Как составить акт по пдн

Как составить акт по пдн

По результатам проведения проверок регуляторами всё больше организаций теряют статус операторов персональных данных и тем самым, не имеют права осуществлять деятельность по сбору, обработке, хранению и передаче персональных данных. С целью функционирования информационной системы персональных данных согласно действующим нормативно-правовым актам, в первую очередь, необходимо определить и документально утвердить основные положения, правила и процедуры обработки и защиты персональных данных в организации.

Требования, предъявляемые оператору к обработке и защите персональных данных, отражены в следующих нормативно-правовых актах, регламентирующих создание организационно-распорядительной документации (ОРД) организации:

Неотъемлемой частью системы защиты информации является комплекс организационных мероприятий, задокументированный в локальных нормативных актах. Комплекс ОРД должен в полном объеме учитывать положения нормативно-правовых актов в области защиты персональных данных.

Федеральный закон «О персональных данных» от 27 июля 2006 N 152-ФЗ определяет следующие требования к составу ОРД:

Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ

Локальный нормативный акт Требование
Соглашение о соблюдении безопасности персональных данных Ст.6 п.3
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
Обязательство о неразглашении Ст.7
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Согласие субъекта на обработку персональных данных Ст.9 п.1
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
Регламент по трансграничной передаче данных. Приложения к документу: Протокол заседания комиссии по определению возможности осуществления трансграничной передачи персональных данных. Ст.12
Регламент реагирования на обращения и запросы субъектов персональных данных. Приложения к документу:
– запрос субъекта персональных данных на получение информации, касающейся обработки его персональных данных;
– запрос субъекта персональных данных на предоставление доступа к своим персональным данным;
– запрос субъекта персональных данных в случае выявления недостоверных персональных данных;
– запрос субъекта персональных данных в случае выявления неправомерных действий с персональными данными;
– запрос субъекта персональных данных в случае отзыва согласия на обработку персональных данных.		 Ст.14
Приказ о назначении ответственных за организацию обработки и обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных Ст.18.1 п.1
Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться: 1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
Положение об обработке персональных данных, учитывающее:
– состав и (или) перечень ПДн;
– цели сбора ПДн;
– виды носителей ПДн;
– технологию обработки и хранения ПДн;
– список лиц, имеющих доступ;
– ответственность за разглашение ПДн.
Политика обработки персональных данных (размещается на сайте организации) 		2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
Технический проект на систему защиты ИСПДн.
План мероприятий по обеспечению безопасности персональных данных.		 3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;
Положение о комиссии по защите персональных данных. Политика защиты персональных данных (Политика обеспечения безопасности персональных данных). Регламент проведения контрольных мероприятий.
Приложения к документу:
– план внутренних проверок соблюдения требований законодательства в области персональных данных;
– план пересмотра внутренних нормативных актов по персональным данным;
– протокол пересмотра внутренних нормативных актов по персональным данным;
– протокол проведения внутренней проверки на соблюдение требований законодательства в области персональных данных;
– акт пересмотра внутренних нормативных актов по персональным данным;
– акт проведения внутренней проверки на соблюдение требований законодательства в области персональных данных.		 4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
Положение об оценке вреда, который может быть причинен субъектам персональных данных, с приложением:
– инструкция по оценке вреда;
– акт оценки вреда (при наличии). 		5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;
Инструкция администратора безопасности. Регламент проведения контрольных мероприятий.
Приложения к документу:
– план внутренних проверок соблюдения требований законодательства в области персональных данных;
– план пересмотра внутренних нормативных актов по персональным данным;
– протокол пересмотра внутренних нормативных актов по персональным данным;
– протокол проведения внутренней проверки на соблюдение требований законодательства в области персональных данных;
– акт пересмотра внутренних нормативных актов по персональным данным;
– акт проведения внутренней проверки на соблюдение требований законодательства в области персональных данных.		 6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
Регламент взаимодействия с уполномоченным регулятором в области обработки персональных данных, включая журнал учета обращений и ответов на обращения. Ст.18.1 п.4
Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных
Модель угроз безопасности ПДн.
Перечень ИСПДн.		 Ст.19 п.2
Обеспечение безопасности персональных данных достигается, в частности: 1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
Технический проект на систему защиты персональных данных.
Акт определения уровня защищенности персональных данных.
Приказ о назначении комиссии по определению уровня защищенности персональных данных.		 2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
Перечень средств защиты информации (Технический проект на систему защиты персональных данных) 3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
Акт ввода в опытную эксплуатацию системы защиты информации в информационной системе персональных данных.
Акт о завершении опытной эксплуатации системы защиты информации в информационной системе персональных данных.
Акт о вводе информационной системы персональных данных в промышленную эксплуатацию.		 4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
Регламент учета, хранения и уничтожения носителей персональных данных, содержащий: – Правила и процедуры учета, хранения и уничтожения бумажных и машинных носителей информации;
– журнал учета машинных носителей;
– акты установки (ввода в эксплуатацию) машинных носителя(ей) (при наличии);
– акты уничтожения носителей (при наличии);
– акты восстановления машинных носителя(ей) персональных данных (при наличии);
– акты приема-передачи носителя(ей) персональных данных (при наличии). 		5) учетом машинных носителей персональных данных;
Положение о выявлении, ликвидации и предотвращении инцидентов безопасности персональных данных, с приложением:
– журнал учета инцидентов;
– акты выявления инцидентов (при наличии);
– акты устранения инцидентов (при наличии);
– акт проведения расследования инцидента безопасности, связанного с персональными данными. 		6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
Регламент резервного копирования и восстановления персональных данных.
Приложения к документу:
– план резервного копирования персональных данных;
– журнал восстановления данных учета создания и использования резервных копий персональных данных.		 7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
Матрица доступа к информационным ресурсам ИСПДн.
Инструкция по защите информации о событиях безопасности в информационной системе персональных данных.
Регламент проведения контрольных мероприятий.
Приложения к документу:
– план внутренних проверок соблюдения требований законодательства в области персональных данных;
– план пересмотра внутренних нормативных актов по персональным данным;
– протокол пересмотра внутренних нормативных актов по персональным данным;
– протокол проведения внутренней проверки на соблюдение требований законодательства в области персональных данных;
– акт пересмотра внутренних нормативных актов по персональным данным;
– акт проведения внутренней проверки на соблюдение требований законодательства в области персональных данных.		 8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; 9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Регламент взаимодействия с уполномоченным регулятором в области обработки персональных данных, включая журнал учета обращений и ответов на обращения Ст.20 п.4
Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
Уведомление об обработке персональных данных Ст.21 п.1
Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Инструкция лица, ответственного за организацию обработки персональных данных. Регламент проведения контрольных мероприятий.
Приложения к документу:
– план внутренних проверок соблюдения требований законодательства в области персональных данных;
– план пересмотра внутренних нормативных актов по персональным данным;
– протокол пересмотра внутренних нормативных актов по персональным данным;
– протокол проведения внутренней проверки на соблюдение требований законодательства в области персональных данных;
– акт пересмотра внутренних нормативных актов по персональным данным;
– акт проведения внутренней проверки на соблюдение требований законодательства в области персональных данных.
Регламент реагирования на обращения и запросы субъектов персональных данных. Приложения к документу:
– запрос субъекта персональных данных на получение информации, касающейся обработки его персональных данных;
– запрос субъекта персональных данных на предоставление доступа к своим персональным данным;
– запрос субъекта персональных данных в случае выявления недостоверных персональных данных;
– запрос субъекта персональных данных в случае выявления неправомерных действий с персональными данными;
– запрос субъекта персональных данных в случае отзыва согласия на обработку персональных данных.		 Ст.22.1 4
Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

