План мероприятий по обеспечению безопасности персональных данных

Полная информация на тему: "План мероприятий по обеспечению безопасности персональных данных" от профессионалов для людей понятным языком.

План мероприятий по защите персональных данных образец бланк

В настоящее время все государственные и негосударственные предприятия должны внедрять определенные процедуры для защиты личной информации.

Сохранность личной информации–защита личных данных, которая позволяет обеспечить сохранность, целостность и доступность личной информации при ее обработке в специальных информационных системах личных данных.

Сущность плана мероприятий по охране персональных данных

Разработка процедур по охране личных данных способствует обеспечению безопасности информации при ее обработке. Данные процедуры защищают персональные данные от утечки информации.

Сам план процедур по охране личных данных предполагает определенный список процедур, необходимый для обеспечения защиты личных данных. Процедуры должны быть оформлены в полном соответствии со всеми документами организации.

Кроме того, план процедур в обязательном порядке должен быть заверен уполномоченным лицом, которое отвечает за порядок безопасности в этой организации.

В этом документе должны быть четко прописаны все необходимые процедуры, с учетом тех, которые уже имеются. Для каждой организации порядок процедур может быть индивидуальным, например, он может зависеть от специфики самого предприятия, от существующих угроз.

Процедуры, необходимые для безопасности личных данных

В список вписываются следующие необходимые пункты процедур по охране личной информации:

  • организационные (административные);
  • физические;
  • технические (аппаратные и программные);
  • контролирующие.

В списке прописываются следующие основные пункты по охране личной информации:

  • наименование;
  • цикличность (единичное или постоянное);
  • ответственное лицо, которое должно следить за должным соблюдением этих процедур

Реализация мероприятий по защите данных

После проведения внутренней проверки по защите личной информации, при необходимости, в список процедур должны быть внесены коррективы.

Непосредственная реализация перечня мер по защите персональной информации осуществляется после проведения внутренней проверки и составления доклада о ее результатах.

Необходимые процедуры обязаны выполнять все учреждения, которые используют ИСПДн, и могут проводиться уполномоченными лицами учреждений без привлечения внешних сил.

Ниже расположен типовой бланк и образец плана мероприятий по защите персональных данных вариант которого можно скачать бесплатно.

План мероприятий по обеспечению безопасности персональных данных Администрации сельского поселения «Пажга»

к распоряжению «О проведении работ по защите

персональных данных в администрации сельского поселения «Пажга» от 01.01.2001г.

по обеспечению безопасности персональных данных

Администрации сельского поселения «Пажга»

План мероприятий по обеспечению безопасности ПДн…………………..

1. ОБЩИЕ ПОЛОЖЕНИЯ

План мероприятий по обеспечению защиты персональных данных (далее – План), содержит необходимый перечень мероприятий для обеспечения защиты персональных данных.

План составлен на основании списка мер, методов и средств защиты, определенных в Политике информационной безопасности.

Выбор конкретных мероприятий осуществляется на основании анализа частной модели актуальных угроз и частной модели вероятного нарушителя.

В План включены следующие категории мероприятий:

— технические (аппаратные и программные);

В План включена следующая информация:

— Периодичность мероприятия (разовое/периодическое).

— Исполнитель мероприятия/ответственный за исполнение.

2. План МЕРОПРИЯТИЙ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПДН

Определение обрабатываемых ПДн и объектов защиты

срок до 15.02.2013

Определение перечня ИСПДн

срок до 15.02.2013

Определение круга лиц участвующих в обработке ПДн

срок до 15.02.2013

Определение ответственности лиц участвующих в обработке

срок до 15.02.2013

Определение прав разграничения доступа пользователей ИСПДн, необходимых для выполнения должностных обязанностей

срок до 15.02.2013

Назначение ответственного за безопасность ПДн

срок до 15.02.2013

Введение режима защиты ПДн

срок до 15.02.2013

Собрание коллегиального органа по классификации ИСПДн

срок до 15.02.2013

Классификация всех выявленных ИСПДн

срок до 15.02.2013

Организация порядка восстановления работоспособности технических средств, ПО, баз данных

срок до 15.02.2013

Организация информирования и обучения сотрудников о порядке обработки ПДн

срок до 15.02.2013

Организация информирования и обучения сотрудников о введенном режиме защиты ПДн

срок до 15.02.2013

Разработка инструкции администратора безопасности информационной системы персональных данных

срок до 15.02.2013

Разработка инструкции пользователя информационной системы персональных данных

срок до 15.02.2013

Разработка инструкции по обеспечению безопасности рабочих мест обработки персональных данных

