Это интересно
- ОКД
- ЗКС
- ИПО
- КНПВ
- Мондиоринг
- Большой ринг
- Французский ринг
- Аджилити
- Фризби
Опрос
Полезные ссылки
РКФ
Все о дрессировке собак
Стрижка собак в Коломне
Поиск по сайту
Журнал учета паролей по информационной системе персональных данных (ИСПДн). Журнал учета прав доступа к испдн
«Ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.» - Требование ч.1 ст. 18.1 ФЗ-152 «О персональных данных». Перечень обязательных инструктажей: «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных»;
2) правовые основания и цели обработки персональных данных; 3) цели и применяемые оператором способы обработки персональных данных; 4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона; 5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; 6) сроки обработки персональных данных, в том числе сроки их хранения; 7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом; 8) информацию об осуществленной или о предполагаемой трансграничной передаче данных; 9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; 10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами. «Субъект вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки…» Запрос субъекта должен содержать:
Оператор вправе отказать субъекту ПДн в выполнении повторного/первичного запроса, если у операторы имеются мотивированное обоснования отказа. Доказательства обоснования отказа лежит на операторе. Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение ч. 8 ст. 14 ФЗ-152 или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. При получении запроса от уполномоченного органа по защите прав субъектов ПДн какой либо информации – оператор обязан дать ответ в течение 30 дней с даты получения такого запроса Формы уведомлений субъектов об уничтожении/уточнении/блокировании/ и пр. его ПДн приведены в Приложениях к Положению о порядке организации и проведению работ по обработке и защите персональных данных, обрабатываемых в информационных системах персональных данных центра занятости населения. Регистрацию запросов должен вести Ответственный за обеспечение ИБ ПДн.
Должны быть учтены программно-аппаратные средства (VipNet Coordinator). Учет должен вести администратор ИБ ИСПДн.
Учет должен вести администратор ИБ ИСПДн.
Также, в Приложении к приказу должен быть указан весь перечень программных и технических средств, принимаемых в промышленную эксплуатацию в составе системы защиты персональных данных ИСПДн (например СКЗИ VipNet, СЗИ от НСД SecretNet и пр.) Приказ должен подготовить Администратор ИБ ИСПДн совместно с Администратором ИСПДн.
Перечень обязанностей АИБ представлен в инструкции администратора ИБ ИСПДн.
Классификация должна быть документально закреплена во внутренних документах. Для выполнения данного требования должны быть создана комиссия для проведения классификации ИСПДн, в составе:
В своей работе Ответственный за обеспечение ИБ центра занятости населения должен руководствоваться нормативными правовыми актами в области обеспечения безопасности ПДн, Положением о персональных данных и пр. внутренними документами центра занятости населения, регламентирующих деятельность по обеспечения безопасности ПДн. Ответственный за обеспечение безопасности ПДн должен осуществлять организацию работы и общий контроль информационной безопасности центра занятости населения.
Сотрудники, ответственные за обеспечение материальных носителей ПДн должны быть ознакомлены Ответственным за обеспечение ИБ с постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 под роспись в журнале инструктажа.
С инструкцией должны быть ознакомлены (с отметкой на листе ознакомления – Приложение 2) Ответственный за обеспечение ИБ, Администратор ИБ ИСПДн.
С инструкцией должны быть ознакомлены (с отметкой на листе ознакомления – Приложение 2) Ответственный за обеспечение ИБ, Администратор ИСПДн.
С инструкцией должны быть ознакомлены (с отметкой на листе ознакомления – Приложение 3) Ответственный за обеспечение ИБ, Администратор ИСПДн, Администратор ИБ ИСПДн, Начальники структурных подразделений центра занятости населения.
С данной инструкцией должны быть ознакомлены (с отметкой на листе ознакомления) Администратор ИБ ИСПДн и Ответственный за обеспечение ИБ центра занятости населения. Пользователи ИСПДн должны быть ознакомлены с данной инструкцией только в части их касающейся (с отметкой и росписью Пользователя в Журнале инструктажа).
