Регистрация обращений пользователей испдн к пдн. Электронный журнал обращений пользователей испдн
Этапы организации защиты ПДн в ОО (для администратора) – Портал службы поддержки
Образовательные организации являются операторами персональных данных, поскольку занимаются обработкой персональных данных учащихся и педагогов. Следовательно, ответственными сотрудниками этих организаций должно обеспечиваться соблюдение вышеуказанного закона.
Выполнение требований закона в образовательных организациях
Статья 19 ФЗ № 152 «О персональных данных». Меры по обеспечению безопасности персональных данных при их обработке:
- Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
- Использование и хранение биометрических персональных данных вне информационных систем персональных данных может осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
В рамках образовательных организаций должен быть выполнен комплекс работ по сбору пакета документов, предоставляемых на проверку контролирующим организациям.
В настоящее время отсутствуют нормативные акты, утверждающие форму этих типовых ведомственных документов по защите персональных данных в образовательных организациях.
Пакет документов для проверки
- Концепция информационной безопасности.
- Приказ о создании СЗ ПДн.
- План мероприятий по обеспечению защиты ПДн.
- Отчет о результатах проведения внутренней проверки.
- Перечень сведений, составляющих ПДн.
- Список ИСПДн, в которых обрабатываются ПДн.
- Разрешительная система доступа к ПДн.
- Перечень сотрудников, допущенных к обработке ПДн.
- Перечень защищаемой информации.
- Положение по обработке персональных данных.
- Политика ИБ.
- Инструкция пользователя ИСПДн.
- Инструкция пользователя ИСПДн на случай возникновения внештатных ситуаций.
- Инструкция администратора ИБ ИСПДн.
- Инструкция по организации парольной защиты.
- Инструкция по антивирусной защите.
- Инструкция по обработке ПДн без использования средств автоматизации.
- Перечень ПДн с местами хранения, обработки и списком допущенных лиц.
- Перечень ПДн с местами хранения, обработки и списком допущенных лиц.
- Приказ о введении в действие документов, регламентирующих мероприятия по защите ПДн.
- Приказ о создании комиссии по уничтожению ПДн.
- Журнал регистрации фактов несанкционированного доступа.
- Журнал учета обращений субъектов ПДн в ИСПДн.
- Журнал учета пользователей ИСПДн, прошедших обучение правилам работы с СЗИ.
- Журнал учета мероприятий по контролю ИБ.
- План проверочных мероприятий по обеспечению безопасности ПДн.
- АКТ 1 классификации ИСПДн.
- Приказ о назначении администратора ИБ.
- Форма согласия работника на обработку его ПДн.
Единая образовательная сеть «Дневник.ру» предоставляет шаблоны указанных форм документов образовательным организациям, заключившим соглашение с Дневник.ру. Благодаря этому у образовательных организаций отпадает необходимость в самостоятельном подборе и составлении документации из этого обширного перечня.
Этапы работ
Организация защиты персональных данных должна производиться в несколько этапов:
- инвентаризация информационных ресурсов;
- ограничение доступа работников к персональным данным;
- документальное регламентирование работы с персональными данными;
- формирование модели угроз безопасности персональных данных;
- классификация информационных систем персональных данных (ИСПДн) образовательных организаций;
- составление и отправка в уполномоченный орган уведомления об обработке персональных данных;
- приведение системы защиты персональных данных в соответствие с требованиями регуляторов;
- создание подсистемы информационной безопасности ИСПДн и ее аттестация (сертификация) – для ИСПДн классов К1, К2;
- организация эксплуатации и контроля безопасности ИСПДн.
Этап 1. Инвентаризация информационных ресурсов
Инвентаризация информационных ресурсов - выявление присутствия и осуществления обработки персональных данных во всех эксплуатируемых в организации информационных системах и традиционных хранилищах данных. В качестве информационных систем, относящихся к ИСПДн, выступают:
- электронный журнал/дневник;
- «1С-Бюджет»;
- «1С-Зарплата-Кадры»;
- автоматизированная информационная библиотечная система;
- информационная система «Налогоплательщик» и другие.