ОРД по ПДн без использования средств автоматизации

Постановление Правительства Российской Федерации от 15 сентября 2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» определяет следующие требования к составу ОРД:

Постановление Правительства РФ от 15.09.2008 N 687

Локальный нормативный акт Требование
Положение об обеспечении сохранности и учета носителей персональных данных, работа с которыми осуществляется без использования средств автоматизации, с приложением:
– акты уничтожения носителей персональных данных (при наличии);
– акты восстановления носителей персональных данных (при наличии);
– акты приема-передачи носителей персональных данных (при наличии).

В целом для документа

Регламент проведения контрольных мероприятий. Приложения к документу:
– план внутренних проверок соблюдения требований законодательства в области персональных данных;
– план пересмотра внутренних нормативных актов по персональным данным;
– протокол пересмотра внутренних нормативных актов по персональным данным;
– протокол проведения внутренней проверки на соблюдение требований законодательства в области персональных данных;
– акт пересмотра внутренних нормативных актов по персональным данным;
– акт проведения внутренней проверки на соблюдение требований законодательства в области персональных данных.		 Ст.6
Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).
Инструкции по заполнению бумажных форм документов, предусматривающих внесение в них персональных данных. Ст.7
При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма), должны соблюдаться следующие условия: а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, – при необходимости получения письменного согласия на обработку персональных данных;
в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
Перечень лиц, допущенных к обработке персональных данных. П.13
Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

ОРД по ПДн в информационных системах.

Постановление Правительства Российской Федерации от 1.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» определяет следующие требования к составу ОРД:

Постановление Правительства РФ от 1.11.2012 г. № 1119

Локальный нормативный акт Требование
Техническое задание на систему защиты персональных данных.
Технический проект на систему защиты персональных данных.
Модель угроз безопасности ПДн.
Акт определения уровней защищенности персональных данных.
Приказ о назначении комиссии по определению уровня защищенности персональных данных.		 П.2
Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона “О персональных данных”. Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
Инструкция администратора безопасности.
П.3
Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее – оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее – уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.
Положение о режиме обеспечения безопасности помещений с ИСПДн, с приложениями:
– акт установления границы контролируемой зоны;
– перечень помещений, в которых осуществляется обработка персональных данных;
– журнал учета доступа в помещения, в которых осуществляется обработка персональных данных (в случае отсутствия СКУД). 		П.13
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.
Регламент учета, хранения и уничтожения носителей персональных данных, содержащий:
– правила и процедуры учета, хранения и уничтожения бумажных и машинных носителей информации;
– журнал учета машинных носителей;
– акты установки (ввода в эксплуатацию) машинных носителя(ей) (при наличии);
– акты уничтожения носителей (при наличии);
– акты восстановления машинных носителя(ей) персональных данных (при наличии);
– акты приема-передачи носителя(ей) персональных данных (при наличии).
Положение об обеспечении сохранности и учета носителей персональных данных, работа с которыми осуществляется без использования средств автоматизации, с приложением:
– акты уничтожения носителей персональных данных (при наличии);
– акты восстановления носителей персональных данных (при наличии);
– акты приема-передачи носителей персональных данных (при наличии). 		б) обеспечение сохранности носителей персональных данных.
Перечень лиц, доступ которым к персональным данным, обрабатываемым в информационной системе персональных данных необходим для выполнения служебных (трудовых) обязанностей. в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.
Сертификаты соответствия требованиям безопасности средств защиты информации (рекомендуется хранить в печатном виде комплектно с дистрибутивами СрЗИ). г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Приказ о назначении ответственных за организацию обработки и обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных. 3УЗ П.14
Необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.
Инструкция администратора безопасности ИСПДн. 2УЗ П.15
Необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
Инструкция администратора безопасности ИСПДн Приказ о создании структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе. 1УЗ П.16
а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
б) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.
Регламент проведения контрольных мероприятий. Приложения к документу:
– план внутренних проверок соблюдения требований законодательства в области персональных данных;
– план пересмотра внутренних нормативных актов по персональным данным;
– протокол пересмотра внутренних нормативных актов по персональным данным;
– протокол проведения внутренней проверки на соблюдение требований законодательства в области персональных данных;
– акт пересмотра внутренних нормативных актов по персональным данным;
– акт проведения внутренней проверки на соблюдение требований законодательства в области персональных данных.		 П.17
Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).

Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяет следующие требования к комплекту ОРД:

Приказ ФСТЭК России от 18.02.2013 г. № 21

Локальный нормативный акт Требование
Регламент проведения контрольных мероприятий. Приложения к документу:
– план внутренних проверок соблюдения требований законодательства в области персональных данных;
– план пересмотра внутренних нормативных актов по персональным данным;
– протокол пересмотра внутренних нормативных актов по персональным данным;
– протокол проведения внутренней проверки на соблюдение требований законодательства в области персональных данных;
– акт пересмотра внутренних нормативных актов по персональным данным;
– акт проведения внутренней проверки на соблюдение требований законодательства в области персональных данных.		 П.6
Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.
Инструкция администратору безопасности ИСПДн.
Инструкция пользователю ИСПДн.
Инструкция по организации парольной защиты в информационной системе персональных данных.		 П.8.1
Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).
Инструкция администратору безопасности ИСПДн.
Положение о разрешительной системе доступа к ресурсам ИСПДн.
Перечень лиц, допущенных к обработке ПДн.
Матрица доступа к информационным ресурсам ИСПДн.		 П.8.2
Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил.
Инструкция администратору безопасности ИСПДн.
Перечень программного обеспечения и (или) его компонентов, разрешенного к использованию на ПЭВМ, входящих в состав информационной системы персональных данных.		 П.8.3
Меры по ограничению программной среды должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения.
Инструкция администратору безопасности ИСПДн. Регламент учета, хранения и уничтожения носителей персональных данных, содержащий:
– правила и процедуры учета, хранения и уничтожения бумажных и машинных носителей информации;
– журнал учета машинных носителей;
– акты установки (ввода в эксплуатацию) машинных носителя(ей) (при наличии);
– акты уничтожения носителей (при наличии);
– акты восстановления машинных носителя(ей) персональных данных (при наличии);
– акты приема-передачи носителя(ей) персональных данных (при наличии). 		П.8.4
Меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных.
Инструкция администратору безопасности ИСПДн Инструкция по защите информации о событиях безопасности в информационной системе персональных данных. П.8.5
Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.
Инструкция по организации антивирусной защиты в информационной системе персональных данных. П.8.6
Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.
Инструкция администратору безопасности ИСПДн. П.8.7
Меры по обнаружению (предотвращению) вторжений должны обеспечивать обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия.
Политика контроля (анализа) защищенности информационной системы персональных данных. П.8.8
Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных.
Инструкция администратору безопасности ИСПДн.
Инструкция пользователю ИСПДн.
Положение о порядке обеспечения безопасности персональных данных с использованием средств криптографической защиты информации.		 П.8.9
Меры по обеспечению целостности информационной системы и персональных данных должны обеспечивать обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных.
Регламент резервного копирования и восстановления персональных данных. Приложения к документу:
– план резервного копирования персональных данных;
– журнал восстановления данных учета создания и использования резервных копий персональных данных.
Политика безопасной эксплуатации ТС.
Политика защиты ПО.		 П.8.10
Меры по обеспечению доступности персональных данных должны обеспечивать авторизованный доступ пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования информационной системы.
Инструкция администратору безопасности ИСПДн.
Инструкция пользователю ИСПДн.
Инструкция по организации парольной защиты в информационной системе персональных данных.
Матрица доступа к информационным ресурсам ИСПДн.
Инструкция по защите информации о событиях безопасности в информационной системе персональных данных.
Политика безопасной эксплуатации ТС и политика защиты ПО.
Регламент резервного копирования и восстановления персональных данных. Приложения к документу:
– план резервного копирования персональных данных;
– журнал восстановления данных учета создания и использования резервных копий персональных данных;
– инструкция по организации антивирусной защиты в информационной системе персональных данных.		 П.8.11
Меры по защите среды виртуализации должны исключать несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.
Положение о режиме обеспечения безопасности помещений с ИСПДн, с приложением:
– акт установления границы контролируемой зоны;
– перечень помещений, в которых осуществляется обработка персональных данных;
– журнал учета доступа в помещения, в которых осуществляется обработка персональных данных (в случае отсутствия СКУД).
Политика безопасной эксплуатации ТС.		 П.8.12
Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее – средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей.
Положение о порядке обеспечения безопасности персональных данных с использованием средств криптографической защиты информации Политика обеспечения сетевой безопасности Инструкция по защите информации о событиях безопасности в информационной системе персональных данных Приказ о назначении ответственных за организацию обработки и обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных Политика защиты ПО Политика безопасной эксплуатации ТС П.8.13 Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных.
Перечень лиц, ответственных за выявление инцидентов и реагирование на них.
Положение о выявлении, ликвидации и предотвращении инцидентов безопасности персональных данных, с приложением:
– журнал учета инцидентов;
– акты выявления инцидентов (при наличии);
– акты устранения инцидентов (при наличии);
– акт проведения расследования инцидента безопасности, связанного с персональными данными.
Инструкция пользователю ИСПДн.		 П.8.14
Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов.
Перечень лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных.
Политика управления конфигурацией информационной системы и системы защиты персональных данных.		 П.8.15
Меры по управлению конфигурацией информационной системы и системы защиты персональных данных должны обеспечивать управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений.

Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» определяет следующие требования к составу ОРД:

Приказ ФСБ РФ от 10.07.2014 г. N 378

Локальный нормативный акт Требование
Инструкция администратору ИСПДн.
Инструкция пользователю ИСПдн.
Положение о порядке обеспечения безопасности персональных данных с
использованием средств криптографической защиты информации.		 П.4
Эксплуатация СКЗИ должна осуществляться в соответствии с документацией
на СКЗИ и требованиями, установленными в настоящем документе, а также в
соответствии с иными нормативными правовыми актами, регулирующими отношения в
соответствующей области.
Положение о режиме обеспечения безопасности помещений с ИСПДн, с
приложением:
– акт установления границы контролируемой зоны;
– перечень помещений, в которых осуществляется обработка персональных
данных,
журнал учета доступа в помещения, в которых осуществляется обработка
персональных данных (в случае отсутствия СКУД). 		П.6
Для выполнения требования, указанного в подпункте “а” пункта
5 настоящего документа, необходимо обеспечение режима, препятствующего
возможности неконтролируемого проникновения или пребывания в помещениях, где
размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой,
аутентифицирующей и парольной информации СКЗИ (далее – Помещения), лиц, не
имеющих права доступа в Помещения, которое достигается путем:

а) оснащения Помещений входными дверьми с замками, обеспечения
постоянного закрытия дверей Помещений на замок и их открытия только для
санкционированного прохода, а также опечатывания Помещений по окончании
рабочего дня или оборудование Помещений соответствующими техническими
устройствами, сигнализирующими о несанкционированном вскрытии Помещений;

Положение о режиме обеспечения безопасности помещений с ИСПДн, с
приложением:
– акт установления границы контролируемой зоны;
– перечень помещений, в которых осуществляется обработка персональных
данных,
журнал учета доступа в помещения, в которых осуществляется обработка
персональных данных (в случае отсутствия СКУД). 		б) утверждения правил доступа в Помещения в рабочее и нерабочее время,
а также в нештатных ситуациях.
Перечень лиц, имеющих право доступа в помещения с элементами ИСПДн в) утверждения перечня лиц, имеющих право доступа в Помещения.
Регламент учета, хранения и уничтожения носителей персональных данных,
содержащий:

правила и процедуры учета, хранения и уничтожения
бумажных и машинных носителей информации;

журнал учета машинных носителей;
– акты установки (ввода в эксплуатацию) машинных
носителя(ей) (при наличии);
– акты уничтожения носителей (при наличии);

акты восстановления машинных носителя(ей)
персональных данных (при наличии);

акты приема-передачи носителя(ей) персональных
данных (при наличии). 		П.7
Для выполнения требования, указанного в подпункте “б” пункта
5 настоящего документа, необходимо:

а) осуществлять хранение съемных машинных носителей персональных
данных в сейфах (металлических шкафах), оборудованных внутренними замками с
двумя или более дубликатами ключей и приспособлениями для опечатывания
замочных скважин или кодовыми замками. В случае если на съемном машинном
носителе персональных данных хранятся только персональные данные в
зашифрованном с использованием СКЗИ виде, допускается хранение таких носителей
вне сейфов (металлических шкафов);

Регламент учета, хранения и уничтожения носителей персональных данных,
содержащий:

правила и процедуры учета, хранения и уничтожения
бумажных и машинных носителей информации;

журнал учета машинных носителей;

акты установки (ввода в эксплуатацию) машинных
носителя(ей) (при наличии);

акты уничтожения носителей (при наличии);

акты восстановления машинных носителя(ей)
персональных данных (при наличии);

акты приема-передачи носителя(ей) персональных
данных (при наличии).		 -б) осуществлять поэкземплярный учет машинных носителей персональных
данных, который достигается путем ведения журнала учета носителей
персональных данных с использованием регистрационных (заводских) номеров.
– перечень лиц, доступ которым к персональным данным, обрабатываемым в
информационной системе персональных данных необходим для выполнения служебных
(трудовых) обязанностей.		 8. Для выполнения требования, указанного в подпункте “в”
пункта 5 настоящего документа, необходимо: а) разработать и утвердить документ, определяющий перечень лиц, доступ
которых к персональным данным, обрабатываемым в информационной системе,
необходим для выполнения ими служебных (трудовых) обязанностей.
Регламент проведения контрольных мероприятий. Приложения к документу:
– план внутренних проверок соблюдения требований законодательства в
области персональных данных;
– план пересмотра внутренних нормативных актов по персональным данным;
– протокол пересмотра внутренних нормативных актов по персональным
данным;
– протокол проведения внутренней проверки на соблюдение требований
законодательства в области персональных данных;
– акт пересмотра внутренних нормативных актов по персональным данным;
– акт проведения внутренней проверки на соблюдение требований законодательства
в области персональных данных.		 б) поддерживать в актуальном состоянии документ, определяющий перечень
лиц, доступ которых к персональным данным, обрабатываемым в информационной
системе, необходим для выполнения ими служебных (трудовых) обязанностей.
Модель угроз безопасности ПДн.
Возможности нарушителей, которые могут использоваться при создании
способов, подготовке и проведении атак.		 П.9
Для выполнения требования, указанного в подпункте “г” пункта
5 настоящего документа, необходимо для каждого из уровней защищенности
персональных данных применение СКЗИ соответствующего класса, позволяющих
обеспечивать безопасность персональных данных при реализации целенаправленных
действий с использованием аппаратных и (или) программных средств с целью
нарушения безопасности защищаемых СКЗИ персональных данных или создания
условий для этого (далее – атака), которое достигается путем:
а) получения исходных данных для формирования совокупности
предположений о возможностях, которые могут использоваться при создании
способов, подготовке и проведении атак;
б) формирования и утверждения руководителем оператора совокупности
предположений о возможностях, которые могут использоваться при создании
способов, подготовке и проведении атак, и определение на этой основе и с учетом
типа актуальных угроз требуемого класса СКЗИ.
Приказ о назначении ответственных за организацию обработки и обеспечение
безопасности персональных данных при их обработке в информационной системе
персональных данных.		 П.17
Для выполнения требования, указанного в пункте 16 настоящего
документа, необходимо назначение обладающего достаточными навыками
должностного лица (работника) оператора ответственным за обеспечение
безопасности персональных данных в информационной системе.
Перечень лиц, допущенных к содержанию электронного журнала сообщений
Инструкция администратору ИСПДн.		 П.20
Для выполнения требования, указанного в пункте 19 настоящего
документа, необходимо:
а) утверждение руководителем оператора списка лиц, допущенных к
содержанию электронного журнала сообщений, и поддержание указанного списка в
актуальном состоянии.
Политика защиты ПО
Политика безопасной эксплуатации ТС
Инструкция администратору ИСПДн.		 б) обеспечение информационной системы автоматизированными средствами, регистрирующими
запросы пользователей информационной системы на получение персональных
данных, а также факты предоставления персональных данных по этим запросам в
электронном журнале сообщений;
в) обеспечение информационной системы автоматизированными средствами,
исключающими доступ к содержанию электронного журнала сообщений лиц, не
указанных в утвержденном руководителем оператора списке лиц, допущенных к
содержанию электронного журнала сообщений;
г) обеспечение периодического контроля работоспособности указанных в
подпунктах “б” и “в” настоящего пункта автоматизированных
средств (не реже 1 раза в полгода).
Матрица доступа к информационным ресурсам ИСПДн.
Инструкция администратора ИСПДн.
Приказ о назначении лица, ответственного за периодический контроль ведения
электронного журнала безопасности и соответствия отраженных в нем полномочий
сотрудников оператора их должностным обязанностям.		 П.23
Для выполнения требования, указанного в подпункте “а” пункта
22 настоящего документа, необходимо:
а) обеспечение информационной системы автоматизированными средствами,
позволяющими автоматически регистрировать в электронном журнале безопасности
изменения полномочий сотрудника оператора по доступу к персональным данным,
содержащимся в информационной системе;
б) отражение в электронном журнале безопасности полномочий сотрудников
оператора персональных данных по доступу к персональным данным, содержащимся
в информационной системе. Указанные полномочия должны соответствовать
должностным обязанностям сотрудников оператора;
в) назначение оператором лица, ответственного за периодический
контроль ведения электронного журнала безопасности и соответствия отраженных
в нем полномочий сотрудников оператора их должностным обязанностям (не реже 1
раза в месяц).
Приказ о создании структурного подразделения, ответственного за
обеспечение безопасности персональных данных в информационной системе.		 П.24
Для выполнения требования, указанного в подпункте “б” пункта
22 настоящего документа, необходимо:
а) провести анализ целесообразности создания отдельного структурного
подразделения, ответственного за обеспечение безопасности персональных данных
в информационной системе;
б) создать отдельное структурное подразделение, ответственное за
обеспечение безопасности персональных данных в информационной системе, либо
возложить его функции на одно из существующих структурных подразделений.
Положение о режиме обеспечения безопасности помещений с ИСПДн, с
приложением:
– акт установления границы контролируемой зоны;
– перечень помещений, в которых осуществляется обработка персональных
данных,
журнал учета доступа в помещения, в которых осуществляется обработка
персональных данных (в случае отсутствия СКУД). 		П.25
Для выполнения требования, указанного в подпункте “а” пункта
5 настоящего документа, для обеспечения 1 уровня защищенности необходимо:
а) оборудовать окна Помещений, расположенные на первых и (или)
последних этажах зданий, а также окна Помещений, находящиеся около пожарных
лестниц и других мест, откуда возможно проникновение в Помещения посторонних
лиц, металлическими решетками или ставнями, охранной сигнализацией или
другими средствами, препятствующими неконтролируемому проникновению посторонних
лиц в помещения;
б) оборудовать окна и двери Помещений, в которых размещены серверы
информационной системы, металлическими решетками, охранной сигнализацией или
другими средствами, препятствующими неконтролируемому проникновению
посторонних лиц в помещения.