Пользователи должны быть проинструктированы и ознакомлены под роспись с данной инструкцией в части их касающейся с отметкой в журнале инструктажа. Ответственность за организацию работ по антивирусной защите несет Администратор информационной безопасности центра занятости населения. Общий контроль информационной безопасности возлагается на Ответственного за обеспечение безопасности ПДн центра занятости населения. С данной инструкцией, как минимум, должны быть ознакомлены (под роспись на листе ознакомления – Приложение №2 инструкции) – Администратор ИБ ИСПД, Администратор ИСПДН, Ответственный за обеспечение ИБ.
Должностные лица, задействованные в процессе организации и осуществления резервного копирования, а также Администратор ИБ ИСПДн, Администратор ИСПДН и Ответственным за обеспечение ИБ центра занятости населения должны быть ознакомлены с данной инструкцией (с отметкой на листе ознакомления – Приложение 3)
Проверки должны осуществляться комиссией, в которую входят:
С инструкцией должны быть ознакомлены (с отметкой на листе ознакомления – Приложение 4) Ответственный за обеспечение ИБ, а также Администратор информационной безопасности
Все сотрудники должны быть ознакомлены со всеми положениями данной инструкции под роспись на листе ознакомления (Приложение 2).
Процесс актуализации перечня персональных данных должен иметь централизованный подход для всех центров занятости населения. Ответственными за актуализацию Перечня ПДн должны является - Ответственный за обеспечение ИБ центра занятости населения.
Планом определяется перечень и срок выполнения мероприятий, необходимых для выполнения требований Федерального законодательства в области обеспечений безопасности персональных данных.
Все сотрудники центра занятости населения, обрабатывающие персональные данные, должны быть ознакомлены с данным положением в части их касающейся Ответственным за обеспечение безопасности ПДн центра занятости населения с отметкой о проведение ознакомления в Журнале проведения инструктажа.
Пользователи должны быть проинструктированы и ознакомлены с данной инструкцией в части их касающейся (с роспись в журнале инструктажа). С данной инструкцией должны быть ознакомлены (под роспись на листе ознакомления – Приложение №2 инструкции) – Администратор ИБ ИСПД, Администратор ИСПДН, Ответственный за обеспечение ИБ.
С данным регламентом должны быть ознакомлены все сотрудники центра занятости населения (с росписью на листе Ознакомления), осуществляющие обработку персональных данных. Всем сотрудникам центра занятости населения должны быть вручены твердые или электронные копии данного регламента для повседневного использовании данного регламенты при работе с персональными данными. Ознакомление с требованиями регламента должно осуществляться следующим образом: Ответственный за обеспечение ИБ ознакамливает Администратора информационной безопасности, Администратор ИБ ознакамливает начальников структурных подразделений, Начальник структурных подразделений ознакамливает с данным регламентом сотрудников своих подразделений.
