Приказ о назначении администратора испдн

Приказ о назначении администратора испдн

Общество с ограниченной ответственностью «Центр информационной безопасности»

428000, Чувашская Республика, г.Чебоксары, ул. Эльгера, дом 15а

О назначении администратора защиты информационных систем
персональных данных

Во исполнение требований Федерального закона от 27.07.2006 № 152 «О персональных данных», постановления Правительства Российской Федерации от 01.11.2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановления Правительства Российской Федерации от 15.09.2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», а также иных нормативных документов по защите информации , приказываю:

1. Назначить администратором защиты информационных систем персональных ___________________________.

2. Контроль за исполнением настоящего приказа оставляю за собой.

Приказ о назначении администратора испдн

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

Я по своей теме:
Это РС БР ИББС-2.3-2010:
6.1.6. Обязанности по администрированию средств защиты и механизмов защиты, реа!
лизующих требования по обеспечению ИБ ИСПДн организации БС РФ, возлагаются приказами
(распоряжениями) на администраторов информационной безопасности ИСПДн.
6.1.7. Порядок действий администратора информационной безопасности ИСПДн и пер!
сонала, занятых в процессе обработки персональных данных, должен быть определен инструк!
циями (руководствами), которые готовятся разработчиком ИСПДн в составе эксплуатационной
документации на ИСПДн.

Ну а вообще требований думаю нигде нет, может быть только будет в СТР-К.

На сколько я понимаю — Определили мы перечень Автоматизированных банковских систем (АБС) в рамках которых обрабатываются ПДн, далее выделили те, которые реализуют банковские инф.тех процессы и те, которые платежные. Соответственно сделали вывод о необходимости классификации АБС как ИСПДн. Описали технололигеский процесс — +- и классифицировали ИСПДн (разработали ИСПДн). Далее необходимо написать инструкции для пользователей и для администраторов, которые будут ими руководствоваться в своей работе.
Причем при использовании СЗИ, работники и должны быть ознакомлены с эксплуатационной а администраторы еще и с технической документацией на СЗИ.

Мне кажется здесь имеется ввиду это.

Как я понимаю, назначить Администратором ИБ или возложить обязоности можно на любого сотрудника организации. Только будет ли он данные функции выполнять без соответствующего обучения. . Так для галочки можно и уборщицу назначить Администратором ИБ.

Требований в дипломе или сертификате, у данного специалиста не требуется. во всяком случае не встречал такого.

Кто вам мешает написать в приказе «Назначить администратором безопасности ИСПДн программиста Иванова Антона Петровича с 01 мая 2013 года.
Администратору безопасности в своей работе руководствоваться инструкцией администратора безопасности, утвержденной от 01 мая 2013 года.»
И всё.
Это фактически не будет должностью. Не надо менять штатное расписание и в трудовой менять ничего не надо.
В каждой организации есть приказ (должен быть, конечно) о назначении ответственного за организацию обработки ПДн примерно такой же формы?
А должности «ответственного за организацию обработки» я еще ни разу не видел.

Если хотите, понимайте это как функциональные обязанности, а не как должностные.

Приказ о назначении администратора испдн

Практическая защита
персональных данных

Прежде всего необходимо выделить информационные системы персональных данных (ИСПДн).
Информационная система персональных данных
– это совокупность программных (например «1С-Предприятие») и технических средств (компьютеры, принтеры, сканеры, коммутационное оборудование и т.д.) на которых обрабатываются персональные данные. Обработка – это добавление, изменение, удаление, хранение, анализ, распространение персональных данных. Каждая ИСПДн должна иметь свою цель обработки. Именно цель обработки является основным критерием при выделении ИСПДн. Например, во многих медицинских учреждениях можно выделить 2 ИСПДн – «Сотрудники» и «Пациенты». Они имеют разные цели обработки персональных данных.

У всех ИСПДн должен быть назначен администратор безопасности. Администратор безопасности – сотрудник в должностные обязанности которого входит обеспечение защиты персональных данных в информационной системе. Он должен следить за работой средств защиты информации, своевременно проводить антивирусные проверки, консультировать сотрудников по вопросам безопасности персональных данных и т.п. Администраторов безопасности может быть несколько (например по одному на каждую ИСПДн). Администратор безопасности назначается приказом руководителя («Приказ о назначении администратора безопасности информационных систем персональных данных»). Чтобы определить требуемые меры по защите персональных данных необходимо определить уровень защищенности ИСПДн.О том как это сделать Вы можете прочитать в разделе Определение уровня защищенности ИСПДн.

По результатам определения уровня защищенности должен быть оформлен «Акт определения уровня защищенности информационной системы персональных данных».

Для каждой ИСПДн должна быть разработана «Частная модель актуальных угроз». В этом документе из всех возможных угроз безопасности персональных данных выделяются те, которые реально представляют опасность. Модель угроз разрабатывается на основе экспертных оценок. Ее разработку целесообразно поручить организации, которая имеет необходимое (3-4) число экспертов (людей, имеющих образование по защите информации и работающих в данной области).