Согласно СТР-К (Специальные требования и рекомендации по технической защите конфиденциальной информации), который носит рекомендательный характер, определены следующие требования к составу ОРД:

Развернуть требования

Локальный нормативный акт Требование
Технический паспорт ИСПДн.
Положение о порядке организации и проведения работ по защите конфиденциальной
информации.		 П.3.5
Перечень сведений конфиденциального характера. П.3.6
Техническое задание на создание системы защиты информации. П.3.7
Перечень сведений конфиденциального характера.
Модель угроз безопасности ПДн.
Модель нарушителя.
Приказ об определении границ контролируемой зоны информационной
системы.
Акт классификации АС.		 П.3.8
Перечень сведений конфиденциального характера. 3.10
Акт классификации АС. 3.15
Технический проект на систему защиты информации. Положение о режиме обеспечения безопасности помещений с ИСПДн, с
приложением:
– акт установления границы контролируемой зоны;
– перечень помещений, в которых осуществляется обработка персональных
данных,
журнал учета доступа в помещения, в которых осуществляется обработка
персональных данных (в случае отсутствия СКУД).
Регламент учета, хранения и уничтожения носителей персональных данных,
содержащий:
– правила и процедуры учета, хранения и уничтожения
бумажных и машинных носителей информации;
– журнал учета машинных носителей;

акты установки (ввода в эксплуатацию) машинных
носителя(ей) (при наличии);

акты уничтожения носителей (при наличии);

акты восстановления машинных носителя(ей)
персональных данных (при наличии), акты приема-передачи носителя(ей)
персональных данных (при наличии).
Положение о разрешительной системе доступа к ресурсам ИСПДн.
Перечень лиц,
допущенных к обработке ПДн.
Матрица доступа к информационным ресурсам ИСПДн.
Приказ о назначении ответственных за организацию обработки и
обеспечение безопасности персональных данных при их обработке в информационной
системе персональных данных.
Приказ о создании структурного подразделения, ответственного за
обеспечение безопасности персональных данных в информационной системе
…(весь пакет ОРД) 		3.16
Техническое задание 3.17
Пояснительная записка с изложением решений по комплексу принимаемых
организационных и технических мер, составу средств защиты информации с
указанием их соответствия требованиям ТЗ.
Технически проект на систему защиты информации.
Технический паспорт ИСПДн.
Инструкция администратора безопасности ИСПДн.
Инструкция пользователя ИСПДн.		 3.18
Акт ввода в опытную эксплуатацию системы защиты информации
в информационной системе персональных данных.
Акт о завершении опытной эксплуатации системы защиты информации в
информационной системе персональных данных.
Акт о вводе информационной системы персональных данных
в промышленную эксплуатацию.		 3.19
Акты внедрения средств защиты информации.
Протоколы аттестационных испытаний и заключение по их результатам.
Аттестат соответствия объекта информатизации.		 3.20
Приказ на проектирование системы защиты информации.
Приказ о назначении лиц, ответственных за
проектирование системы защиты информации.
Приказ о назначении ответственных за организацию обработки и
обеспечение безопасности персональных данных при их обработке в информационной
системе персональных данных.
Приказ на обработку в АС конфиденциальной
информации.		 3.21

Что в итоге с ОРД.

На основании вышеизложенного можно сделать вывод о том, что к основным организационно-распорядительным документам, регламентирующим процесс обработки и защиты информации, относятся:

  • Согласие субъекта на обработку ПДн.
  • Соглашение о соблюдении безопасности ПДн.
  • Обязательство о неразглашении.
  • Положение об обработке ПДн.
  • Политика обработки ПДн (размещается на сайте организации).
  • Политика защиты ПДн (Политика обеспечения безопасности ПДн).
  • Положение об оценке вреда, который может быть причинен субъектам ПДн.
  • Уведомление об обработке ПДн.
  • Регламент взаимодействия с уполномоченным регулятором в области обработки ПДн, включая журнал учета обращений и ответов на обращения.
  • Регламент реагирования на обращения и запросы субъектов ПДн.
  • Приказ о назначении ответственных за организацию обработки и обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных
  • Приказ об определении границ контролируемой зоны ИСПДн.
  • Приказ о назначении комиссии по определению уровня защищенности ПДн.
  • Положение о разрешительной системе доступа к ресурсам ИСПДн.
  • Техническое задание на создание системы защиты ИСПДн.
  • Технический проект на систему защиты ИСПДн.
  • Акт определения уровня защищенности ПДн.
  • Инструкция администратора безопасности ИСПДн.
  • Инструкция пользователя ИСПДн.
  • Инструкция лица, ответственного за организацию обработки ПДн.
  • Инструкции по заполнению бумажных форм документов, предусматривающих внесение в них ПДн.
  • Перечень ПДН, обрабатываемых в ИСПДн.
  • Перечень ИСПДн.
  • Перечень средств защиты информации.
  • Сертификаты соответствия требованиям безопасности средств защиты информации (рекомендуется хранить в печатном виде комплектно с дистрибутивами СрЗИ).
  • Технический паспорт ИСПДн.
  • Модель угроз безопасности ПДн.
  • Модель нарушителя ИСПДн.
  • Возможности нарушителей, которые могут использоваться при создании способов, подготовке и проведении атак на ИСПДн.
  • Матрица доступа к информационным ресурсам ИСПДн.
  • Положение о режиме обеспечения безопасности помещений с ИСПДн.
  • Перечень лиц, допущенных к обработке ПДн.
  • Перечень лиц, доступ которым к ПДн, обрабатываемым в ИСПДн необходим для выполнения служебных (трудовых) обязанностей.
  • Перечень лиц, имеющих право доступа в помещения с элементами ИСПДн.
  • Политика безопасной эксплуатации технических средств.
  • Перечень программного обеспечения и (или) его компонентов, разрешенного к использованию на ПЭВМ, входящих в состав ИСПДн.
  • Положение об обеспечении сохранности и учета носителей ПДн, работа с которыми осуществляется без использования средств автоматизации.
  • План мероприятий по обеспечению безопасности ПДн.
  • Положение о комиссии по защите ПДн.
  • Регламент проведения контрольных мероприятий.
  • Регламент учета, хранения и уничтожения носителей ПДн.
  • Регламент резервного копирования и восстановления ПДн.
  • Инструкция по защите информации о событиях безопасности в ИСПДн.
  • Инструкция по организации парольной защиты в ИСПДн.
  • Инструкция по организации антивирусной защиты в ИСПДн.
  • Политика контроля (анализа) защищенности ИСПДн.
  • Положение о порядке обеспечения безопасности ПДн с использованием средств криптографической защиты информации.
  • Политика защиты программного обеспечения.
  • Политика обеспечения сетевой безопасности.
  • Перечень лиц, ответственных за выявление инцидентов и реагирование на них.
  • Перечень лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты ПДн.
  • Политика управления конфигурацией информационной системы и системы защиты ПДн.
  • Положение о порядке организации и проведения работ по защите ПДн.
  • Положение о выявлении, ликвидации и предотвращении инцидентов безопасности ПДн.
  • Пояснительная записка с изложением решений по комплексу принимаемых организационных и технических мер, составу средств защиты информации с указанием их соответствия требованиям ТЗ.
  • Акт(ы) внедрения средств защиты информации.
  • Акт ввода в опытную эксплуатацию системы защиты информации в ИСПДн.
  • Акт о завершении опытной эксплуатации системы защиты информации в ИСПДн.
  • Акт о вводе ИСПДн в промышленную эксплуатацию.

В зависимости от уровня защищенности персональных данных, а также функциональных особенностей информационной системы персональных данных может дополняться содержание организационно-распорядительных документов, перечисленных выше, а также их перечень следующими документами:

  • Регламент по трансграничной передаче данных.
  • Перечень лиц, допущенных к содержанию электронного журнала сообщений.
  • Приказ о назначении лица, ответственного за периодический контроль ведения электронного журнала безопасности и соответствия отраженных в нем полномочий сотрудников оператора их должностным обязанностям.
  • Приказ о создании структурного подразделения, ответственного за обеспечение безопасности ПДн в ИСПДн.

Данный пакет документов возможно разработать самостоятельно, но при этом должно быть четкое понимание происходящих в Компании процессов и высокий уровень знаний в области защиты информации. Разработанные инструкции должны быть реализуемыми и не содержать избыточной информации.

Рекомендуется изучить лучшие практики в области защиты информации. Применение шаблонных инструкций, размещенных в открытом доступе не всегда допустимо, в связи с тем, что они не учитываю специфику Компании и могут содержать неактуальные требования устаревших нормативных актов. Однако, такие шаблонные инструкции могут помочь в соблюдении структуры повествования.

Процесс разработки ЛНА может занять от 3 месяцев до полугода, в зависимости от масштаба Компании и сложности информационных процессов, требующих обеспечение защиты информации.

При этом сотрудники, занимающиеся изучением данной области, формированием комплекта ЛНА , на этот процесс тратят в денежно эквиваленте куда больше, чем если бы эти документы были заказаны у опытного интегратора, сотрудники которого имеют высокий уровень компетенций в области защиты информации, владеют актуальной информацией об изменениях в законодательстве РФ, касающиеся защиты информации.

При этом после получения такого рода услуги имеется возможность получить консультативную поддержку по введению в действие политик и регламентов по защите информации.

Получить консультацию   

Заказать выполнение   

Если вы реально оценили свои возможности и готовы выполнить все требования законодательства сами, но у вас остались вопросы, вы можете обратиться к нам за консультацией

Или вы можете заказать у нас комплекс работ, чтобы полностью закрыть вопрос о выполнении требований ФЗ-152 и других нормативных актов по персональным данным.

Источник

Если компания больше не нуждается в информации о своих сотрудниках или клиентах, то она обязана уничтожить носители с персональными данными этих лиц. Это нужно сделать, чтобы информация не попала к злоумышленникам. Уничтожение должно сопровождаться работой специально созданной комиссии, а также составлением и подписанием соответствующего акта. Как правильно его оформить, читайте в статье.

ФАЙЛЫ
Скачать пустой бланк акта уничтожения персональных данных на бумажных носителях .docСкачать образец акта уничтожения персональных данных на бумажных носителях .doc

Общие сведения

Персональные данные — это любая информация, относящаяся к физическому лицу (клиенту или сотруднику предприятия). К персональным данным относятся ФИО, место и дата рождения, семейное положение, сведения об имуществе и т.д.

Любое учреждение, юридическое лицо или ИП, производящее обработку персональных данных, называется оператором персональных данных.

Уничтожение персональных данных — это действия, итогом которых будет невозможность восстановления сведений о физических лицах — уничтожение материальных носителей информации. Такие процедуры проводят, когда данные теряют актуальность (сотрудник уволился, работа с клиентом закончена) либо субъект отозвал согласие на обработку персональных данных и т.д.

Законодательное регулирование

Самый главный нормативный акт в данной сфере — это закон «О персональных данных» — ФЗ №152 от 27.07.2006 года. Он содержит информацию об условиях обработки, хранении сведений, правах и обязанностях оператора и субъекта персональных данных и т.д. Именно на этот документ нужно ссылаться при составлении акта об уничтожении персональных данных.