В уведомлении указываются:
Ответственный за процесс отправки Уведомления в Роскомнадзор и актуализацию данных в Уведомлении (при необходимости) должен являться Ответственный за обеспечение ИБ центра занятости населения.Общие положения: Все документы должны быть введены в действие приказом Руководителя центра занятости населения. Дата ввода в действие документов - 28.12.2011. Изменения документов должны фиксироваться на «листах регистрации изменений», являющимися Приложениями к каждому нормативному документу. |
rykovodstvo.ru
«Ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.» - Требование ч.1 ст. 18.1 ФЗ-152 «О персональных данных». Перечень обязательных инструктажей: «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных»;
1) подтверждение факта обработки персональных данных оператором; 2) правовые основания и цели обработки персональных данных; 3) цели и применяемые оператором способы обработки персональных данных; 4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона; 5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; 6) сроки обработки персональных данных, в том числе сроки их хранения; 7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом; 8) информацию об осуществленной или о предполагаемой трансграничной передаче данных; 9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; 10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами. «Субъект вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки…» Запрос субъекта должен содержать:
Если субъекту были предоставлены его ПДн для ознакомления, он вправе отправить повторный запрос не ранее чем через 30 дней после первоначального обращения, если другой срок не установлен федеральным законодательством/договором/иным правовым актом, за исключениев случаев, если субъекту были предоставлены неполные сведения при первоначальном запросе, но в таком случае, в его повторном запросе должно быть обоснование направления запроса. Оператор вправе отказать субъекту ПДн в выполнении повторного/первичного запроса, если у операторы имеются мотивированное обоснования отказа. Доказательства обоснования отказа лежит на операторе. Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение ч. 8 ст. 14 ФЗ-152 или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. При получении запроса от уполномоченного органа по защите прав субъектов ПДн какой либо информации – оператор обязан дать ответ в течение 30 дней с даты получения такого запроса Формы уведомлений субъектов об уничтожении/уточнении/блокировании/ и пр. его ПДн приведены в Приложениях к Положению о порядке организации и проведению работ по обработке и защите персональных данных, обрабатываемых в информационных системах персональных данных центра занятости населения. Регистрацию запросов должен вести Ответственный за обеспечение ИБ ПДн.
Должны быть учтены программно-аппаратные средства (VipNet Coordinator). Учет должен вести администратор ИБ ИСПДн.
Учет должен вести администратор ИБ ИСПДн.
Учет должен вести администратор ИБ ИСПДн.
Также, в Приложении к приказу должен быть указан весь перечень программных и технических средств, принимаемых в промышленную эксплуатацию в составе системы защиты персональных данных ИСПДн (например СКЗИ VipNet, СЗИ от НСД SecretNet и пр.) Приказ должен подготовить Администратор ИБ ИСПДн совместно с Администратором ИСПДн.
Перечень обязанностей АИБ представлен в инструкции администратора ИБ ИСПДн.
Классификация должна быть документально закреплена во внутренних документах. Для выполнения данного требования должны быть создана комиссия для проведения классификации ИСПДн, в составе:
Для выполнения данного требования должны быть создана комиссия в составе:
В своей работе Ответственный за обеспечение ИБ центра занятости населения должен руководствоваться нормативными правовыми актами в области обеспечения безопасности ПДн, Положением о персональных данных и пр. внутренними документами центра занятости населения, регламентирующих деятельность по обеспечения безопасности ПДн. Ответственный за обеспечение безопасности ПДн должен осуществлять организацию работы и общий контроль информационной безопасности центра занятости населения.
Сотрудники, ответственные за обеспечение материальных носителей ПДн должны быть ознакомлены Ответственным за обеспечение ИБ с постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 под роспись в журнале инструктажа.
С инструкцией должны быть ознакомлены (с отметкой на листе ознакомления – Приложение 2) Ответственный за обеспечение ИБ, Администратор ИБ ИСПДн.
С инструкцией должны быть ознакомлены (с отметкой на листе ознакомления – Приложение 2) Ответственный за обеспечение ИБ, Администратор ИСПДн.
С инструкцией должны быть ознакомлены (с отметкой на листе ознакомления – Приложение 3) Ответственный за обеспечение ИБ, Администратор ИСПДн, Администратор ИБ ИСПДн, Начальники структурных подразделений центра занятости населения.
С данной инструкцией должны быть ознакомлены (с отметкой на листе ознакомления) Администратор ИБ ИСПДн и Ответственный за обеспечение ИБ центра занятости населения. Пользователи ИСПДн должны быть ознакомлены с данной инструкцией только в части их касающейся (с отметкой и росписью Пользователя в Журнале инструктажа).
Пользователи должны быть проинструктированы и ознакомлены под роспись с данной инструкцией в части их касающейся с отметкой в журнале инструктажа. Ответственность за организацию работ по антивирусной защите несет Администратор информационной безопасности центра занятости населения. Общий контроль информационной безопасности возлагается на Ответственного за обеспечение безопасности ПДн центра занятости населения. С данной инструкцией, как минимум, должны быть ознакомлены (под роспись на листе ознакомления – Приложение №2 инструкции) – Администратор ИБ ИСПД, Администратор ИСПДН, Ответственный за обеспечение ИБ.