Выполняя функции электронного журнала/дневника, информационная система «Дневник.ру» является ИСПДн и зарегистрирована Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций РФ в реестре операторов персональных данных под регистрационным номером 09-0062296.
На данном этапе следует: утвердить положение о защите персональных данных, сформировать концепцию, определить политику информационной безопасности, составить перечень персональных данных, подлежащих защите.
Места обработки персональных данных:
- бухгалтерия;
- библиотека;
- учительская;
- отдел кадров;
- медпункт.
Этап 2. Ограничение доступа работников к персональным данным
Ограничение доступа работников организации к персональным данным – неотъемлемая часть мероприятий по обеспечению безопасности ПДн при их обработке в информационных системах. Допуск к обработке персональных данных должен быть только у тех сотрудников, которым это необходимо для выполнения служебных (трудовых) обязанностей. Система Дневник.ру построена таким образом, что сотрудники образовательных организаций, учащиеся и их законные представители могут пройти регистрацию на сайте только после получения логина и пароля для первого входа в своей образовательной организации. Все данные хранятся в Администрации образовательной организации и не подлежат разглашению, что гарантирует отсутствие посторонних лиц в Дневник.ру.
На данном этапе следует: в необходимой мере ограничить как электронный, так и физический доступ к персональным данным, хранящимся в образовательной организации.
Этап 3. Документальное регламентирование работы с персональными данными
Согласно статье 86 Трудового кодекса РФ, работники и их представители должны быть ознакомлены под роспись с теми документами работодателя, которые устанавливают порядок обработки персональных данных работников, а также их права и обязанности в этой области.
Субъект персональных данных самостоятельно решает вопрос их передачи кому-либо, оформляя свое намерение документально.
На данном этапе следует: собрать согласия на обработку персональных данных, издать приказ о назначении лиц, ответственных за обработку ПДн, и положение о разграничении прав доступа к обрабатываемым ПДн, составить инструкции администратора ИСПДн, пользователя ИСПДн и администратора безопасности ИСПДн.
Согласия на обработку персональных данных физических лиц
В соответствии со статьей 9 ФЗ-№152 «О персональных данных» обработка персональных данных субъекта осуществляется только при условии наличия его письменного согласия с указанием следующих данных:
- фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва.
Формы согласий на обработку персональных данных сотрудников образовательных организаций, учащихся и их законных представителей, используемые при подключении к Дневник.ру, полностью соответствуют вышеуказанным требованиям. Подписанные согласия хранятся в образовательных организациях и могут быть предоставлены только по требованию регуляторов и других уполномоченных органов РФ.
Этап 4. Формирование модели угроз безопасности персональных данных
Частная модель угроз безопасности персональных данных, хранящихся в информационной системе, формируется на основании следующих документов, утвержденных Федеральной службой по техническому и экспортному контролю (ФСТЭК):
- Базовая модель угроз безопасности персональных данных при их обработке в ИСПДн.
- Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн.
- Частная модель угроз безопасности персональных данных, хранящихся в информационной системе «Дневник.ру», была сформирована ФГУП «ЗащитаИнфоТранс». Она показывает, что персональные данные пользователей, обрабатываемые в Дневник.ру, подвергаются низкой степени угрозы несанкционированного доступа к ним.
На данном этапе следует сформировать модель угроз безопасности персональных данных, обрабатываемых и хранящихся в образовательной организации.
Этап 5. Классификация ИСПДн
На данном этапе следует составить акты классификации используемых в образовательной организации информационных систем персональных данных.
Этап 6. Составление и отправка в уполномоченный орган уведомления
Уведомление об обработке персональных данных оформляется на бланке оператора и направляется в территориальный орган Роскомнадзора Министерства связи и массовых коммуникаций РФ на бумажном носителе или в форме электронного документа с подписью уполномоченного лица.В форме указываются данные об обработчике, цель обработки, категории данных, категории субъектов, данные которых обрабатываются, правовое основание обработки, дата ее начала, срок (условие) ее прекращения и прочее.