Система защиты персональных данных разрабатывается на основании модели угроз и требований к уровню защищенности ИСПДн.

В большинстве случаев система защиты информации должна включать следующие компоненты:
— Антивирус;
— Средство защиты от несанкционированного доступа;
— Межсетевой экран.

Если осуществляется передача персональных данных по открытым каналам, то должны использоваться средства шифрования. Все средства защиты информации должны иметь сертификаты ФСТЭК, либо ФСБ.

© 2017 «Практическая защита персональных данных»

Приказ о назначении администратора испдн

Уважаемые родители и сотрудники МАУ МО г. Нягань «СШ «ЦСП»»!

27 июля 2006 года был принят Федеральный закон №152-ФЗ «О персональных данных» для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

МАУ ДО МО г.Нягань «ЦСП» является оператором, осуществляющим обработку персональных данных сотрудников, воспитанников и их родителей (законных представителей) центра, а также физических лиц, состоящих в иных договорных отношениях с МАУ МО г. Нягань «СШ «ЦСП»» .

МАУ МО г. Нягань «СШ «ЦСП»» занесен в РЕЕСТР операторов, осуществляющих обработку персональных данных на сайте РОСКОМНАДЗОРА.

Для соблюдения требований закона «О персональных данных» (далее — ПДн) МАУ МО г. Нягань «СШ «ЦСП»» должен получить от сотрудников и родителей (законных представителей) каждого воспитанника СОГЛАСИЕ НА ОБРАБОТКУ ПДн (на основании статьи 6, п. 1 №152-ФЗ «О персональных данных).

Правовое основание защиты персональных данных:

Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»;

Федеральный закон от 29.12.2012 №273-ФЗ «Об образовании в Российской Федерации»;

Федеральный закон от 30.12.2001 №195-ФЗ «Кодекс Российской Федерации об административных правонарушениях» (ст. 13.11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)»);

Федеральный закон от 13.06.1996 №63-ФЗ «Уголовный кодекс Российской Федерации» (ст. 137 «Нарушение неприкосновенности частной жизни»);

Трудовой кодекс РФ от 30.12.2001 №197-ФЗ (ст. 85-90);

Постановление Правительства Российской Федерации от 17.11.2007 №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

Постановление Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

Совместный приказ ФСТЭК России №55, ФСБ России №86, Мининформсвязи России №20 от 13.02.2008 «Об утверждении порядка проведения классификации информационных систем персональных данных»;

Гражданский кодекс РФ;

Налоговый кодекс РФ;

Устав МАУ МО г. Нягань «СШ «ЦСП»».

МЫ ДОЛЖНЫ ОБРАБАТЫВАТЬ ВАШИ ДАННЫЕ,

НО МЫ НЕ МОЖЕМ ЭТО ДЕЛАТЬ БЕЗ ВАШЕГО СОГЛАСИЯ!

ИНСТРУКЦИЯ. администратору информационной безопасности

1 УТВЕРЖДЕНО Приказом от 20 г. 1 Введение ИНСТРУКЦИЯ администратору информационной безопасности 1.1 Данная инструкция определяет круг задач, основные права и обязанности администратора информационной безопасности (далее по тексту ). 2 Общие положения 2.1 Назначение на должность администратора информационной безопасности, закрепление за данным лицом определенных полномочий и обязанностей производится приказом . 2.2 В своей деятельности администратор информационной безопасности руководствуется требованиями действующего законодательства Российской Федерации и внутренних документов по вопросам защиты информации, обеспечивает их выполнение в . 2.3 Администратор информационной безопасности непосредственно подчиняется и, помимо обязанностей, закрепленных настоящей Инструкцией, исполняет его указания и распоряжения в рамках выполнения своих основных задач. 3 Основные задачи администратора информационной безопасности 3.1 Основными задачами администратора информационной безопасности являются: ведение и актуализация перечня работников , имеющих доступ к персональным данным (далее по тексту ПДн), обрабатываемым в ; оценка угроз безопасности ПДн, обрабатываемых в информационных системах персональных данных (далее по тексту ИСПДн) , и их источников; участие в выборе методов и способов защиты ПДн, обрабатываемых в ИСПДн, формирование требований по обеспечению безопасности ПДн с помощью технических методов защиты;