Должностные лица, задействованные в процессе организации и осуществления резервного копирования, а также Администратор ИБ ИСПДн, Администратор ИСПДН и Ответственным за обеспечение ИБ центра занятости населения должны быть ознакомлены с данной инструкцией (с отметкой на листе ознакомления – Приложение 3)
Проверки должны осуществляться комиссией, в которую входят:
С инструкцией должны быть ознакомлены (с отметкой на листе ознакомления – Приложение 4) Ответственный за обеспечение ИБ, а также Администратор информационной безопасности
Все сотрудники должны быть ознакомлены со всеми положениями данной инструкции под роспись на листе ознакомления (Приложение 2).
Процесс актуализации перечня персональных данных должен иметь централизованный подход для всех центров занятости населения. Ответственными за актуализацию Перечня ПДн должны является - Ответственный за обеспечение ИБ центра занятости населения.
Планом определяется перечень и срок выполнения мероприятий, необходимых для выполнения требований Федерального законодательства в области обеспечений безопасности персональных данных.
Все сотрудники центра занятости населения, обрабатывающие персональные данные, должны быть ознакомлены с данным положением в части их касающейся Ответственным за обеспечение безопасности ПДн центра занятости населения с отметкой о проведение ознакомления в Журнале проведения инструктажа.
Пользователи должны быть проинструктированы и ознакомлены с данной инструкцией в части их касающейся (с роспись в журнале инструктажа). С данной инструкцией должны быть ознакомлены (под роспись на листе ознакомления – Приложение №2 инструкции) – Администратор ИБ ИСПД, Администратор ИСПДН, Ответственный за обеспечение ИБ.
С данным регламентом должны быть ознакомлены все сотрудники центра занятости населения (с росписью на листе Ознакомления), осуществляющие обработку персональных данных. Всем сотрудникам центра занятости населения должны быть вручены твердые или электронные копии данного регламента для повседневного использовании данного регламенты при работе с персональными данными. Ознакомление с требованиями регламента должно осуществляться следующим образом: Ответственный за обеспечение ИБ ознакамливает Администратора информационной безопасности, Администратор ИБ ознакамливает начальников структурных подразделений, Начальник структурных подразделений ознакамливает с данным регламентом сотрудников своих подразделений.
В уведомлении указываются:
Ответственный за процесс отправки Уведомления в Роскомнадзор и актуализацию данных в Уведомлении (при необходимости) должен являться Ответственный за обеспечение ИБ центра занятости населения.Общие положения: Все документы должны быть введены в действие приказом Руководителя центра занятости населения. Дата ввода в действие документов - 28.12.2011. Изменения документов должны фиксироваться на «листах регистрации изменений», являющимися Приложениями к каждому нормативному документу. |
filling-form.ru
Этапы организации защиты ПДн в ОО (для администратора) – Портал службы поддержки
Образовательные организации являются операторами персональных данных, поскольку занимаются обработкой персональных данных учащихся и педагогов. Следовательно, ответственными сотрудниками этих организаций должно обеспечиваться соблюдение вышеуказанного закона.
Выполнение требований закона в образовательных организациях
Статья 19 ФЗ № 152 «О персональных данных». Меры по обеспечению безопасности персональных данных при их обработке:
- Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
- Использование и хранение биометрических персональных данных вне информационных систем персональных данных может осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
В рамках образовательных организаций должен быть выполнен комплекс работ по сбору пакета документов, предоставляемых на проверку контролирующим организациям.
В настоящее время отсутствуют нормативные акты, утверждающие форму этих типовых ведомственных документов по защите персональных данных в образовательных организациях.
Пакет документов для проверки
- Концепция информационной безопасности.
- Приказ о создании СЗ ПДн.
- План мероприятий по обеспечению защиты ПДн.
