗ № 154 ст.22 п.1
Приказ о назначении комиссии по классификации информационных систем персональных данных[править]
Документ необходим для создания комиссии, которая займется классификацией ИСПДн. Выполняет требования следующих нормативных документов:
— Приказ № 781
— Приказ № 55/86/20
Регламент по проведению классификации информационных систем персональных данных[править]
Документ необходим для определения исходной информации и действий, необходимых для установления класса информационной системы.
Выполняет требования следующих нормативных документов:
— Приказ № 781
— Приказ № 55/86/20 - утратил силу
Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных[править]
Документ необходим для определения возможных угроз и составления на их базе модели угроз актуальной для данной информационной системы. Выполняет требования следующих нормативных документов:
— п.2.3 ТТ ФСБ 149/6/6-622
— п.12а. ПП № 781
— п.3.8 СТР-К
Модель нарушителя безопасности персональных данных при их обработке в информационных системах персональных данных[править]
Документ необходим для определения необходимого уровня криптографической защиты в случае, если для защиты информации необходимо применение средств криптозащиты (регламентируется нормативными документами ФСБ России)
Протокол заседания комиссии по классификации информационных систем персональных данных[править]
Документ необходим для определения правил работы комиссии по классификации систем персональных данных. Выполняет следующие требования нормативных документов:
— Приказ № 781
— Приказ № 55/86/20 - утратил силу
Акты классификации информационных систем персональных данных[править]
Документ необходим для документального фиксирования итогов работы по определению класса ИСПДн. Выполняет следующие требования нормативных документов:
— п.6. ПП № 781 - утратил силу
— п.2. Приказ № 55/89/20 - утратил силу
— п.3.8 СТР-К
— п.5.6.4 СТР-К
Техническое задание на систему защиты персональных данных[править]
Документ необходим для определения последовательности действий, которые необходимо выполнить для того чтобы система защиты персональных данных соответствовала установленным требованиям. Выполняет следующие требования нормативных документов:
— п.3.13 СТР-К
Приказ о назначении администратора информационных систем персональных данных[править]
Документ необходим для назначения администратора информационных систем персональных данных. Выполняет требования следующих нормативных документов:
— приказ ФСТЭК № 58
Инструкция администратора информационных систем персональных данных[править]
Документ необходим для определения действий администратора информационных систем персональных данных в различных ситуациях. Выполняет требования следующих нормативных документов:
— р.2.1 ч.2 приказ ФСТЭК № 58
— п.5.3.2 СТР-К
— п.5.5.3 СТР-К
— п.5.6.2 СТР-К
— п.5.6.3 СТР-К
— п.6.1.4 СТР-К
— п.6.3.6 СТР-К
Инструкция пользователя информационных систем персональных данных[править]
Документ необходим для определения действий администратора информационных систем персональных данных в различных ситуациях. Выполняет требования следующих нормативных документов:
— р.2.1 ч.2 приказ ФСТЭК № 58
— п.5.3.2 СТР-К
— п.5.5.3 СТР-К
— п.5.6.2 СТР-К
— п.5.6.3 СТР-К
— п.6.1.4 СТР-К
— п.6.3.6 СТР-К
Регламент по учёту, хранению и уничтожению носителей персональных данных[править]
Документ необходим для определения совокупности правил, определяющих порядок работы по учёту, хранению и уничтожению носителей персональных данных. Выполняет следующие требования нормативных документов:
— р.13 ч.3 ПП № 687
— п.5.1.3 СТР-К
— п.4.2.1 СТР-К
— п.5.1.3 СТР-К
— п.5.2.6 СТР-К
— п.5.3.4 СТР-К
— п.5.3.5 СТР-К
— п.5.3.6 СТР-К
— п.5.3.7 СТР-К
Регламент по допуску лиц к обработке персональных данных[править]
Документ необходим для определения совокупности правил, определяющих порядок по допуску лиц к обработке персональных данных. Выполняет следующие требования нормативных документов:
— п.6 ч.2 ПП № 687
— р.13 ч.3 ПП № 687
— п.6.3.2 СТР-К
Регламент по реагированию на запросы субъектов персональных данных[править]
Документ необходим для определения совокупность правил, определяющих порядок по по реагированию на запросы субъектов персональных данных. Выполняет следующие требования нормативных документов:
— ФЗ №-152
— п.3 ст.14 ФЗ №-152
Регламент по взаимодействию с органами государственной власти в области персональных данных[править]
Документ необходим для определения совокупность правил, определяющих порядок по взаимодействию с органами государственной власти в области персональных данных.
Регламент по резервному копированию персональных данных[править]
Документ необходим для определения совокупность правил, определяющих порядок по резервному копированию персональных данных. Выполняет следующие требования нормативных документов:
— п.11г. ПП № 781
— Р.2.1 ч.2 приказ ФСТЭК № 58
Регламент по реагированию на инциденты информационной безопасности[править]
Документ необходим для определения совокупность правил, определяющих порядок по реагированию на инциденты информационной безопасности.