На данном этапе следует: на сайте Уполномоченного органа по защите прав субъектов персональных данных http://www.pd.rsoc.ru/operators-registry/notification/form/, заполнить и отправить форму уведомления в электронном виде или распечатать на бумажном носителе.
Этап 7. Приведение системы в соответствие с требованиями регуляторов
В ФЗ №152 «О персональных данных» сказано, что оператор персональных данных обязан принимать все необходимые меры по защите безопасности ПДн. Это означает потребность оператора в использовании современных высокотехнологичных способов хранения ПДн. Персональные данные, обрабатываемые системой Дневник.ру, хранятся в одном из лучших дата-центров России - Селектел, который находится в городе Санкт-Петербурге. Многоуровневая система доступа, отвечающая самым жестким требованиям банковских и государственных структур, обеспечивает безопасное хранение данных.
На данном этапе следует: создать перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним; положение о подразделении по защите информации; методические рекомендации для организации защиты информации при обработке персональных данных; инструкцию пользователя по обеспечению безопасности обработки ПД при возникновении внештатных ситуаций, а также утвердить план мероприятий по защите ПДн.
Этап 8. Аттестация (сертификация) ИСПДн
Для обеспечения безопасности ИСПДн требуется проводить мероприятия по организации и техническому сопровождению защиты обрабатываемых персональных данных. В качестве оценки соответствия ИСПДн 1 и 2 классов требованиям к безопасности ПДн используется обязательная сертификация (аттестация).
Сертификат соответствия № 2309 от 28.03.2011 г. Аттестат соответствия требованиям нормативной документации по информационной безопасности от 21 мая 2012 года.
На данном этапе следует: создать эскизный проект системы обеспечения безопасности информации объекта вычислительной техники и типовое техническое задание на разработку системы обеспечения безопасности информации объекта вычислительной техники, а также определить порядок резервирования технических средств защиты информации.
Перечень объектов информатизации, подлежащих аттестации
Обязательной аттестации подлежат следующие объекты информатизации:
- Автоматизированные системы различного уровня и назначения.
- Системы связи, приема, обработки и передачи данных.
- Системы отображения и размножения.
- Помещения, предназначенные для ведения конфиденциальных переговоров.
Этап 9. Организация эксплуатации ИСПДн и контроля за безопасностью
Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
- контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
- разбирательство и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования средств защиты информации, которые могут привести к нарушению конфиденциальности ПДн.
На данном этапе следует:
- Разработать проект приказа о положении об электронном журнале обращений пользователей информационных систем персональных данных → создать журнал учета обращений субъектов ПДн о выполнении их законных прав и журнал учета мероприятий по контролю.
- Сформировать план внутренних проверок → издать приказ о проведении внутренней проверки → составить отчет о результатах проведения внутренней проверки.
Поддержание эффективной системы защиты ПДн
Для поддержания системы защиты персональных данных на высоком уровне требуется проведение следующих мероприятий:
- Развертывание полноценной системы обработки ПДн. Система «Дневник.ру» обладает качественными техническими ресурсами, применение которых позволяет осуществлять безопасную обработку персональных данных в образовательной организации.
- Полномасштабное внедрение средств защиты. Высококвалифицированные специалисты Дневник.ру обеспечивают постоянный контроль и необходимое техническое обслуживание системы защиты персональных данных пользователей.
- Аттестация ИСПДн. Информационная система «Дневник.ру» имеет все необходимые лицензии и сертификаты для обработки персональных данных.
- Приведение всех процессов обработки ПДн в соответствие с требованиями закона. Дневник.ру отвечает требованиям законодательства в области защиты персональных данных.
- Реакция на регулярные проверки и прочее.
Ответственность за нарушение ФЗ №152 «О персональных данных»
- Административная ответственность: штраф или штраф с конфискацией несертифицированных средств обеспечения безопасности и шифровальных средств. Административный кодекс, ст. 13.11, 13.12, 13.14.