- Отчет о результатах проведения внутренней проверки.
- Перечень сведений, составляющих ПДн.
- Список ИСПДн, в которых обрабатываются ПДн.
- Разрешительная система доступа к ПДн.
- Перечень сотрудников, допущенных к обработке ПДн.
- Перечень защищаемой информации.
- Положение по обработке персональных данных.
- Политика ИБ.
- Инструкция пользователя ИСПДн.
- Инструкция пользователя ИСПДн на случай возникновения внештатных ситуаций.
- Инструкция администратора ИБ ИСПДн.
- Инструкция по организации парольной защиты.
- Инструкция по антивирусной защите.
- Инструкция по обработке ПДн без использования средств автоматизации.
- Перечень ПДн с местами хранения, обработки и списком допущенных лиц.
- Перечень ПДн с местами хранения, обработки и списком допущенных лиц.
- Приказ о введении в действие документов, регламентирующих мероприятия по защите ПДн.
- Приказ о создании комиссии по уничтожению ПДн.
- Журнал регистрации фактов несанкционированного доступа.
- Журнал учета обращений субъектов ПДн в ИСПДн.
- Журнал учета пользователей ИСПДн, прошедших обучение правилам работы с СЗИ.
- Журнал учета мероприятий по контролю ИБ.
- План проверочных мероприятий по обеспечению безопасности ПДн.
- АКТ 1 классификации ИСПДн.
- Приказ о назначении администратора ИБ.
- Форма согласия работника на обработку его ПДн.
Единая образовательная сеть «Дневник.ру» предоставляет шаблоны указанных форм документов образовательным организациям, заключившим соглашение с Дневник.ру. Благодаря этому у образовательных организаций отпадает необходимость в самостоятельном подборе и составлении документации из этого обширного перечня.
Этапы работ
Организация защиты персональных данных должна производиться в несколько этапов:
- инвентаризация информационных ресурсов;
- ограничение доступа работников к персональным данным;
- документальное регламентирование работы с персональными данными;
- формирование модели угроз безопасности персональных данных;
- классификация информационных систем персональных данных (ИСПДн) образовательных организаций;
- составление и отправка в уполномоченный орган уведомления об обработке персональных данных;
- приведение системы защиты персональных данных в соответствие с требованиями регуляторов;
- создание подсистемы информационной безопасности ИСПДн и ее аттестация (сертификация) – для ИСПДн классов К1, К2;
- организация эксплуатации и контроля безопасности ИСПДн.
Этап 1. Инвентаризация информационных ресурсов
Инвентаризация информационных ресурсов - выявление присутствия и осуществления обработки персональных данных во всех эксплуатируемых в организации информационных системах и традиционных хранилищах данных. В качестве информационных систем, относящихся к ИСПДн, выступают:
- электронный журнал/дневник;
- «1С-Бюджет»;
- «1С-Зарплата-Кадры»;
- автоматизированная информационная библиотечная система;
- информационная система «Налогоплательщик» и другие.
Выполняя функции электронного журнала/дневника, информационная система «Дневник.ру» является ИСПДн и зарегистрирована Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций РФ в реестре операторов персональных данных под регистрационным номером 09-0062296.
На данном этапе следует: утвердить положение о защите персональных данных, сформировать концепцию, определить политику информационной безопасности, составить перечень персональных данных, подлежащих защите.
Места обработки персональных данных:
- бухгалтерия;
- библиотека;
- учительская;
- отдел кадров;
- медпункт.
Этап 2. Ограничение доступа работников к персональным данным
Ограничение доступа работников организации к персональным данным – неотъемлемая часть мероприятий по обеспечению безопасности ПДн при их обработке в информационных системах. Допуск к обработке персональных данных должен быть только у тех сотрудников, которым это необходимо для выполнения служебных (трудовых) обязанностей. Система Дневник.ру построена таким образом, что сотрудники образовательных организаций, учащиеся и их законные представители могут пройти регистрацию на сайте только после получения логина и пароля для первого входа в своей образовательной организации. Все данные хранятся в Администрации образовательной организации и не подлежат разглашению, что гарантирует отсутствие посторонних лиц в Дневник.ру.