2 2 участие в проектировании системы защиты персональных данных (далее по тексту СЗПДн) и внедрении средств защиты информации, взаимодействие с подрядными организациями, привлеченными для выполнения данных работ; мониторинг функционирования средств защиты информации; участие в реагировании на инциденты информационной безопасности, связанные с нарушением заданных характеристик безопасности ПДн, обрабатываемых в ИСПДн; обеспечение соблюдения требований по безопасности информации при эксплуатации технических средств, а также при выводе технических средств или их элементов из эксплуатации, в том числе при передаче в ремонт. 4 Обязанности администратора информационной безопасности 4.1 На администратора информационной безопасности возлагаются обязанности по разработке и поддержанию в актуальном состоянии матрицы доступа к защищаемым информационным (программным) ресурсам , включающей в себя: перечень ИСПДн ; перечень защищаемых информационных (программных) ресурсов ; перечень сотрудников , допущенных к самостоятельной работе на рабочих местах ИСПДн; перечень сторонних лиц, имеющих доступ к ИСПДн в целях обработки ПДн; перечень лиц, допущенных к обслуживанию ИСПДн ; права различных категорий лиц, допущенных к работе на рабочих местах ИСПДн, в отношении защищаемых информационных (программных) ресурсов. 4.2 На основании матрицы доступа администратор информационной безопасности поручает администратору ИСПДн (системному администратору) создавать учетные записи пользователей ИСПДн и назначать им соответствующие права в отношении защищаемых ресурсов, генерировать необходимую для доступа к ИСПДн аутентификационную (парольную) и ключевую информацию, подготавливать при необходимости материальные носители аутентификационной и ключевой информации. 4.3 Администратор информационной безопасности проводит инструктаж работников по вопросам обеспечения безопасности ПДн, обрабатываемых в ИСПДн, при предоставлении им возможности доступа к ИСПДн и выдает под роспись пользователям ИСПДн материальные носители аутентификационной и ключевой информации (в случае их использования). 4.4 Администратору информационной безопасности запрещается разрешать доступ к ПДн, обрабатываемым в ИСПДн, работникам , не включенным в перечень лиц, доступ к ПДн которым необходим для выполнения служебных (трудовых) обязанностей.

Смотрите так же:  Как написать заявление на должника в суд

3 3 4.5 Администратор информационной безопасности несет ответственность за назначение лицам минимально необходимого им для выполнения служебных обязанностей набора прав в отношении защищаемых информационных (программных) ресурсов. 4.6 Длина паролей, выбираемых администратором информационной безопасности, должна быть не менее 12 символов. В качестве пароля должна быть выбрана последовательность букв верхнего и нижнего регистра с обязательным включением цифр и (или) специальных символов. Категорически запрещается использование в качестве пароля легко угадываемых последовательностей символов (идентификатор пользователя, его фамилия, имя или отчество, номер телефона, имена родственников, последовательно расположенные на стандартной клавиатуре символы, табельный номер и т. п.). Запрещается использование в качестве паролей слов распространенных мировых языков независимо от раскладки клавиатуры, в которой они набираются. Рекомендуется наряду с английскими буквами использовать буквы русского алфавита (с переключением набора символов на клавиатуре). 4.7 Пароли администратора информационной безопасности должны быть уникальными и не должны совпадать с другими паролями администратора информационной безопасности, в частности, с паролями электронной почты, программ обмена мгновенными сообщениями и др. 4.8 Максимальный срок использования паролей администратора информационной безопасности 4 месяца. 4.9 Администратору информационной безопасности запрещается хранить пароли в записанном виде. За нарушение данного правила администратор информационной безопасности может быть привлечен к дисциплинарной ответственности Хранение администратором информационной безопасности паролей на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе главного врача в опечатанном личной печатью пенале (конверте). При нарушении целостности печати или утрате бумажного носителя пароли считаются скомпрометированными и подлежат немедленной смене На администратора информационной безопасности возлагаются обязанности по разработке модели угроз безопасности ПДн, обрабатываемых в ИСПДн , в соответствии с требованиями действующих нормативно-методических документов. Разрабатываемая администратором информационной безопасность модель угроз безопасности ПДн, обрабатываемых в ИС- ПДн, должна включать: описание возможных источников угроз безопасности ПДн, обрабатываемых в ИСПДн; оценку возможности реализации угроз безопасности ПДн с учетом принятых в мер защиты, условий функционирования ИСПДн, других объективных и субъективных факторов; оценку вреда, который может быть причинен субъекту ПДн в случае реализации угрозы безопасности ПДн Администратор информационной безопасности ежегодно осуществляет пересмотр (актуализацию) модели угроз безопасности ПДн, обрабатываемых в ИС-