срок до 15.02.2013

Организация журнала учета обращений субъектов ПДн

срок до 15.02.2013

Разработка нормативно-правовой документации

Установка светозащитных устройств на окнах

срок до 15.02.2013

Установка решеток на окнах

срок до 15.02.2013

Установка системы пожаротушения в помещениях, где расположены элементы ИСПДн

срок до 15.02.2013

Технические (аппаратные и программные) мероприятия

Внедрение подсистемы управления доступом, регистрации и учета

срок до 01.09.2013

Внедрение антивирусной защиты

срок до 01.09.2013

Внедрение межсетевого экранирования

срок до 01.09.2013

Создание журнала внутренних проверок и поддержание его в актуальном состоянии

Контроль над соблюдением режима обработки ПДн

Контроль над соблюдением режима защиты

Контроль над выполнением антивирусной защиты

Контроль над соблюдением режима защиты при подключении к сетям общего пользования и (или) международного обмена

Проведение внутренних проверок на предмет выявления изменений в режиме обработки и защиты ПДн

Контроль за обновлениями программного обеспечения и единообразия применяемого ПО на всех элементах ИСПДн

Организация анализа и пересмотра имеющихся угроз безопасности ПДн, а так же предсказание появления новых, еще неизвестных, угроз

Поддержание в актуальном состоянии нормативно-организационных документов

Контроль за разработкой и внесением изменений в программное обеспечение собственной разработки или штатное ПО, специально дорабатываемое собственными разработчиками или сторонними организациями.

Лабораторные работы / Лабораторная работа № 14 Организация и проведение мероприятий по защите персональных данных

Тема «Организация и проведение мероприятий по защите персональных данных»

Читайте так же:  Отсрочка предоставления документов в налоговую по требованию

Цель работы: научиться организовывать мероприятия по защите ПДн.

Разрабатывать документацию по защите ПДн.

В соответствии с пунктом 1 статьи 16 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации» (в ред. от 27.07.2010) защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа; 3) реализацию права на доступ к информации.

Говоря о защите информации в целом, прежде всего следует различать требования, предъявляемые к защите сведений:

составляющих государственную тайну;

[1]

признаваемые коммерческой тайной;

Российское законодательство о защите персональных данных является относительно новым и существует множество нерешенных вопросов, что зачастую препятствует выполнению операторами персональных данных необходимых требований действующего законодательства о персональных данных.

Однако несмотря на значительный комплекс проблем необходимо понимать, что:

1. Все без исключения физические лица являются субъектами ПДн.

2. Все без исключения организации являются операторами персональных данных и должны рассматривать требования Закона о персональных данных с точки зрения обеспечения наших прав и свобод, закрепленных Конституцией РФ.

3. Четкое выполнение требований регуляторов (Роскомнадзор, ФСТЭК России, ФСБ России) — уменьшение рисков манипулирования со стороны персонала и конкурентов.

Рекомендации по проведению комплекса необходимых мероприятий по защите ПДн

Для соблюдения минимальных требований и недопущения серьезных претензий со стороны регуляторов (в первую очередь Роскомнадзора) рекомендуется проведение следующего комплекса мероприятий:

1. Создание комиссии по проведению комплекса мероприятий по защите ПДн. Учитывая, что проведение данных работ включает широкий круг вопросов, в состав комиссии привлекаются лица, обладающие знаниями в сфере защиты информации, в области юриспруденции, работника кадровой службы, бухгалтера, системного администратора.

2. Начинать работу по проведению комплекса мер по защите ПДн следует с проведения категорирования обрабатываемых персональных данных. Проще говоря, задачей данного этапа работы является выявление всех данных персонального характера, обрабатываемых в организации. Также на данном этапе необходимо оценить наличие согласий субъектов ПДн на обработку данных, проанализировать требуется ли для нужд организации хранение всех сведений персонального характера, а также определить перечень ответственных лиц.

3. Определение характеристики ИСПДн. На данном этапе необходимо определить конфигурации и топологии ИСПДн, физические, функциональные и технологические связи как внутри системы, так и с другими системами различного уровня и назначения, определить технические и программные средства, используемые в ИСПДн.

4. Определение перечня угроз в части соблюдения безопасности информации, их актуальность (рекомендуется привлечение экспертов по информационной безопасности), разработка модели угроз и определение класса ИСПДн.

5. Подготовка и направление уведомление в Роскомнадзор с целью включения в реестр операторов.