На данном этапе следует: в необходимой мере ограничить как электронный, так и физический доступ к персональным данным, хранящимся в образовательной организации.
Этап 3. Документальное регламентирование работы с персональными данными
Согласно статье 86 Трудового кодекса РФ, работники и их представители должны быть ознакомлены под роспись с теми документами работодателя, которые устанавливают порядок обработки персональных данных работников, а также их права и обязанности в этой области.
Субъект персональных данных самостоятельно решает вопрос их передачи кому-либо, оформляя свое намерение документально.
На данном этапе следует: собрать согласия на обработку персональных данных, издать приказ о назначении лиц, ответственных за обработку ПДн, и положение о разграничении прав доступа к обрабатываемым ПДн, составить инструкции администратора ИСПДн, пользователя ИСПДн и администратора безопасности ИСПДн.
Согласия на обработку персональных данных физических лиц
В соответствии со статьей 9 ФЗ-№152 «О персональных данных» обработка персональных данных субъекта осуществляется только при условии наличия его письменного согласия с указанием следующих данных:
- фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва.
Формы согласий на обработку персональных данных сотрудников образовательных организаций, учащихся и их законных представителей, используемые при подключении к Дневник.ру, полностью соответствуют вышеуказанным требованиям. Подписанные согласия хранятся в образовательных организациях и могут быть предоставлены только по требованию регуляторов и других уполномоченных органов РФ.
Этап 4. Формирование модели угроз безопасности персональных данных
Частная модель угроз безопасности персональных данных, хранящихся в информационной системе, формируется на основании следующих документов, утвержденных Федеральной службой по техническому и экспортному контролю (ФСТЭК):
- Базовая модель угроз безопасности персональных данных при их обработке в ИСПДн.
- Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн.
- Частная модель угроз безопасности персональных данных, хранящихся в информационной системе «Дневник.ру», была сформирована ФГУП «ЗащитаИнфоТранс». Она показывает, что персональные данные пользователей, обрабатываемые в Дневник.ру, подвергаются низкой степени угрозы несанкционированного доступа к ним.
На данном этапе следует сформировать модель угроз безопасности персональных данных, обрабатываемых и хранящихся в образовательной организации.
Этап 5. Классификация ИСПДн
На данном этапе следует составить акты классификации используемых в образовательной организации информационных систем персональных данных.
Этап 6. Составление и отправка в уполномоченный орган уведомления
Уведомление об обработке персональных данных оформляется на бланке оператора и направляется в территориальный орган Роскомнадзора Министерства связи и массовых коммуникаций РФ на бумажном носителе или в форме электронного документа с подписью уполномоченного лица.В форме указываются данные об обработчике, цель обработки, категории данных, категории субъектов, данные которых обрабатываются, правовое основание обработки, дата ее начала, срок (условие) ее прекращения и прочее.
На данном этапе следует: на сайте Уполномоченного органа по защите прав субъектов персональных данных http://www.pd.rsoc.ru/operators-registry/notification/form/, заполнить и отправить форму уведомления в электронном виде или распечатать на бумажном носителе.
Этап 7. Приведение системы в соответствие с требованиями регуляторов
В ФЗ №152 «О персональных данных» сказано, что оператор персональных данных обязан принимать все необходимые меры по защите безопасности ПДн. Это означает потребность оператора в использовании современных высокотехнологичных способов хранения ПДн. Персональные данные, обрабатываемые системой Дневник.ру, хранятся в одном из лучших дата-центров России - Селектел, который находится в городе Санкт-Петербурге. Многоуровневая система доступа, отвечающая самым жестким требованиям банковских и государственных структур, обеспечивает безопасное хранение данных.