- Дисциплинарная ответственность: увольнение провинившегося работника. Трудовой кодекс РФ, ст. 81 и 90.
- Уголовная ответственность: от исправительных работ и лишения права занимать определенные должности до ареста. Уголовный кодекс, ст. 137, 140, 272.
- Шаблоны документов для организации ИБ в ОО.7z (2 МБ)
help.dnevnik.ru
weta.ru Документы, регламентирующие обработку персональных данных
Документы, регламентирующие обработку персональных данных
В рамках проведения работ по защите персональных данных необходимо разработать пакет документов, регламентирующих обработку ПДн в информационных системах Компании.
Приведем примерный список документов, которые разрабатываются оператором персональных данных в соответствии с требованиями законодательства, а также юридическое обоснование разработки перечисленных документов.
Документы, регламентирующие обработку ПДн в ИСПДн Компании (для каждой ИСПДн)
-
Акт классификации информационной системы персональных данных (ИСПДн).
Постановление Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:
п.6. Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных, в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 г. №55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных», устанавливает следующий порядок проведения классификации:
п. 4. Проведение классификации информационных систем включает в себя следующие этапы:- сбор и анализ исходных данных по информационной системе;
- присвоение информационной системе соответствующего класса и его документальное оформление.
-
Модель угроз безопасности ПДн при их обработке в ИСПДн (для специальных систем).
Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 г. №55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»:
п. 16. По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных". -
Определение границ контролируемой зоны ИСПДн.
Нормативно-методический документ ФСТЭК России «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:
Одним из основных организационных мероприятий по защите информации является установление контролируемой зоны (КЗ) вокруг ИСПДн.Примечание:Определение границ КЗ необходимо для разработки ряда документов, в которых учитывается привязка к границам КЗ, в частности:
- технический паспорт ИСПДн;
- модель угроз безопасности ПДн при их обработке в ИСПДн.
-
Технический паспорт ИСПДн.
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) в соответствии с требованиями которых разрабатывается технический паспорт ИСПДн установленной формы.
-
Электронный журнал регистрации обращений пользователей ИСПДн на получение ПДн.
Постановление Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:
Запросы пользователей информационной системы на получение персональных данных, включая лиц, доступ которых к персональным данным, необходим для выполнения служебных (трудовых) обязанностей, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица. -
Регламент разграничения прав доступа.
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К):
В организации должна быть разработана соответствующая система доступа персонала к сведениям конфиденциального характера.Доступ к информации исполнителей (пользователей, обслуживающего персонала) осуществляется в соответствии с разрешительной системой допуска исполнителей к документам и сведениям конфиденциального характера, действующей в организации. - Приказ о назначении администратора безопасности ИСПДн.
-
Руководство администратора ИСПДн.
Методический документ ФСТЭК «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:
Описание порядка установки, настройки, конфигурирования и администрирования средств антивирусной защиты, а также порядка действий в случае выявления факта вирусной атаки или иных нарушений требований по защите от программно-математических воздействий должны быть включены в руководство администратора безопасности информации в ИСПДн. - Руководство пользователя ИСПДн.
-
Приказ об утверждении списка лиц, которым необходим доступ к ПДн, обрабатываемым в ИСПДн, для выполнения служебных (трудовых) обязанностей.
Постановление Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:
Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом. -
Перечень применяемых средств защиты информации (СЗИ).
Постановление Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:
мероприятия по обеспечению безопасности ПДн при их обработке в информационных системах включают в себя:- проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
- учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных.
- Перечень эксплуатационной и технической документации применяемых СЗИ (правовое обоснование см. в п.11).
- Перечень носителей ПДн (правовое обоснование см. в п.11).
- Заключение о готовности СЗИ к эксплуатации (правовое обоснование см. в п.11).
Документы, регламентирующие обработку ПДн в компании
- Положение о защите персональных данных в компании.
-
Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн.