6. Разработка порядка работы с ПДн. В случае необходимости разработать и провести комплекс дополнительных мероприятий по защите ПДн, в том числе по технической защите ПДн (приобрести и настроить необходимые технические средства и программное обеспечение). Разработанный порядок должен обеспечивать своевременное предоставление информации в случае получения запросов из Роскомнадзора (7 раб. дней) или непосредственно от физических лиц — субъектов ПДн (10 раб. дней).

7. Подготовка и утверждение комплекта организационно-распорядительной документации.

В наличии должны быть: — Приказ о назначении ответственного должностного лица/подразделения; — Положение о защите ПДн; — Приказы о допуске, перечень допущенных сотрудников; — Журналы учета носителей информации.

8. Доведение до сотрудников порядка работы со сведениями о персональных данных, в том числе обучение сотрудников.

9. Планирование и проведение контрольных мероприятий по защите ПДн.

Приказ об организации обработки и защиты ПДн

Приказ об организации обработки и защиты персональных данных определяет порядок хранения, обработку и защиту персональных данных.

После получения оператором согласия на обработку персональных данных — персональные данные можно обрабатывать. Согласно Трудовому кодексу и ФЗ-152 необходимо разработать (если есть, доработать в соответствии с ФЗ) порядок хранения, обработки и защиты персональных данных и ввести это в действие Приказом об организации обработки и защиты ПДн.

Приказ об организации обработки и защиты ПДн — это внутренний (локальный) документ организации. Строгой формы данного документа нет, но он должен удовлетворять требованиям ТК и ФЗ-152, и в нем должны быть указаны намерения:

  • осуществлять режим защиты ПДн на основании определенных принципов и положений;
  • осуществлять режим защиты ПДн в отношении перечисленных в Перечне ПДн, подлежащих защите;
  • провести проверку информационных систем персональных данных на предмет: классификации ИСПДн, определения режима обработки ПДн в информационной системе, установления круга лиц, участвующих в обработке ПДн, выявления угроз безопасности персональных данных.
  • разработать и внедрить: план мероприятий по обеспечению защиты ПДн, перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним, план проверок состояния ИСПДн, порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ, инструкцию администратора безопасности ИСПДн, инструкцию пользователя по обеспечению безопасности обработки ПДн при возникновении внештатных ситуаций.

Приказом об организации обработки и защиты ПДн назначается ответственный за организацию работы с персональными данными, указывается его должность и ФИО.

Приказ об организации обработки и защиты персональных данных утверждается руководителем организации или уполномоченным им лицом. Работодатель обязан ознакомить работников с Приказом об организации обработки и защиты персональных данных под подпись.

[3]

Приказ об организации обработки и защиты ПДн необходим в целях исполнения Федерального закона N 152-ФЗ от 27 июля 2006 года «О персональных данных».

План мероприятий по обеспечению защиты персональных данных

Автор: Колосков Дмитрий · 10.09.2019 2019-09-10

В настоящее время все государственные и негосударственные предприятия должны внедрять определенные процедуры для защиты личной информации.

Читайте так же:  Последовательность обжалования судебных решений по гражданским делам

Сохранность личной информации–защита личных данных, которая позволяет обеспечить сохранность, целостность и доступность личной информации при ее обработке в специальных информационных системах личных данных.

Сущность плана мероприятий по охране персональных данных

Разработка процедур по охране личных данных способствует обеспечению безопасности информации при ее обработке. Данные процедуры защищают персональные данные от утечки информации.

Сам план процедур по охране личных данных предполагает определенный список процедур, необходимый для обеспечения защиты личных данных. Процедуры должны быть оформлены в полном соответствии со всеми документами организации.

Кроме того, план процедур в обязательном порядке должен быть заверен уполномоченным лицом, которое отвечает за порядок безопасности в этой организации.

В этом документе должны быть четко прописаны все необходимые процедуры, с учетом тех, которые уже имеются. Для каждой организации порядок процедур может быть индивидуальным, например, он может зависеть от специфики самого предприятия, от существующих угроз.

Процедуры, необходимые для безопасности личных данных

Видео (кликните для воспроизведения).

В список вписываются следующие необходимые пункты процедур по охране личной информации:

  • организационные (административные);
  • физические;
  • технические (аппаратные и программные);
  • контролирующие.

В списке прописываются следующие основные пункты по охране личной информации:

  • наименование;
  • цикличность (единичное или постоянное);
  • ответственное лицо, которое должно следить за должным соблюдением этих процедур

Реализация мероприятий по защите данных

После проведения внутренней проверки по защите личной информации, при необходимости, в список процедур должны быть внесены коррективы.