Кроме того, в зависимости от ситуации можно обращаться к другим законодательным документам, посвященным сфере работы с персональными сведениями физических лиц.

В отношении ответственности и контроля в данной области ужесточились нормы, они прописаны в Постановлении Правительства №146 от 13.02.2019 г.

Порядок уничтожения персональных данных

Для сведения к минимуму ошибок при процедуре при ее осуществлении необходимо соблюдать определенный законодательством порядок:

  1. В компании приказом руководства должна быть создана специальная комиссия для выявления неактуальных персональных данных и последующего их уничтожения и составления сопроводительного акта. К такому делу чаще всего привлекают сотрудников кадрового отдела, бухгалтерии, делопроизводителей.
  2. Комиссия выявляет список необходимых для ликвидации документов и проводит процедуру уничтожения.
  3. Комиссия составляет акт с перечнем уничтоженных документов. Функция этой бумаги — удостоверить, что процедура была совершена по всем правилам. Члены комиссии в подтверждение этого ставят на акте свои подписи.
  4. Уничтоженные бумажные носители с персональными данными должны быть списаны с различных книг и журналов учета подобного рода документов.

Важно! Если из организации увольняются сотрудники, то оригиналы, а в некоторых случаях еще и копии документов должны быть выданы им на руки, уничтожению подвергаются только копии документов и только после определенного срока хранения. То же самое касается клиентов компании.

Способы уничтожения

Информация на уничтожаемых носителях не должна быть подвержена восстановлению. В случае с бумажными носителями используют такие способы уничтожения, как измельчение (ножницами или с помощью шредера), сжигание, гидрообработка. При данной обработке носители будут невосстановимы.

За результативность процесса несут ответственность члены специально созданной комиссии в компании.

Составляем акт уничтожения персональных данных на бумажных носителях

Акт можно написать от руки или набрать на компьютере и впоследствии распечатать и подписать. Желательно брать «фирменный бланк» компании с ее реквизитами.

Итак, в шапке документа должны быть:

  1. Наименование оператора персональных данных. Это название организации.
  2. Отметка руководителя об утверждении акта. Здесь должны быть указаны дата подписания, должность и подпись с расшифровкой. Блок заполняется в последнюю очередь.
  3. Наименование документа.
  4. Место составления.
  5. Дата составления.

Акт уничтожения персональных данных на бумажных носителях. Часть 1

Далее начинается основная часть, где указывают следующее:

  1. Состав комиссии. Пишут должности и ФИО членов комиссии и председателя.
  2. На основании какого документа действует комиссия (приказ, распоряжение). Чаще всего это приказ.
  3. Ссылку на закон о персональных данных — ФЗ №152 от 27.07.2006 г.
  4. Дату уничтожения.
  5. Тип носителей.
  6. Список уничтоженных документов. Его можно оформить в виде таблицы с следующими графами: порядковый номер, номер и наименование носителя, примечание или пояснение.
  7. Каким путем было проведено уничтожение данных.
  8. Основание для проведения процедуры уничтожения.

Завершают документ подписи председателя и членов комиссии. После подписания акт передают руководителю для утверждения. Он ставит свою подпись в соответствующей графе на бланке.

Акт уничтожения персональных данных на бумажных носителях. Часть 2

В идеале в документе не должно быть ошибок (орфографических, грамматических и любых других). Если вдруг была обнаружена фактическая ошибка, то ее, конечно, нужно исправить, используя стандартный порядок исправления и завизировав внесенные коррективы. При большом количестве ошибок лучше взять новый бланк, заполнить его, а старый документ уничтожить.

Источник

Документы по персональным данным: организация учета и хранения ПДн в организации

Рекомендации по подготовке документации в соответствии с 152-ФЗ

Одна из обязанностей компании согласно ст. 18.1 Закона о персональных данных №152 — своевременно подготовить документы по персональным данным (локальные акты)а так же проводить систематическую внутреннюю проверку защиты персональных данных. С другой стороны, не менее важно  провести мероприятия по подготовке документов и грамотно организовать учет и хранение персональных данных.

На практике мы часто сталкиваемся с непониманием двух моментов:  какие сведения относить к категории обрабатываемых персональных данных? Какие сведения персональными данными не являются. Давайте разбираться.

Что такое персональные данные в организации?

Персональные данные (ПД, ПДн) — сведения об определенном или определяемом физическом лице, которые прямо или косвенно имеют к нему отношение. Как видим, определение, которое нам дает ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», достаточное расплывчатое и не дает ясного представления, что же попадает под персональные данные.

Между тем, Роскомнадзор дает простую рекомендацию по определению персональных данных:

  • во-первых, если по набору представленных сведений удается определить лицо без предоставления иных идентификаторов или документов, значит мы имеем дело с персональными данными
  • во-вторых, если для отнесения сведений к конкретному человеку требуется дополнительная информация, такие сведения нельзя считать персональными.
152-ФЗ «О персональных данных»

К примеру, к персональным данным можно отнести:

    • ФИО.
    • Номер телефона.
    • Паспортные данные.
    • Биометрические данные.
    • Страховой номер (СНИЛС).
    • Личный номер налогоплательщика(ИНН).
    • Пароли для доступа к социальным сетям.
    • Пароли к электронным банковским, социальным и медицинским кабинетам и др.

Дополнительно, хотелось бы коснуться и определения «обработка персональных данных». Под обработкой персональных данных стоит понимать любую операцию или их совокупность, выполняемых операций с использованием средств автоматизации или без применения таковых с персональными данными. Например:  сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных.

Документы по персональным данным: организация учета и хранения ПДн в организации

Как определить обрабатывает ли организация персональные данные?

Каждая организация должна задать себе вопрос: «а являюсь ли я оператором обработки персональных данных»?

Прежде всего, ответ будет утвердительным в случаях, если:

  • Вы нанимаете себе сотрудников или подрядчиков, заключаете договор, заполняете формы Т-2.
  • Вы собираете данные клиентов для заключения договоров/выполнения заказов.
  • На Вашем сайте есть форма обратной связи с полями: ФИО, телефон, email.

В случае, если хотя бы один пункт из указанных присутствует в жизни Вашей компании — стоит подготовить документы по персональным данным.

Какие виды документов по персональным данным бывают?