Методический документ ФСТЭК «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:
При подготовке документации по вопросам обеспечения безопасности ПДн при их обработке в ИСПДн и эксплуатации СЗПДн в обязательном порядке разрабатываются:- положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн;
- требования по обеспечению безопасности ПДн при обработке в ИСПДн;
- должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн;
- рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации.
- Должностные инструкции персоналу в части обеспечения безопасности ПДн при их обработке в ИСПДн (правовое обоснование см. в п.2.).
- Рекомендации по использованию программных и аппаратных средств защиты (правовое обоснование см. в п.2.).
-
Положение по организации контроля эффективности защиты информации в компании.
Методический документ ФСТЭК «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:
Контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке их обоснованности и эффективности принятых мер. Он может проводиться оператором или на договорной основе сторонними организациями, имеющими лицензии на деятельность по технической защите информации. -
Положение об организации режима безопасности помещений, где осуществляется работа с ПДн.
Методический документ ФСТЭК «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:
Одним из основных организационных мероприятий по защите информации является организация режима и контроля доступа в помещения, в которых установлены аппаратные средства ИСПДн.Постановление Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:
п.8. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц. -
Положение о порядке хранения и уничтожения носителей ПДн.
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К):
Носители информации на магнитной (магнитооптической), оптической и бумажной основе должны учитываться, храниться и уничтожаться в подразделениях организации в установленном порядке. -
Формы учета для организации обработки ПДн (шаблоны, бланки).
Формы учета необходимы для организации взаимодействия с субъектами персональных данных и уполномоченным органом по защите прав субъектов персональных данных.При разработке форм руководствоваться требованиями ФЗ-152, Трудового Кодекса РФ.
- Отчет об обследования информационных систем компании.
Методический документ ФСТЭК «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:
Порядок организации обеспечения безопасности ПДн в ИСПДн должен предусматривать оценку обстановки, в рамках которой проводится определение состава, содержания и местонахождения ПДн подлежащих защите. -
Перечень сведений конфиденциального характера.
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К):
В организации должен быть документально оформлен перечень сведений конфиденциального характера, подлежащих защите в соответствии с нормативно-правовыми актами. -
Приказ о назначении структурного подразделения или должностного лица, ответственного за обеспечение безопасности ПДн.
Постановление Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:
п.13. Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.СТР-К:
Разработка мер и обеспечение защиты информации осуществляются подразделениями по защите информации (службами безопасности) или отдельными специалистами, назначенными руководителями организации для проведения таких работ. Разработка мер защиты информации может осуществляться также сторонними организациями, имеющими лицензию на право проведения соответствующих работ. -
Копия «Уведомления об обработке ПДн», выписка из реестра операторов ПДн.
Федеральный закон «О персональных данных» ФЗ-152
Ст.22. Уведомление об обработке персональных данных» направляется в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор).Получение Выписки регламентируется Приказом Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28.03.2008 г. №154 «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных»:
п. 17. Операторы, включенные в Реестр, вправе получить выписку из Реестра по письменному обращению в Службу в срок не позднее тридцати дней.
Следите за нашими публикациями, подключайтесь к обсуждению и задавайте дополнительные вопросы!
www.weta.ru
Регистрация обращений пользователей ИСПДн к ПДн
Учет лиц, допущенных к работе с персональными данными в ИСПДн.
В соответствии и во исполнении требований Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных», организации, осуществляющей обработку персональных данных необходимо составить список лиц, допущенных к обработке персональных данных.
Список лиц, допущенных к обработке ПДн - перечень лиц (по должностям), доступ к ПДн которым необходим для выполнения служебных обязанностей. В первую очередь это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике, а также сотрудники бухгалтерии. Помимо того, доступ к этим сведениям могут получить руководители структурных подразделений (например, начальники отделов) – и это также необходимо отразить в списке. Однако все они вправе запрашивать не любые данные, а только те, которые необходимы для выполнения конкретных трудовых функций (например, чтобы рассчитать льготы по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев). Поэтому целесообразно прописать перечень информационных ресурсов, к которым пользователи допущены.