Непосредственная реализация перечня мер по защите персональной информации осуществляется после проведения внутренней проверки и составления доклада о ее результатах.

Необходимые процедуры обязаны выполнять все учреждения, которые используют ИСПДн, и могут проводиться уполномоченными лицами учреждений без привлечения внешних сил.

План мероприятий по обеспечению безопасности персональных данных

Автор: Колосков Дмитрий · 10.09.2019 2019-09-10

В настоящее время все государственные и негосударственные предприятия должны внедрять определенные процедуры для защиты личной информации.

Сохранность личной информации–защита личных данных, которая позволяет обеспечить сохранность, целостность и доступность личной информации при ее обработке в специальных информационных системах личных данных.

Сущность плана мероприятий по охране персональных данных

Разработка процедур по охране личных данных способствует обеспечению безопасности информации при ее обработке. Данные процедуры защищают персональные данные от утечки информации.

Сам план процедур по охране личных данных предполагает определенный список процедур, необходимый для обеспечения защиты личных данных. Процедуры должны быть оформлены в полном соответствии со всеми документами организации.

Кроме того, план процедур в обязательном порядке должен быть заверен уполномоченным лицом, которое отвечает за порядок безопасности в этой организации.

В этом документе должны быть четко прописаны все необходимые процедуры, с учетом тех, которые уже имеются. Для каждой организации порядок процедур может быть индивидуальным, например, он может зависеть от специфики самого предприятия, от существующих угроз.

Процедуры, необходимые для безопасности личных данных

В список вписываются следующие необходимые пункты процедур по охране личной информации:

  • организационные (административные);
  • физические;
  • технические (аппаратные и программные);
  • контролирующие.

В списке прописываются следующие основные пункты по охране личной информации:

  • наименование;
  • цикличность (единичное или постоянное);
  • ответственное лицо, которое должно следить за должным соблюдением этих процедур

Реализация мероприятий по защите данных

После проведения внутренней проверки по защите личной информации, при необходимости, в список процедур должны быть внесены коррективы.

Непосредственная реализация перечня мер по защите персональной информации осуществляется после проведения внутренней проверки и составления доклада о ее результатах.

Необходимые процедуры обязаны выполнять все учреждения, которые используют ИСПДн, и могут проводиться уполномоченными лицами учреждений без привлечения внешних сил.

3.4. Мероприятия по обеспечению безопасности персональных данных при их обработке в испд

Для обеспечения безопасности персональных данных оператор ПД или уполномоченное лицо обязаны провести следующие мероприятия:

определить угрозы безопасности персональных данных при их обработке и построить модель угроз;

разработать на основе модели угроз системы защиты персональных данных, обеспечивающих нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

проверить готовность средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

установить и ввести в эксплуатацию средства защиты информации в соответствии с эксплуатационной и технической документацией;

обучить персонал работе со средствами защиты информации;

вести учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

вести учет лиц, допущенных к работе с персональными данными в информационной системе;

контролировать соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

разбирать и составлять заключения по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных; осуществить разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

составить описание системы защиты персональных данных.

3.5. Основные принципы обеспечения безопасности персональных данных

При построении системы защиты персональных данных оператор ПД должен руководствоваться следующими принципами:

принцип максимальной дружественности и прозрачности;

принцип оптимальности и разумной разнородности;

[2]

принцип адекватности и непрерывности;

принцип доказательности и обязательности контроля;

принцип самозащиты и конфиденциальности самой системы защиты информации;

принцип многоуровневости и равнопрочности;

принцип простоты применения и апробированности защиты;

принцип преемственности и совершенствования;

принцип персональной ответственности и минимизации привилегий для пользователей всех уровней.

Принцип законности. Проведение защитных мероприятий должно быть согласовано с действующим законодательством в области информации, информатизации и защиты информации с применением всех дозволенных методов обнаружения и пресечения нарушений при работе с информацией.

Принцип максимальной дружественности и прозрачности. Противодействие угрозам безопасности информации всегда носит недружественный характер по отношению к пользователям и обслуживающему персоналу ИС, так как меры по защите информации всегда налагают ограничения на работу организационного и технического характера. Поэтому принимаемые меры должны максимально совмещаться с используемыми операционной и программно-аппаратной структурой ИС, а также должны быть понятны и оправданы для пользователей.