На данном этапе следует: создать перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним; положение о подразделении по защите информации; методические рекомендации для организации защиты информации при обработке персональных данных; инструкцию пользователя по обеспечению безопасности обработки ПД при возникновении внештатных ситуаций, а также утвердить план мероприятий по защите ПДн.
Этап 8. Аттестация (сертификация) ИСПДн
Для обеспечения безопасности ИСПДн требуется проводить мероприятия по организации и техническому сопровождению защиты обрабатываемых персональных данных. В качестве оценки соответствия ИСПДн 1 и 2 классов требованиям к безопасности ПДн используется обязательная сертификация (аттестация).
Сертификат соответствия № 2309 от 28.03.2011 г. Аттестат соответствия требованиям нормативной документации по информационной безопасности от 21 мая 2012 года.
На данном этапе следует: создать эскизный проект системы обеспечения безопасности информации объекта вычислительной техники и типовое техническое задание на разработку системы обеспечения безопасности информации объекта вычислительной техники, а также определить порядок резервирования технических средств защиты информации.
Перечень объектов информатизации, подлежащих аттестации
Обязательной аттестации подлежат следующие объекты информатизации:
- Автоматизированные системы различного уровня и назначения.
- Системы связи, приема, обработки и передачи данных.
- Системы отображения и размножения.
- Помещения, предназначенные для ведения конфиденциальных переговоров.
Этап 9. Организация эксплуатации ИСПДн и контроля за безопасностью
Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
- контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
- разбирательство и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования средств защиты информации, которые могут привести к нарушению конфиденциальности ПДн.
На данном этапе следует:
- Разработать проект приказа о положении об электронном журнале обращений пользователей информационных систем персональных данных → создать журнал учета обращений субъектов ПДн о выполнении их законных прав и журнал учета мероприятий по контролю.
- Сформировать план внутренних проверок → издать приказ о проведении внутренней проверки → составить отчет о результатах проведения внутренней проверки.
Поддержание эффективной системы защиты ПДн
Для поддержания системы защиты персональных данных на высоком уровне требуется проведение следующих мероприятий:
- Развертывание полноценной системы обработки ПДн. Система «Дневник.ру» обладает качественными техническими ресурсами, применение которых позволяет осуществлять безопасную обработку персональных данных в образовательной организации.
- Полномасштабное внедрение средств защиты. Высококвалифицированные специалисты Дневник.ру обеспечивают постоянный контроль и необходимое техническое обслуживание системы защиты персональных данных пользователей.
- Аттестация ИСПДн. Информационная система «Дневник.ру» имеет все необходимые лицензии и сертификаты для обработки персональных данных.
- Приведение всех процессов обработки ПДн в соответствие с требованиями закона. Дневник.ру отвечает требованиям законодательства в области защиты персональных данных.
- Реакция на регулярные проверки и прочее.
Ответственность за нарушение ФЗ №152 «О персональных данных»
- Административная ответственность: штраф или штраф с конфискацией несертифицированных средств обеспечения безопасности и шифровальных средств. Административный кодекс, ст. 13.11, 13.12, 13.14.
- Дисциплинарная ответственность: увольнение провинившегося работника. Трудовой кодекс РФ, ст. 81 и 90.
- Уголовная ответственность: от исправительных работ и лишения права занимать определенные должности до ареста. Уголовный кодекс, ст. 137, 140, 272.
- Шаблоны документов для организации ИБ в ОО.7z (2 МБ)
help.dnevnik.ru
Журнал учета паролей по информационной системе персональных данных (ИСПДн)
_________________________________ (наименование оператора)ЖУРНАЛ учета паролей по информационной системе персональных данных (ИСПДн)
начат "___"________ ____ г.
окончен "___"________ ____ г.
г. __________
Требования к системе защиты информации информационной системы установлены ________________________ от "___"________ ____ г. N ___.