4 4 ПДн. Кроме того, актуализация модели угроз безопасности ПДн должна осуществляться в случае: ввода в эксплуатацию новой ИСПДн; внесения существенных изменений в технологический процесс обработки ПДн в ИСПДн , в условия функционирования ИС- ПДн; реализации мероприятий по обеспечению безопасности ПДн, обрабатываемых в ИСПДн, существенно влияющих на оценку возможности реализации угроз безопасности ПДн, обрабатываемых в ИСПДн Администратор информационной безопасности ведет учет применяемых средств защиты информации, эксплуатационной и технической документации к ним по установленной форме Администратор информационной безопасности обязан обеспечить надежное хранение дистрибутивов к средствам защиты информации, документации к ним, документации на СЗПДн в целом Администратор информационной безопасности регулярно проводит контроль соблюдения условий эксплуатации средств защиты информации, предусмотренных эксплуатационной и технической документацией. Нарушение условий эксплуатации средств защиты информации является инцидентом информационной безопасности Администратор информационной безопасности организует доступ сторонних лиц к ИСПДн и (или) ее элементам при проведении работ по созданию, модернизации, эксплуатации СЗПДн, при сопровождении ИСПДн, обслуживании технических средств, способом, исключающим возможность несанкционированного доступа к ПДн или их носителям, в том числе, возможность хищения носителя ПДн. В случае невозможности исключения доступа к ПДн администратор информационной безопасности обязан под роспись уведомить сторонних лиц, получающих доступ к ИСПДн и (или) ее элементам о необходимости обеспечивать конфиденциальность (целостность, доступность) ПДн и ответственности за правонарушения в сфере информационной безопасности в соответствии с действующим законодательством Работы по созданию, модернизации, эксплуатации СЗПДн, обслуживанию технических средств проводятся сторонними лицами в присутствии администратора информационной безопасности. Работы по обслуживанию ИСПДн могут проводиться в присутствии лица, ответственного за эксплуатацию ИСПДн (по решению администратора информационной безопасности) Администратор информационной безопасности контролирует размещение всех технических средств, участвующих в обработке ПДн, а также входящих в состав вычислительной сети (в случае, если технические средства ИСПДн так же входят в состав вычислительной сети), в том числе, сетевого оборудования, в пределах защищаемых помещений (защищаемых зданий, частей здания), исключение возможности несанкционированного доступа к техническим средствам, расположенным вне контролируемой зоны При выводе из эксплуатации (либо передаче сторонним организациям в целях ремонта) отдельных элементов ИСПДн администратор информационной без-

5 5 опасности обязан обеспечить удаление из запоминающих устройств ПДн и технологической (служебной, конфигурационной, управляющей и т. д.) информации способом, предусмотренным технологией записи в запоминающее устройство. На администратора информационной безопасности возлагаются обязанности по контролю соответствия технического паспорта ИСПДн фактическому составу (комплектности) средств вычислительной техники информационной системы и ведению учета изменений программно-аппаратной конфигурации, периодическому контролю целостности печатей (пломб, наклеек) на элементах защищенных рабочих мест (при наличии таковых). В этих целях администратор информационной безопасности ведет Журнал учета нештатных ситуаций, фактов вскрытия и опечатывания средств вычислительной техники, выполнения профилактических работ, установки и модификации аппаратных и программных средств автоматизированных систем (ИСПДн). Кроме того, администратор информационной безопасности должен обеспечить фиксацию всех изменений технического характера в соответствующем техническом паспорте ИСПДн Если пользователь сообщает о невозможности входа в систему под своей учетной записью, администратор информационной безопасности должен: убедиться в том, что сотрудник правильно вводит имя пользователя; убедиться в том, что учетная запись не заблокирована; проанализировать содержимое журналов безопасности с целью выявления успешных и неуспешных попыток входа в систему с использованием данной учетной записи и узлов сети, с которых осуществлялся вход; сопоставить данные, полученные в результате анализа журналов безопасности, с информацией о режиме работы данного пользователя и его личной рабочей станции; установить причины нештатной ситуации и определить, имел ли место инцидент информационной безопасности; в случае если событие не отнесено к категории инцидентов информационной безопасности, устранить причины нештатной ситуации и обеспечить возможность входа пользователя в систему; в случае инцидента информационной безопасности осуществить процедуру реагирования на инцидент информационной безопасности в порядке, описанном в пункте 4.21 настоящей Инструкции. При возникновении подозрения о компрометации пароля администратор информационной безопасности должен: обеспечить незамедлительную смену скомпрометированного пароля (или убедиться, что смена пароля уже произведена пользователем); установить время и дату предполагаемой компрометации пароля; проанализировать содержимое журналов безопасности начиная со дня, предшествующего предполагаемой дате компрометации, с целью обнаружения фактов входа в систему с использованием учетной записи пользователя, чей пароль был скомпрометирован, и узлов сети, с которых осуществлялся вход;

6 6 сопоставить данные, полученные в результате анализа журналов безопасности, с информацией о режиме работы пользователя, использующего данную учетную запись, и его личной рабочей станции; установить, имел ли место инцидент информационной безопасности; в случае инцидента информационной безопасности осуществить процедуру реагирования на инцидент информационной безопасности в порядке, описанном в пункте 4.21 настоящей Инструкции При поступлении сообщения о возникновении нештатной ситуации (события, выходящего за рамки штатного функционирования ) администратор информационной безопасности совместно с системным администратором осуществляет оперативный сбор информации, связанной с событием, и оценку этой информации с целью определения, относится ли событие к категории инцидентов информационной безопасности. К инцидентам информационной безопасности должны быть отнесены следующие события: уничтожение или блокирование данных, технических средств, инфраструктуры и элементов ИСПДн вследствие стихийного бедствия, пожара, затопления или техногенных факторов (сбои, отказы программного обеспечения, технических средств, систем обеспечения функционирования ИСПДн); нежелательная сетевая активность (сканирование сети, попытки подбора пароля, взлома системы защиты или воздействия на технические (в том числе, программные) средства); уничтожение, кража носителей ПДн, раскрытие, модификация или блокирование ПДн вследствие несанкционированного проникновения в контролируемую зону; утрата отчуждаемого носителя информации; уничтожение, модификация, блокирование, раскрытие информации или нарушение работоспособности ИСПДн вследствие успешно проведенной атаки или воздействия вредоносного программного обеспечения; уничтожение, модификация, блокирование, раскрытие информации или нарушение работоспособности ИСПДн, совершенные пользователем ИСПДн (или от его имени) с использованием назначенных ему прав; нарушение установленных в требований по безопасности. При отнесении события к категории инцидентов информационной безопасности, администратор информационной безопасности совместно с системным администратором должен оценить уровень потенциального риска (путем определения возможности и характера ущерба, оценки темпа развития инцидента информационной безопасности): уровень 1 инцидент информационной безопасности является локальным и может быть разрешен силами ; уровень 2 инцидент информационной безопасности может привести к существенному ущербу и может быть разрешен силами лишь частично;