В своей работе организация должна использовать три вида документов по защите персональных данных.  К ним относятся: организационные, технологические и методические.

Следовательно, первые определяют задачи, функции и ответственность структур, которые отвечают за защиту персональных данных работников. Это должностные инструкции, уведомления, положения, акты, письма, приказы. Подробнее о форме согласия на обработку персональных данных  мы говорили в цикле статей по данной теме.

Документы по персональным данным: организация учета и хранения ПДн в организации

Документы по персональным данным

Между тем, технологическая документация по защите данных в любой компании отражает систему защиты персональных данных о работниках. К ним относят: перечни, инструкции по обработке и защите персональных данных.

В свою очередь, методические файлы конкретизируют процесс защиты персональных данных работниках, определяют порядок работы с документами, содержащими приватные данные о сотрудниках, в стандартных ситуациях. Таким документом являются правила работы с ПДн.

Сформированные документы по персональным данным утверждает руководитель компании. На каждом экземпляре визируется согласование на обработку персональных данных с заинтересованными лицами. Некоторые файлы из пакета представляются субъектам персональных данных для ознакомления под роспись.

С чего начать подготовку документов по персональным данным?

В первую очередь стоит обратить внимание на создание политики конфиденциальности.  Как правило, ее закрепляют приказом об утверждении персональных данных в локальном документе. Документ носит название «Положение о персональных данных».

Положение обязательно содержит следующие сведения:

  • перечень обрабатываемых ПДн;
  • цели их обработки;
  • список действий с ПДн;
  • перечень действий с ними;
  • права и обязанности сотрудников при работе с ПДн;
  • порядок обработки ПДн, в том числе хранения, использования и передачи;
  • возможная ответственность сотрудников за несоблюдения порядка работы с персональными данными.

Специалисты ПД Мастер готовы помочь и поддержать Вас на каждом этапе разработки документации в соответствии с 152-ФЗ. Поделитесь подробностями о стоящих задачах в области безопасности персональных данных, и наша команда найдет для Вас решение

Какие еще обязательные документы по персональным данным стоит подготовить?

Дополнительно обязательным для организаций документом является приказ о назначении ответственного за обработку персональных данных. В качестве такого лица может выступить любой сотрудник компании. Закон не предъявляет требований к его квалификации.

Кроме того, работодатель должен получить от своего сотрудника согласие на обработку персональных данных в случаях, когда требуется передача данных третьим лицам. Например, когда бухгалтерский учет ведет сторонняя организация или банк запрашивает данные о факте трудоустройства сотрудника для выдачи кредита. В случаях, когда персональные данные сотрудника используются внутри организации, при оформлении доверенностей, в случаях сдачи отчетности по работнику в государственные структуры, при оформлении полиса ДМС и договоров, где субъект данных будет выгодоприобретателем, при обработке общедоступных персональных данных или сведений о соискателе разрешение на обработку персональных данных не требуется.

Перед началом обработки ПДн оператор обработки персональных данных направляет в Роскомнадзор уведомление об обработке персональных данных. Однако стоит знать: работодатель от такой обязанности освобожден несмотря на то, каким способом им обрабатываются сведения сотрудников. Даже если это происходит в автоматизированном режиме, нормы 152-ФЗ не действуют, но только если Вы не обрабатываете данные иных лиц.

Нередки случаи, когда должностные данные работников передаются третьим лицам — аутсорсинговым компаниям. Поэтому в этой ситуации с третьей стороной заключается договор на оказание услуг, в котором нужно указать:

  • перечень делегированных ему действий с ПД;
  • его цели обработки персональных данных;
  • его обязанность соблюдать конфиденциальность ПД и обеспечивать безопасность их обработки;
  • требования к защите им ПД.

Ограничение круга лиц, имеющих доступ к персональным данным

Круг лиц, которые имеют доступ к персональным данным, должен быть ограничен. Как правило, он утверждается дополнительным приказом об обработке персональных данных. Приказ подписывается руководителем. Обычно в такой список попадают сам руководитель организации и его заместители. В некоторых случаях сотрудники отдела кадров и бухгалтерии, юрист и представители службы безопасности.

Кроме того в список может попасть секретарь, в обязанности которого входит бронирование отелей и билетов для сотрудников. Уполномоченные на доступ к ПД работники должны подписать обязательство о неразглашении персональных данных. В некоторых случаях такая обязанность может быть заранее включена в условия трудового договора. При необходимости доступа лицам не из списка уполномоченных нужно завести журнал и фиксировать в нем каждое обращение к ПНд.

Подытожим — какие же действия должны быть предприняты организацией по учету и хранению персональных данных в организации:
  1. Во-первых, должен быть издан локальный акт, регулирующий порядок хранения и использования персональных данных. Обычно этим документом является «Положение о персональных данных».
  2. Во-вторых, должен быть утвержден документ, содержащий перечень персональных данных, которые используются в деятельности организации.
  3. В-третьих, отдельным приказом должны быть назначены ответственные за работу с персональными данными. Отдельным приказом назначаются и ответственные за обеспечение безопасности персональных данных.
  4. В-четвертых, должны быть подготовлены: заявления о согласии на обработку персональных данных; журналы учета персональных данных, их выдачи, передачи другим лицам; журналы проверок наличия документов содержащих персональные данные.
  5. В-пятых, отдельным приказом должны быть установлены места хранения документации, а так же меры, необходимые для обеспечения сохранности персональных данных . Как правило, такими местами являются сейфы, которые запираются на замок или опечатываются.

Отдельно стоит обратить внимание на необходимость в особых документах по персональным данным в случае использования в компании информационной системы и обработку персональных данных через персональный сайт компании.Это целый пакет файлов, требующих время на подготовку и обладание соответствующей квалификацией людей их подготавливающих. Именно такими качествами и обладает команда «ПД Мастера».

Подготовка документации по персональным данным — весьма трудозатратный процесс. Начав с Положения о персональных данных, Вы определите, какие личные сведения придется собирать, как их после этого хранить, обрабатывать и защищать.

В заключение: помните, что процесс касается персональных данных всех категорий граждан. Как работников организации, так и ее клиентов. Раскрытие персональных данных их носителей недопустимо как с законной, так и с этической точки зрения. Поэтому, если Вы не уверены в своих силах в подготовке  документации, такой процесс стоит доверить набившим руку на этом специалистам. Для этого заполните форму записи на консультации ниже.

Источник

Добавить комментарий