Список лиц, допущенных к обработке ПДн можно оформить в виде приложения к Положению по обеспечению безопасности персональных данных или отдельным документом, утвержденным руководителем.
В Положении необходимо прописать все требования к получению, хранению, комбинированию, передаче и любому другому использованию персональных данных, а также гарантии по их защите. С Положением нужно под подпись ознакомить всех сотрудников, включенных в список лиц, допущенных к работе с персональными данными.
Лица, допущенные к работе с персональными данными - сотрудники, которые работают с ПД (работники организации), в т.ч. клиенты, абоненты и другие категории субъектов. Согласно 152 ФЗ в числе организационно-распорядительных документов по обеспечению безопасности ПДн необходим для организации системы допуска и учета лиц, допущенных к работе с ПДн в ИСПДн необходимы: Список лиц, допущенных к обработке ПДн (перечень по должностям тех, кому доступ к ПДн необходим для выполнения служебных обязанностей) и Матрица доступа (должна отражать полномочия пользователей по выполнению конкретных действий в отношении конкретных информационных ресурсов ИСПДн – чтение, запись, корректировка, удаление). Оба документа утверждаются руководителем. .Каждый сотрудник, допущенный к обработке персональных данных, должен подписать соглашение о неразглашении ПДн.
Пример в приложении.
Регистрация обращений пользователей ИСПДн к ПДн.
В соответствии с р.2.1 ч.2 приказ ФСТЭК №58 регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц является одним из методов и способов защиты информации от несанкционированного доступа.
Приказ "Об утверждении журнала регистрации действий пользователей, обслуживающего персонала и посторонних лиц", входит в список документов, необходимых организации для обработки персональных данных.
В государственных органах, работающих с персональными данными граждан обязательным является наличие нормативных актов, действие которых распространяется на должностные лица, которые в рамках исполнения своих должностных обязанностей осуществляют прием и регистрацию обращений (запросов) субъектов персональных данных, а также уполномоченного органа по защите прав субъектов персональных данных, ведут личный прием граждан, осуществляют рассмотрение обращений (запросов), подготовку и направление ответов на них.
Электронный журнал обращений пользователей информационных систем персональных данных.
Электронный журнал представляет совокупность записей штатных средств обработки ПДн (операционных систем, прикладного ПО) или специально установленных систем управления доступом, регистрации и учета о событиях выполняемых пользователями (лог-файлы).
Записи о событиях должны храниться в технических средствах или собираться в едином хранилище специально установленных систем управления доступом, регистрации и учета.
Записи о событиях должны резервироваться.
Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления данных по этим запросам должны регистрироваться автоматизированными средствами информационной системы в электронном журнале обращений.
Журнал обращений должен составляться и заполняться средствами операционной системы, или с помощью дополнительного программного обеспечения.
Содержание электронного журнала обращений должно проверяться ответственным лицом.
При обнаружении нарушений порядка предоставления персональных данных уполномоченное лицо незамедлительно приостанавливает предоставление персональных данных пользователям информационной системы, а также своевременно информирует о факте нарушения непосредственного руководителя, который, в случае необходимости, проводит соответствующее расследование для выявления и устранения причин нарушения.
В соответствии с Постановление Правительства РФ от 1 ноября 2012 г. N 1119"Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»:
Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 14 настоящего документа, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
Для обеспечения 1-го уровня защищенности персональных данных при их обработке в информационных системах помимо требований, предусмотренных пунктом 15 настоящего документа, необходимо выполнение следующих требований:
а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
б) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.
studlib.info
Регистрация обращений пользователей испдн к пдн — Информатика, информационные технологии
Учет лиц, допущенных к работе с персональными данными в ИСПДн.
В соответствии и во исполнении требований Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных», организации, осуществляющей обработку персональных данных необходимо составить список лиц, допущенных к обработке персональных данных.
Список лиц, допущенных к обработке ПДн — перечень лиц (по должностям), доступ к ПДн которым необходим для выполнения служебных обязанностей. В первую очередь это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике, а также сотрудники бухгалтерии. Помимо того, доступ к этим сведениям могут получить руководители структурных подразделений (например, начальники отделов) – и это также необходимо отразить в списке.