Читайте так же:  Субсидиарная ответственность учредителя унитарного предприятия

Принцип превентивности. Меры по защите информации и внедряемые СЗИ должны быть нацелены, прежде всего, на недопущение (пресечение) реализации угроз безопасности информации, а не на устранение последствий их проявления.

Принцип оптимальности и разумной разнородности. Для сокращения расходов на создание систем обеспечения безопасности должен осуществляться оптимальный выбор соотношения между различными методами и способами противодействия угрозам безопасности информации. Дополнительно внедряемые средства защиты должны дублировать основные функции защиты, уже используемые в программно-аппаратной среде ИС, и по возможности иметь другое происхождение, чем сама эта среда, что позволяет существенно затруднить процесс преодоления защиты за счет иной логики построения защиты.

Принцип адекватности и непрерывности. Решения, реализуемые системами защиты информации, должны быть дифференцированы в зависимости от важности защищаемой информации и вероятности возникновения угроз ее безопасности. Безопасность информации в государственных информационных системах должна обеспечиваться непрерывно в течение всего жизненного цикла систем.

Принцип адаптивности. Системы обеспечения информационной безопасности должны строиться с учетом возможного изменения конфигурации ИС, роста числа пользователей, изменения степени конфиденциальности и ценности информации.

Принцип доказательности и обязательности контроля. Должны реализовываться организационные меры внутри сети и применение специальных аппаратно-программных средств идентификации, аутентификации и подтверждения подлинности информации. Должны обеспечиваться обязательность, своевременность и документированность выявления, сигнализации и пресечения попыток нарушения установленных правил защиты.

Принцип самозащиты и конфиденциальности самой системы защиты информации.

Принцип многоуровневости и равнопрочности. ИС должна реализовывать защиту информации на всех уровнях своей жизнедеятельности (технологическом, пользовательском, локальном, сетевом). Защита должна строиться эшелонировано, и иметь несколько последовательных рубежей таким образом, чтобы наиболее важная зона безопасности находилась внутри других зон. Все рубежи защиты должны быть равнопрочными к возможности реализации угрозы.

Принцип простоты применения и апробированности защиты. Должны применяться средства защиты, для которых формально или неформально возможно доказать корректность выполнения защитных функций, проверить согласованность конфигурации различных компонентов, а их применение пользователями и обслуживающим персоналом должно быть максимально простым, чтобы уменьшить риски, связанные с нарушениям правил их использования. По той же причине целесообразно использовать средства защиты информации, допускающие возможность централизованного администрирования.

Принцип преемственности и совершенствования. Система защиты информации должна постоянно совершенствоваться на основе преемственности принятых ранее решений и анализа функционирования ИС.

Принцип персональной ответственности и минимизации привилегий для пользователей всех уровней. Принимаемые меры должны определять права и ответственности каждого уполномоченного лица. Распределение прав и ответственности должно в случае любого нарушения позволять определить круг виновных. Система обеспечения информационной безопасности должна обеспечивать разделение прав и ответственности между пользователями[13].

План мероприятий по защите персональных данных — образец

Мероприятия по защите персональных данных (ПДн) позволяют обеспечить надежную защиту конфиденциальности сведений, получаемых работодателем от работников. Из этой статьи читатель узнает о том, какие организационные мероприятия по защите ПДн могут быть осуществлены работодателем, а также ознакомится с примерным образцом составления плана реализации таких мероприятий.

Организационные мероприятия по защите персональных данных

Для обеспечения конфиденциальности ПДн на предприятии должна быть сформирована многоуровневая система защиты информации, позволяющая ограничить доступ лиц, не обладающих достаточными полномочиями, к сведениям, позволяющим идентифицировать личности работников, входящих в штат. Комплекс мероприятий по защите персональных данныхвключает организационную и техническую составляющие.

Организационные мероприятия по защите персональных данных включают:

  • направление в адрес уполномоченного органа (Роскомнадзор) уведомления о том, что предприятие выступает в качестве оператора ПДн (т. е. занимается сбором, обработкой и хранением сведений, принадлежащих к указанной категории);
  • разработку пакета внутренней документации, используемой при работе с ПДн и внедрение ее в практическую деятельность предприятия (к таким документам могут относиться Положение о защите ПДн; должностные инструкции работников, непосредственно взаимодействующих с ПДн других сотрудников; инструкции, определяющие порядок доступа к помещениям, в которых осуществляется обработка и хранение ПДн и пр.);
  • введение пропускного режима при осуществлении доступа в помещения, в которых хранятся ПДн;
  • определение закрытого перечня должностных лиц, которые могут работать с ПДн, а также назначение ответственных лиц, в обязанности которых входит обеспечение конфиденциальности ПДн и пр.