N п/п |
Дата записи |
Должность, Ф.И.О. сотрудника |
Уровень полномочий <1> на доступ к разделам ИСПД |
Условия доступа к ИСПД |
Номер и дата распорядительного документа на предоставление полномочий |
Срок реализации полномочий |
Пароль |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
1. Раздел "4-й уровень <2>" |
|||||||
2. Раздел "3-й и 4-й уровни" |
|||||||
3. Раздел "2 - 4-й уровни" |
|||||||
4. Раздел "Все уровни" |
|||||||
Субъект генерации пароля |
Условия действия пароля |
Сроки планового или условия экстренного обновления пароля |
Уровень сложности пароля |
Условия блокировки, аннулирования пароля |
Роспись владельца пароля |
Роспись ответственного лица |
Примечания |
|||||
9 |
10 |
11 |
12 |
13 |
14 |
15 |
16 |
|||||
1. Раздел "4-й уровень" |
||||||||||||
2. Раздел "3-й и 4-й уровни" |
||||||||||||
3. Раздел "2 - 4-й уровни" |
||||||||||||
4. Раздел "Все уровни" |
||||||||||||
Примечания:
1. Журнал паролей является документом строгой отчетности. Он должен быть пронумерован, прошнурован, подписан руководителем организации, заверен печатью и храниться все время хранения персональных данных.
2. Карандашные записи и подчистки в журнале запрещаются. Допущенные исправления оговариваются и скрепляются печатью организации.
--------------------------------
Информация для сведения:
<1> Доступ субъектов доступа к объектам доступа управляется в соответствии с разд. II Приложения N 2 к Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (утверждены Приказом ФСТЭК России от 11.02.2013 N 17).
<2> Уровни защищенности персональных данных определяются в соответствии с п. п. 9 - 12 Постановления Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
ruforma.info
  |
Примерный состав пакета документов:
ВАЖНО!Для каждой организации перечень документов может варьироваться в зависимости от отраслевой специфики предприятия и от бизнес-процессов, связанных с обработкой персональных данных. |
www.contek.ru
Положение о разграничении прав доступа к обрабатываемым ПДн в ИСПДн
| (Полное наименование оператора) | ||||||||||||||||||
| "УТВЕРЖДЕНО" | |||||
| (должность) | (личная подпись) | (расшифровка подписи) | |||
| № |
Положение
о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных
1.
Общие положения
1.1.В данном документе представлен список лиц, ответственных за обработку персональных данных в информационных системах персональных данных (далее по тексту - ИСПДн), а так же их уровень прав доступа к обрабатываемым персональным данным.
1.2.Разграничение прав осуществляется на основании Акта о результатах проведения проверки ИСПДн, а так же исходя из характера и режима обработки персональных данных в ИСПДн.
1.3.Список лиц, ответственных за обработку персональных данных в информационных системах персональных данных, а так же их уровень прав доступа для каждой ИСПДн представлен в таблице:
| Группа/должность | Уровень доступа к ПДн | Разрешенные действия | ФИО сотрудника |
| Администратор ИСПДн -программист. | - Обладает полной информацией о системном и прикладном программном обеспечении ИСПДн. - Обладает полной информацией о технических средствах и конфигурации ИСПДн. - Имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн. - Обладает правами конфигурирования и административной настройки технических средств ИСПДн. | - сбор; - систематизация; - накопление; - хранение; - уточнение; - использование; - уничтожение. | |
| Администратор безопасности-программист. | - Обладает правами Администратора ИСПДн. - Обладает полной информацией об ИСПДн. - Имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн. - Не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных). - Обладает всеми необходимыми атрибутами и правами, обеспечивающими доступ ко всем ПДн. | - сбор; - систематизация; - накопление; - хранение; - уточнение; - использование; - уничтожение. | |
| Операторы ИСПДн с правами записи. | Обладает всеми необходимыми атрибутами и правами, обеспечивающими доступ ко всем ПДн. | - сбор; - систематизация; - накопление; - хранение; - уточнение; - использование; - уничтожение. | |
| Операторы ИСПДн с правами чтения. | Обладает всеми необходимыми атрибутами и правами, обеспечивающими доступ к подмножеству ПДн. | Использование. |
www.freshdoc.ru