Смотрите так же:  Налог с продаж консультант

7 7 уровень 3 последствия инцидента информационной безопасности являются критическими, и он не может быть разрешен силами . В случае отнесения инцидента информационной безопасности к уровню 2 или уровню 3 незамедлительно уведомляется лицо, ответственное за организацию обработки ПДн, и . Администратор информационной безопасности совместно с системным администратором (с привлечением при необходимости иных сотрудников и специалистов) осуществляют локализацию инцидента информационной безопасности. При локализации инцидента информационной безопасности указанные сотрудники с учетом оценки реальной ситуации и существующих возможностей под свою ответственность осуществляют выбор стратегии и способа реагирования на инцидент информационной безопасности. В рамках локализации инцидента информационной безопасности могут быть предприняты реактивные действия (отключение технических средств от внешних сетей или их изоляция; изменение настроек межсетевого экрана, маршрутизаторов, других технических средств; принятие иных экстренных мер) или проактивные действия (наблюдение, предупреждение дальнейшего развития инцидента информационной безопасности)). Допустимость реактивных действий определяется с учетом характера инцидента информационной безопасности и уровня потенциального риска в случае непринятия реактивных мер. После локализации инцидента информационной безопасности администратором информационной безопасности составляется письменный отчет об инциденте информационной безопасности, его копия направляется лицу, ответственному за организацию обработки ПДн, и главному врачу . На администратора информационной безопасности возлагается ответственность за достоверность сведений, указанных в отчете об инциденте информационной безопасности. В отчете должны быть зафиксированы: дата и время, когда произошел инцидент информационной безопасности; перечень лиц (должность, фамилия, имя, отчество), бывших свидетелями события или сообщивших о нем; описание инцидента информационной безопасности; перечень свидетельств события и место их хранения (при наличии свидетельств); последовательность проведенных мероприятий и действий по локализации инцидента информационной безопасности, описание использованных при этом средств; описание ущерба и иных последствий инцидента информационной безопасности, в том числе вероятных последствий; выводы о возможных причинах инцидента информационной безопасности. Данный документ хранится у администратора информационной безопасности. Администратор информационной безопасности отвечает за обеспечение сохранности информации, относящейся к инциденту информационной безопасности. Указанная информация в дальнейшем может использоваться при проведении ком-

8 8 пьютерно-технической экспертизы, а также в качестве доказательной базы при судебном разбирательстве Администратору информационной безопасности запрещается: без согласования со специализированной организацией, осуществляющей сопровождение СЗПДн, изменять состав используемых на рабочих местах и серверах ИСПДн программных средств (в том числе, деинсталлировать установленные средства защиты информации; удалять или менять версию антивирусной программы; устанавливать программы, не участвующие в технологическом процессе обработки информации); изменять настройки средств защиты информации без согласования со специализированной организацией, осуществляющей сопровождение СЗПДн; использовать любые USB-устройства, не участвующие в технологическом процессе обработки информации и не зарегистрированные в соответствующем журнале; передавать сторонним организациям в целях ремонта носители информации, которые могут содержать ПДн (жесткие диски, USB-носители и т. п.); использовать предоставленные полномочия в целях, отличных от целей, предусмотренных служебными обязанностями; производить в рабочее время действия, приводящие к сбою, остановке, замедлению работы автоматизированной системы (ИСПДн), блокировке, потере информации, без предупреждения пользователей 1. 5 Права администратора информационной безопасности 5.1 Администратор информационной безопасности имеет право: осуществлять оперативное вмешательство в работу пользователя при явной угрозе безопасности информации в результате несоблюдения установленной технологии обработки информации и невыполнения требований по безопасности с последующим докладом лицу, ответственному за организацию обработки ПДн, и главному врачу ; вносить свои предложения по совершенствованию мер защиты обрабатываемых ПДн. Разработал: Лицо, ответственное за организацию обработки персональных данных Ознакомлен: наименование должности Дата ознакомления: Ф.И.О. Ф.И.О. 1 Действие данного пункта не распространяется на критичные (нештатные) ситуации, при которых необходимо прекращение дальнейшей обработки информации с целью сохранения заданных характеристик безопасности обрабатываемых данных.