План мероприятий по защите персональных данных — образец составления

Представляем вниманию читателя актуальный образец плана:

ООО «Крымские травы»

Генеральный директор ООО «Крымские травы»

План мероприятий по защите персональных данных

Периодичность, срок исполнения

Исполнитель / ответственное лицо

Отметка об исполнении

Внутренняя проверка текущего состояния системы защиты ПДн

Разовое, до 01.10.2017

Заместитель генерального директора по развитию Васечкин А. Е.; руководители структурных подразделений

Определение круга лиц, имеющих доступ к работе с ПДн

Разовое, до 01.10.2017

Генеральный директор Пенеров С. М., старший инспектор отдела кадров Петрова А. Б.

Определение уровня доступа и степени ответственности лиц, работающих с ПДн

Разовое, до 07.10.2017

Генеральный директор Пенеров С. М., старший инспектор отдела кадров Петрова А. Б.

Разработка и утверждение внутренней рабочей документации по списку (приложение А)

Разовое, до 20.10.2017

Заместитель генерального директора по развитию Васечкин А. Е., старший инспектор отдела кадров Петрова А. Б, специалист отдела защиты информации Падеров С. А.

Ознакомление уполномоченных сотрудников с положениями разработанных документов, регламентирующих порядок работы с ПДн

По мере необходимости

Старший инспектор отдела кадров Петрова А. Б.

Итак, мероприятия по защите ПДн могут включать совокупность нескольких действий, направленных на обеспечение конфиденциальности сведений, позволяющих идентифицировать личность работника, от доступа третьих лиц. Установление точного перечня мероприятий, направленных на защиту ПДн, а также сроков их реализации осуществляется посредством составления плана, утвержденного руководителем предприятия.

Читайте так же:  Обязательные работы как вид административного наказания примеры

Портал службы поддержки

Результаты поиска

Безопасность данных и соглашения

Этапы организации защиты ПДн в ОО (для администратора)

Согласно ФЗ №152 «О персональных данных» образовательные организации являются операторами персональных данных, поскольку занимаются обработкой персональных данных учащихся и педагогов. Следовательно, ответственными сотрудниками этих организаций должно обеспечиваться соблюдение вышеуказанного закона.

Выполнение требований закона в образовательных организациях

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от:

  • неправомерного или случайного доступа к ним;
  • уничтожения;
  • изменения;
  • блокирования;
  • копирования;
  • предоставления;
  • распространения;
  • иных неправомерных действий в отношении персональных данных.

В рамках образовательных организаций должен быть выполнен комплекс работ по сбору пакета документов, предоставляемых на проверку контролирующим организациям.

В настоящее время отсутствуют нормативные акты, утверждающие форму этих типовых ведомственных документов по защите персональных данных в образовательных организациях.

Пакет документов для проверки

Цифровая образовательная платформа «Дневник.ру» предоставляет шаблоны указанных форм документов образовательным организациям, заключившим соглашение с Дневник.ру. Благодаря этому у образовательных организаций отпадает необходимость в самостоятельном подборе и составлении документации из этого обширного перечня.

Этапы работ

Организация защиты персональных данных должна производиться в несколько этапов:

  • инвентаризация информационных ресурсов;
  • ограничение доступа работников к персональным данным;
  • документальное регламентирование работы с персональными данными;
  • формирование модели угроз безопасности персональных данных;
  • классификация информационных систем персональных данных (ИСПДн) образовательных организаций;
  • составление и отправка в уполномоченный орган уведомления об обработке персональных данных;
  • приведение системы защиты персональных данных в соответствие с требованиями регуляторов;
  • создание подсистемы информационной безопасности ИСПДн и ее аттестация (сертификация) – для ИСПДн классов К1, К2;
  • организация эксплуатации и контроля безопасности ИСПДн.

Этап 1. Инвентаризация информационных ресурсов

Инвентаризация информационных ресурсов — выявление присутствия и осуществления обработки персональных данных во всех эксплуатируемых в организации информационных системах и традиционных хранилищах данных. В качестве информационных систем, относящихся к ИСПДн, выступают:

  • электронный журнал/дневник;
  • «1С-Бюджет»;
  • «1С-Зарплата-Кадры»;
  • автоматизированная информационная библиотечная система;
  • информационная система «Налогоплательщик» и другие.