Однако все они вправе запрашивать не любые данные, а только те, которые необходимы для выполнения конкретных трудовых функций (например, чтобы рассчитать льготы по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев). Поэтому целесообразно прописать перечень информационных ресурсов, к которым пользователи допущены.
Список лиц, допущенных к обработке ПДн можно оформить в виде приложения к Положению по обеспечению безопасности персональных данных или отдельным документом, утвержденным руководителем.
В Положении необходимо прописать все требования к получению, хранению, комбинированию, передаче и любому другому использованию персональных данных, а также гарантии по их защите. С Положением нужно под подпись ознакомить всех сотрудников, включенных в список лиц, допущенных к работе с персональными данными.
Лица, допущенные к работе с персональными данными — сотрудники, которые работают с ПД (работники организации), в т.ч. клиенты, абоненты и другие категории субъектов. Согласно 152 ФЗ в числе организационно-распорядительных документов по обеспечению безопасности ПДн необходим для организации системы допуска и учета лиц, допущенных к работе с ПДн в ИСПДн необходимы: Список лиц, допущенных к обработке ПДн (перечень по должностям тех, кому доступ к ПДн необходим для выполнения служебных обязанностей) и Матрица доступа (должна отражать полномочия пользователей по выполнению конкретных действий в отношении конкретных информационных ресурсов ИСПДн – чтение, запись, корректировка, удаление). Оба документа утверждаются руководителем. .Каждый сотрудник, допущенный к обработке персональных данных, должен подписать соглашение о неразглашении ПДн.
Пример в приложении.
Регистрация обращений пользователей ИСПДн к ПДн.
В соответствии с р.2.1 ч.2 приказ ФСТЭК №58 регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц является одним из методов и способов защиты информации от несанкционированного доступа.
Приказ "Об утверждении журнала регистрации действий пользователей, обслуживающего персонала и посторонних лиц", входит в список документов, необходимых организации для обработки персональных данных.
В государственных органах, работающих с персональными данными граждан обязательным является наличие нормативных актов, действие которых распространяется на должностные лица, которые в рамках исполнения своих должностных обязанностей осуществляют прием и регистрацию обращений (запросов) субъектов персональных данных, а также уполномоченного органа по защите прав субъектов персональных данных, ведут личный прием граждан, осуществляют рассмотрение обращений (запросов), подготовку и направление ответов на них.
Электронный журнал обращений пользователей информационных систем персональных данных.
Электронный журнал представляет совокупность записей штатных средств обработки ПДн (операционных систем, прикладного ПО) или специально установленных систем управления доступом, регистрации и учета о событиях выполняемых пользователями (лог-файлы).
Записи о событиях должны храниться в технических средствах или собираться в едином хранилище специально установленных систем управления доступом, регистрации и учета.
Записи о событиях должны резервироваться.
Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления данных по этим запросам должны регистрироваться автоматизированными средствами информационной системы в электронном журнале обращений.
Журнал обращений должен составляться и заполняться средствами операционной системы, или с помощью дополнительного программного обеспечения.
Содержание электронного журнала обращений должно проверяться ответственным лицом.
При обнаружении нарушений порядка предоставления персональных данных уполномоченное лицо незамедлительно приостанавливает предоставление персональных данных пользователям информационной системы, а также своевременно информирует о факте нарушения непосредственного руководителя, который, в случае необходимости, проводит соответствующее расследование для выявления и устранения причин нарушения.
В соответствии с Постановление Правительства РФ от 1 ноября 2012 г. N 1119"Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»:
Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 14 настоящего документа, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
Для обеспечения 1-го уровня защищенности персональных данных при их обработке в информационных системах помимо требований, предусмотренных пунктом 15 настоящего документа, необходимо выполнение следующих требований:
а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
б) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.
Рандомно подобранные статьи с сайта:
Роскомнадзор — готова ли ваша компания к его проверкам?
Похожие статьи:
kna-school4.ru