Разработка организационно-распорядительных и регламентных документов

Компания «Инфолайн» оказывает услуги по разработке организационно-распорядительных и регламентных документов, как в рамках создания системы защиты персональных данных, так и в рамках создания системы защиты конфиденциальной информации в целом.

Перечень документов, разрабатываемых в рамках Предпроектного этапа создания системы защиты персональных данных:

1. Отчет о предварительном обследовании информационной системы персональных данных.

2. Акт классификации ИСПДн.

3. Приказ о назначении администратора защиты.

4. Приказ о назначении ответственного за защиту ПДн лица.

5. Приказ о назначении ответственных за эксплуатацию ИСПДн и СЗИ.

6. Приказ о назначении ответственных за эксплуатацию СКЗИ.

7. Приказ о перечне ПДн.

8. Приказ о списке лиц допущенных к ПДн.

9. Приказ об обеспечении безопасности ПДн, в т.ч. типовые формы журналов для учета:

— криптосредств, ключевых носителей;

— средств защиты информации;

— носителей защищаемой информации;

— нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн;

— пользователей, допущенных к информационным системам персональных данных;

— периодического тестирования средств защиты;

— проверок электронных журналов

10. Приказ об обработке ПДн.

11. Модель угроз ИСПДн (по методическим документам ФСТЭК).

12. Модель нарушителя ИСПДн (по методическим документам ФСБ).

13. Техническое задание на разработку СЗ ИСПДн.

Перечень основных организационно-распорядительных и регламентных документов, разрабатываемых в рамках Проектного этапа создания системы защиты конфиденциальной информации (в том числе и системы защиты персональных данных):

Организационно-распорядительные документы для защиты персональных данных

Организационные меры защиты персональных данных включают в себя разработку организационно-распорядительных документов, а также реализацию мероприятий по защите персональных данных.

В соответствии с п. 1 ст. 23 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» и п. 1 Положения о Федеральной службе по надзору в сфере связи и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16.03.2009 года № 228, уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи и массовых коммуникаций (Роскомнадзор). [1]

Организационные меры осуществляются на предприятии независимо от того, подавалось уведомление в Роскомнадзор или нет, осуществляется обработка ПДн с использованием средств автоматизации или без их использования.

Перечень мероприятий и необходимых документов может меняться в зависимости от специфики обработки персональных данных, орг.структуры и других особенностей каждого отдельно взятого предприятия.

Реализация организационных мер защиты проводится с учетом категорий Пдн: чем выше категория, тем выше требования к их защите.

[править] Перечень нормативно-правовых актов, непосредственно регулирующих проведение проверок

7. Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
8. Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
9. Постановление Правительства Российской Федерации от 16 марта 2009 г. № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»
10. 11. Приказ Министерства связи и массовых коммуникаций Российской Федерации от 7 апреля 2009 г. № 51 «Об утверждении Типового положения о территориальном органе Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций» (зарегистрирован Министерством юстиции Российской Федерации 13 мая 2009 г., регистрационный № 13919).» [2]

[править] Перечень организационно — распорядительных документов

Данные документы регламентируют весь процесс получения, обработки, хранения, передачи и защиты персональных данных (например):

[править] Приказ о назначении комиссии по приведению в соответствие с требованиями законодательства в области персональных данных

Документ необходим для назначения комиссии, которая будет заниматься приведением деятельности компании в соответствие с требованиями законодательства в области ПДн с целью исполнения требований законодательства РФ при обработке персональных данных. Выполняет требования следующих нормативных документов:

[править] Положение о комиссии по приведению в соответствие с требованиями законодательства в области персональных данных

Документ необходим для определения порядка создания комиссии, функций и задач выполняемых комиссией, а так же ответственность членов комиссии. Выполняет требования следующих нормативных документов:

[править] План мероприятий по приведению в соответствие с требованиями законодательства в области персональных данных

Документ необходим для разработки мероприятий, которые должны быть проведены с целью приведения деятельности компании в соответствие с требованиями законодательства в области ПДн. Выполняет требования следующих нормативных документов:
— п.6. ПП № 781
— п.2. Приказ № 55/86/20
— п.6.3.8 СТР-К

[править] Перечень должностей и третьих лиц, допущенных к обработке персональных данных

Документ необходим для определения круга лиц, которые будут допущены к к обработке персональных данных в компании. Выполняет требования следующих нормативных документов:
— п.14. ПП № 781
— п.6 ч.2 ПП № 687
— р.13 ч.3 ПП № 687
— п.6.3.2 СТР-К

Смотрите так же:  Самара компаньон лицензия
[править] Форма Обязательства о неразглашении персональных данных

Документ необходим для того, чтоб сотрудник получивший доступ к обработке персональных данных принял на себя обязательство о неразглашении информации. Выполняет требования следующих нормативных документов:
— п.1 ст.7 ФЗ №-152

[править] Форма Соглашения о соблюдении конфиденциальности персональных данных, переданных на обработку