Выполняя функции электронного журнала/дневника, информационная система «Дневник.ру» является ИСПДн и зарегистрирована Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций РФ в реестре операторов персональных данных под регистрационным номером 09-0062296.

На данном этапе следует:

  • утвердить положение о защите персональных данных;
  • сформировать концепцию, определить политику информационной безопасности;
  • составить перечень персональных данных, подлежащих защите.

Места обработки персональных данных:

  • бухгалтерия;
  • библиотека;
  • учительская;
  • отдел кадров;
  • медпункт.

Этап 2. Ограничение доступа работников к персональным данным

Ограничение доступа работников организации к персональным данным – неотъемлемая часть мероприятий по обеспечению безопасности ПДн при их обработке в информационных системах. Допуск к обработке персональных данных должен быть только у тех сотрудников, которым это необходимо для выполнения служебных (трудовых) обязанностей. Система Дневник.ру построена таким образом, что сотрудники образовательных организаций, учащиеся и их законные представители могут пройти регистрацию на сайте только после получения логина и пароля для первого входа в своей образовательной организации. Все данные хранятся в Администрации образовательной организации и не подлежат разглашению, что гарантирует отсутствие посторонних лиц в Дневник.ру.

На данном этапе следует : в необходимой мере ограничить как электронный, так и физический доступ к персональным данным, хранящимся в образовательной организации.

Этап 3. Документальное регламентирование работы с персональными данными

Согласно статье 86 Трудового кодекса РФ, работники и их представители должны быть ознакомлены под роспись с теми документами работодателя, которые устанавливают порядок обработки персональных данных работников, а также их права и обязанности в этой области.

Субъект персональных данных самостоятельно решает вопрос их передачи кому-либо, оформляя свое намерение документально.

На данном этапе следует:

  • собрать согласия на обработку персональных данных;
  • издать приказ о назначении лиц, ответственных за обработку ПДн;
  • издать положение о разграничении прав доступа к обрабатываемым ПДн;
  • составить инструкции администратора ИСПДн, пользователя ИСПДн и администратора безопасности ИСПДн.

Согласия на обработку персональных данных физических лиц

В соответствии со статьей 9 ФЗ-№152 «О персональных данных» обработка персональных данных субъекта осуществляется только при условии наличия его письменного согласия с указанием следующих данных:

  • фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
  • наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие, а также порядок его отзыва№
  • подпись субъекта персональных данных.

Формы согласий на обработку персональных данных сотрудников образовательных организаций, учащихся и их законных представителей, используемые при подключении к Дневник.ру, полностью соответствуют вышеуказанным требованиям.

Подписанные согласия хранятся в образовательных организациях и могут быть предоставлены только по требованию регуляторов и других уполномоченных органов РФ.

Этап 4. Формирование модели угроз безопасности персональных данных

Частная модель угроз безопасности персональных данных, хранящихся в информационной системе, формируется на основании следующих документов, утвержденных Федеральной службой по техническому и экспортному контролю (ФСТЭК):

  • Базовая модель угроз безопасности персональных данных при их обработке в ИСПДн.
  • Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн.
  • Частная модель угроз безопасности персональных данных, хранящихся в информационной системе «Дневник.ру», была сформирована ФГУП «ЗащитаИнфоТранс». Она показывает, что персональные данные пользователей, обрабатываемые в Дневник.ру, подвергаются низкой степени угрозы несанкционированного доступа к ним.
Читайте так же:  Расположение земельного участка на публичной кадастровой карте

На данном этапе следует сформировать модель угроз безопасности персональных данных, обрабатываемых и хранящихся в образовательной организации.

Этап 5. Классификация ИСПДн

На данном этапе следует составить акты классификации используемых в образовательной организации информационных систем персональных данных.

Этап 6. Составление и отправка в уполномоченный орган уведомления

Уведомление об обработке персональных данных оформляется на бланке оператора и направляется в территориальный орган Роскомнадзора Министерства связи и массовых коммуникаций РФ на бумажном носителе или в форме электронного документа с подписью уполномоченного лица. В форме указываются данные об обработчике, цель обработки, категории данных, категории субъектов, данные которых обрабатываются, правовое основание обработки, дата ее начала, срок (условие) ее прекращения и прочее.

На данном этапе следует: на сайте Уполномоченного органа по защите прав субъектов персональных данных http://www.pd.rsoc.ru/operators-registry/notification/form/ заполнить и отправить форму уведомления в электронном виде или распечатать на бумажном носителе.