Документ необходим для того, чтоб сотрудник получивший доступ к обработке персональных данных подписал соглашение о соблюдении конфиденциальности информации. Выполняет требования следующих нормативных документов:
— п.1 ст.7 ФЗ №-152

[править] Перечень обрабатываемых персональных данных

Документ необходим для определения перечня персональных данных, которые будут обрабатываться в ИСПДн. Выполняет требования следующих нормативных документов:
— р.2.1. ч.2 приказ ФСТЭК № 58
«Признать утратившим силу «приказ» ФСТЭК России от 5 февраля 2010 г. N 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный N 16456).» — Согласно приказу №21 от 18.02.2013

[править] Форма Согласия на обработку персональных данных

Документ необходим для того, чтоб субъект персональных данных подписал согласие об обработки его персональных данных в ИСПДн. Выполняет требования следующих нормативных документов:
— п.2 ст.5 ФЗ №-152
— п.2 ст.15 ФЗ №-152
— п.3 ст.21 ФЗ №-152
— п.4 ст.21 ФЗ №-152
— п.3 ст.21 ФЗ №-152
— п.3 ст.18 ФЗ №-152
— п.1 ст.6 ФЗ №-152

[править] Перечень информационных систем персональных данных

Документ необходим для определения информационных систем в которых будут обрабатываться персональные данные. Выполняет следующие требования нормативных документов:
— р.13 ч.3 ПП № 687
— р.2.1. ч.2 приказ ФСТЭК № 58
— р.2.1 ч.2 приказ ФСТЭК № 58
— п.3.8 СТР-К
— п.5.1.3 СТР-К
— п.3.18 СТР-К
— п.2.7 СТР-К
— п.4.2.1 СТР-К

[править] Технический паспорт информационных систем персональных данных

Документ необходим для описания используемой ИСПДн. В нем описывается расположение, схема и принцип работы ИСПДн . Выполняет следующие требования нормативных документов:
— р.13 ч.3 ПП № 687
— р.2.1. ч.2 приказ ФСТЭК № 58
— р.2.1 ч.2 приказ ФСТЭК № 58
— п.3.8 СТР-К
— п.5.1.3 СТР-К
— п.3.18 СТР-К
— п.2.7 СТР-К
— п.4.2.1 СТР-К

[править] Перечень средств защиты информации

Документ необходим для определения и описания используемых в ИСПДн средств защиты информации. Выполняет следующие требования нормативных документов:
— п.12б. ПП № 781
— п.12г. ПП № 781
— п.3.20 СТР-К
— п.3.21 СТР-К
— п.12к. ПП № 781

[править] Приказ о назначении лиц, ответственных за обработку и защиту персональных данных

Документ необходим для определения лиц, которые будут ответственны за процессы обработки и защиты персональных данных. Выполняет требования следующих нормативных документов:
— п.13. ПП № 781
— п.3.21 СТР-К
— п.5.3.5 СТР-К
— п.6.3.3 СТР-К
— п.6.3.1 СТР-К
— п.6.3.11 СТР-К

[править] Инструкция администратора информационной безопасности

Документ необходим для определения действий администратора информационной безопасности в различных ситуациях. Выполняет требования следующих нормативных документов:
— р.2.1 ч.2 приказ ФСТЭК № 58
— п.5.3.2 СТР-К
— п.5.5.3 СТР-К
— п.5.6.2 СТР-К
— п.5.6.3 СТР-К
— п.6.1.4 СТР-К
— п.6.3.6 СТР-К

[править] Инструкция менеджера обработки персональных данных

Документ необходим для определения действий менеджера обработки персональных в различных ситуациях. Выполняет требования следующих нормативных документов:
— р.2.1 ч.2 приказ ФСТЭК № 58
— п.5.3.2 СТР-К
— п.5.5.3 СТР-К
— п.5.6.2 СТР-К
— п.5.6.3 СТР-К
— п.6.1.4 СТР-К
— п.6.3.6 СТР-К

[править] Положение по обработке персональных данных

Документ необходим для установления требований, которые необходимо соблюдать при обработке персональных данных работника, гарантии их защиты, правила хранения и использования персональных данных, права работника по защите персональных данных и ответственность работодателя за нарушение норм, регулирующих обработку и защиту персональных данных работника. Выполняет требования следующих нормативных документов:
— п.2 ст.5 ФЗ №-152
— п.1 ст.14 ФЗ №-152
— п.3 ст.21 ФЗ №-152
— п.4 ст.21 ФЗ №-152
— п.7. ПП № 781
— п.16. ПП № 781
— п.6 ПП № 687

[править] Положение об обеспечении безопасности персональных данных

Документ необходим для установления требований, которые необходимо соблюдать при обработке персональных данных работника для обеспечения необходимой безопасности персональных данных. Выполняет требования следующих нормативных документов:
— Приказ № 55/86/20
— Приказ № 58
— ФЗ №-152

[править] Уведомление об обработке персональных данных

Документ необходим для того чтобы уведомить уполномоченный орган по защите прав субъектов персональных данных об обработке персональных данных. Выполняет требования следующих нормативных документов:
— ФЗ № 154 ст.22 п.1

[править] Приказ о назначении комиссии по классификации информационных систем персональных данных

Документ необходим для создания комиссии, которая займется классификацией ИСПДн. Выполняет требования следующих нормативных документов:
— Приказ № 781
— Приказ № 55/86/20

[править] Регламент по проведению классификации информационных систем персональных данных

Документ необходим для определения исходной информации и действий, необходимых для установления класса информационной системы. Выполняет требования следующих нормативных документов:
— Приказ № 781
— Приказ № 55/86/20 — утратил силу

[править] Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных

Документ необходим для определения возможных угроз и составления на их базе модели угроз актуальной для данной информационной системы. Выполняет требования следующих нормативных документов:
— п.2.3 ТТ ФСБ 149/6/6-622
— п.12а. ПП № 781
— п.3.8 СТР-К

[править] Модель нарушителя безопасности персональных данных при их обработке в информационных системах персональных данных

Документ необходим для определения необходимого уровня криптографической защиты в случае, если для защиты информации необходимо применение средств криптозащиты (регламентируется нормативными документами ФСБ России)

[править] Протокол заседания комиссии по классификации информационных систем персональных данных

Документ необходим для определения правил работы комиссии по классификации систем персональных данных. Выполняет следующие требования нормативных документов:
— Приказ № 781
— Приказ № 55/86/20 — утратил силу

[править] Акты классификации информационных систем персональных данных

Документ необходим для документального фиксирования итогов работы по определению класса ИСПДн. Выполняет следующие требования нормативных документов:
— п.6. ПП № 781 — утратил силу
— п.2. Приказ № 55/89/20 — утратил силу
— п.3.8 СТР-К
— п.5.6.4 СТР-К

[править] Техническое задание на систему защиты персональных данных

Документ необходим для определения последовательности действий, которые необходимо выполнить для того чтобы система защиты персональных данных соответствовала установленным требованиям. Выполняет следующие требования нормативных документов:
— п.3.13 СТР-К

[править] Приказ о назначении администратора информационных систем персональных данных

Документ необходим для назначения администратора информационных систем персональных данных. Выполняет требования следующих нормативных документов:
— приказ ФСТЭК № 58

[править] Инструкция администратора информационных систем персональных данных

Документ необходим для определения действий администратора информационных систем персональных данных в различных ситуациях. Выполняет требования следующих нормативных документов:
— р.2.1 ч.2 приказ ФСТЭК № 58
— п.5.3.2 СТР-К
— п.5.5.3 СТР-К
— п.5.6.2 СТР-К
— п.5.6.3 СТР-К
— п.6.1.4 СТР-К
— п.6.3.6 СТР-К

[править] Инструкция пользователя информационных систем персональных данных

Документ необходим для определения действий администратора информационных систем персональных данных в различных ситуациях. Выполняет требования следующих нормативных документов:
— р.2.1 ч.2 приказ ФСТЭК № 58
— п.5.3.2 СТР-К
— п.5.5.3 СТР-К
— п.5.6.2 СТР-К
— п.5.6.3 СТР-К
— п.6.1.4 СТР-К
— п.6.3.6 СТР-К

[править] Регламент по учёту, хранению и уничтожению носителей персональных данных

Документ необходим для определения совокупности правил, определяющих порядок работы по учёту, хранению и уничтожению носителей персональных данных. Выполняет следующие требования нормативных документов:
— р.13 ч.3 ПП № 687
— п.5.1.3 СТР-К
— п.4.2.1 СТР-К
— п.5.1.3 СТР-К
— п.5.2.6 СТР-К
— п.5.3.4 СТР-К
— п.5.3.5 СТР-К
— п.5.3.6 СТР-К
— п.5.3.7 СТР-К

[править] Регламент по допуску лиц к обработке персональных данных

Документ необходим для определения совокупности правил, определяющих порядок по допуску лиц к обработке персональных данных. Выполняет следующие требования нормативных документов:
— п.6 ч.2 ПП № 687
— р.13 ч.3 ПП № 687
— п.6.3.2 СТР-К

[править] Регламент по реагированию на запросы субъектов персональных данных

Документ необходим для определения совокупность правил, определяющих порядок по по реагированию на запросы субъектов персональных данных. Выполняет следующие требования нормативных документов:
— ФЗ №-152
— п.3 ст.14 ФЗ №-152

[править] Регламент по взаимодействию с органами государственной власти в области персональных данных

Документ необходим для определения совокупность правил, определяющих порядок по взаимодействию с органами государственной власти в области персональных данных.

[править] Регламент по резервному копированию персональных данных

Документ необходим для определения совокупность правил, определяющих порядок по резервному копированию персональных данных. Выполняет следующие требования нормативных документов:
— п.11г. ПП № 781
— Р.2.1 ч.2 приказ ФСТЭК № 58

[править] Регламент по реагированию на инциденты информационной безопасности

Документ необходим для определения совокупность правил, определяющих порядок по реагированию на инциденты информационной безопасности.