Этап 7. Приведение системы в соответствие с требованиями регуляторов

В ФЗ №152 «О персональных данных» сказано, что оператор персональных данных обязан принимать все необходимые меры по защите безопасности ПДн. Это означает потребность оператора в использовании современных высокотехнологичных способов хранения ПДн. Персональные данные, обрабатываемые системой Дневник.ру, хранятся в одном из лучших дата-центров России — Селектел, который находится в городе Санкт-Петербурге. Многоуровневая система доступа, отвечающая самым жестким требованиям банковских и государственных структур, обеспечивает безопасное хранение данных.

На данном этапе следует:

  • создать перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним;
  • создать положение о подразделении по защите информации;
  • подготовить методические рекомендации для организации защиты информации при обработке персональных данных;
  • создать инструкцию пользователя по обеспечению безопасности обработки ПД при возникновении внештатных ситуаций;
  • утвердить план мероприятий по защите ПДн.

Этап 8. Аттестация (сертификация) ИСПДн

Для обеспечения безопасности ИСПДн требуется проводить мероприятия по организации и техническому сопровождению защиты обрабатываемых персональных данных. В качестве оценки соответствия ИСПДн 1 и 2 классов требованиям к безопасности ПДн используется обязательная сертификация (аттестация).

На данном этапе следует:

  • создать эскизный проект системы обеспечения безопасности информации объекта вычислительной техники;
  • создать типовое техническое задание на разработку системы обеспечения безопасности информации объекта вычислительной техники;
  • определить порядок резервирования технических средств защиты информации.

Перечень объектов информатизации, подлежащих аттестации

Обязательной аттестации подлежат следующие объекты информатизации:

  • Автоматизированные системы различного уровня и назначения.
  • Системы связи, приема, обработки и передачи данных.
  • Системы отображения и размножения.
  • Помещения, предназначенные для ведения конфиденциальных переговоров.

Этап 9. Организация эксплуатации ИСПДн и контроля за безопасностью

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

  • контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
  • разбирательство и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования средств защиты информации, которые могут привести к нарушению конфиденциальности ПДн.

На данном этапе следует:

  • Разработать проект приказа о положении об электронном журнале обращений пользователей информационных систем персональных данных → создать журнал учета обращений субъектов ПДн о выполнении их законных прав и журнал учета мероприятий по контролю.
  • Сформировать план внутренних проверок → издать приказ о проведении внутренней проверки → составить отчет о результатах проведения внутренней проверки.

Поддержание эффективной системы защиты ПДн

Для поддержания системы защиты персональных данных на высоком уровне требуется проведение следующих мероприятий:

  • Развертывание полноценной системы обработки ПДн. Система «Дневник.ру» обладает качественными техническими ресурсами, применение которых позволяет осуществлять безопасную обработку персональных данных в образовательной организации.
  • Полномасштабное внедрение средств защиты. Высококвалифицированные специалисты Дневник.ру обеспечивают постоянный контроль и необходимое техническое обслуживание системы защиты персональных данных пользователей.
  • Аттестация ИСПДн. Информационная система «Дневник.ру» имеет все необходимые лицензии и сертификаты для обработки персональных данных.
  • Приведение всех процессов обработки ПДн в соответствие с требованиями закона. Дневник.ру отвечает требованиям законодательства в области защиты персональных данных.
  • Реакция на регулярные проверки и прочее.
Видео (кликните для воспроизведения).

Ответственность за нарушение ФЗ №152 «О персональных данных»

  • Административная ответственность: штраф или штраф с конфискацией несертифицированных средств обеспечения безопасности и шифровальных средств. Административный кодекс, ст. 13.11, 13.12, 13.14.

Источники


  1. Тихомиров, М. Ю. Незаконное увольнение. Практическое пособие / М.Ю. Тихомиров. — М.: Издание Тихомирова М. Ю., 2015. — 673 c.

  2. Общее образование. Школа, гимназия, лицей. Юридический справочник директора, учителя, учащегося. — М.: Альфа-пресс, 2013. — 592 c.

  3. Марченко, М. Н. Проблемы общей теории государства и права. Учебник. В 2 томах. Том 1. Государство / М.Н. Марченко. — М.: Проспект, 2015. — 752 c.
  4. Михайловская, Н.Г. Искусство судебного оратора / Н.Г. Михайловская, В.В. Одинцов. — М.: Юридическая литература, 2016. — 176 c.
  5. ред. Корельский, В.М.; Перевалов, В.Д. Теория государства и права; М.: Норма; Издание 2-е, испр. и доп., 2012. — 616 c.
План мероприятий по обеспечению безопасности персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here