Самое важное о документах по защите персональных данных работников в организации: оформление комплекта и образцы

Инструкция пользователя

Инструкция регламентирует обязанности оператора ИСПДн по обеспечению безопасности обрабатываемой информации. Она включает:

  1. Обязанности пользователя ИСПДн.
  2. Запрещенные для пользователя ИСПДн действия.
  3. Права оператора ИСПДн.
  4. Ответственность пользователя.
  5. Правила работы в информационно-телекоммуникационных сетях международного обмена информацией.
  6. Перечень документации, использованной при разработке инструкции.
  • Скачать бланк инструкции пользователя информационных систем персональных данных
  • Скачать образец инструкции пользователя информационных систем персональных данных

Какие существуют уровни защищенности?

В соответствии со статьей 19 Федерального закона «О персональных данных» № 152 от 27.07.2006 года, Правительство РФ устанавливает 4 уровня защищенности:

  1. УЗ-1 – максимальный.
  2. УЗ-2 – высокий.
  3. УЗ-3 – средний.
  4. УЗ-4 – низкий.

Определение уровня защищенности информации осуществляется с учетом категории обрабатываемых данных, вида обработки, количества субъектов и типа угроз. Это позволяет предпринять соответствующие эффективные меры , гарантирующие информационную безопасность ПД.

Детально выбор средств в соответствии с уровнем защиты и типом угроз освещен в пунктах 4-16 Постановления Правительства РФ от 01.11.2012 N 1119.

Важно! Контролировать выполнение требований по защищенности информации, оператор может самостоятельно либо привлечь лицензированную организацию, которая специализируется на создании и реализации СЗПД.

Предохранительные меры

Организационные:

  • Ограниченный доступ к хранилищам и архивам материалов.
  • Верификация запрашивающего лица перед предоставлением информации.
  • Ознакомительный формат предоставления сведений.
  • Санкции и штрафы за нарушения правил.

Технические:

  • Криптография и шифрование данных.
  • Создание отдельных серверов и каналов связи.
  • Уничтожение неактуальных материалов.
  • Экранировка помещений и устройств, для защиты от взлома.

Защиту персональной информации работник может реализовать через:

  1. Свободное бесплатное обращение к документам, где фигурируют его личные материалы. Работник может потребовать копию любого нормативного документа.
  2. Требование по отношению к работодателю, заключающееся в удалении или изменении персональных данных, либо их части.
  3. Путём обжалования процедуры подачи, обработки и публикации сведений, организацией.

Обеспечение высокого уровня защиты

Тщательно проработайте организационный момент:Используйте технику, которая удовлетворяет требования закона РФ, гарантирующих охрану информации.
Система защиты должна быть проверена процедурой оценочного соответствия.
«Положение о персональных данных работников и обучающихся» (п. 6) должно быть основанием для допуска лиц к системе данных, также имеют место быть пароли доступа для каждого сотрудника.
Сотрудники должны быть осведомлены обо всех существующих положениях, инструкциях работы в сети и расписаться после ознакомления с ними (Например, «Положение о корпоративной компьютерной сети», «Инструкция пользователя при обработке персональной информации на объектах вычислительной техники», и т.д

).
Пароли доступа к системе с персональной информацией для каждого сотрудника должны быть индивидуальными и состоять более чем из шести знаков.

Поставьте жесткие рамки:Работа посторонних лиц за техникой, где есть какая – либо конфиденциальная информация, без пароля доступа должна воспрещаться.
Пересылка через Интернет конфиденциальных сведений по ненадежным каналам недопустима.

Уделите особое внимание:Контролю над исправностью системного оборудования.
Налаженной системе работы противовирусного программного обеспечения, исключая чрезмерные проверки на выявление зараженных элементов.
Соблюдению условий, при которых программное обеспечение не будет извлечено, утилизировано или подвержено конфигурации и т.д.

Законом дано право юридическим лицам самим определять меру защиты своей конфиденциальной информации. Не будьте же уязвимыми – примите необходимые меры.

Матрица доступа

Особенности избирательного управления доступом описываются моделью системы на основе матрицы доступа (МД). Также она называется матрицей контроля доступа. МД – это прямоугольная матрица, в рамках которой объект системы – это строка, а субъект – столбец. На пересечении строки и столбца указан вид разрешенного доступа субъекта к определенному объекту.

Доступы бывают следующие:

  • К чтению.
  • Для записи.
  • На исполнение и другие.

Количество объектов и видов доступа к ним меняются, согласно определенным правилам, использующимся в конкретной системе. Изменения данных правил также решаются матрицей. Первоначальное состояние системы определяет матрица доступа.

Действия регламентируются и фиксируются в матрице:

  1. R – чтение.
  2. CR – создание объекта.
  3. W – запись внутри объекта.
  4. D – избавление от объекта.
  5. Знак «+» определяет доступность для конкретного субъекта.
  6. Знак «-» определяет недоступность для субъекта.

Состояние информационной системы будет считаться безопасным, если, согласно ее политике, субъекты имеют право только на определенные виды доступа к объектам и предусматривается запрет доступа.

На примере предприятия объектами будут:

  • Технические средства, обрабатывающие, принимающие и передающие информацию.
  • Коммерческая тайна.
  • Личные данные клиентов.
  • ПДн работников.
  • Документация.
  • Личные дела сотрудников.
  • Электронные БД персонала и клиентуры.
  • Бумажные и электронные приказы, договора, планы, отчеты, являющиеся коммерческой тайной.
  • Средства защиты данных: антивирусы, сигнализационная система и др.
  • Личные данные бывших сотрудников и клиентов.

В роли субъектов доступа к данным выступают:

  1. Директор (S1).
  2. Главбух (S2).
  3. Специалист (S3).

Начало обработки

Оператор ПД должен выполнять сбор информации, ее обработку и отвечать за сохранение конфиденциальности данных.

Для начала обработки данных требуется следующее документальное оформление:

  1. Положение, регулирующее цель обработки, требования к порядку обработки и регистрации ПД, порядку направления уведомлений и ответственных лиц.
  2. Внутренние документы политики компании в отношении автоматизированных систем и доступа к ним.
  3. Образцы уведомления уполномоченного органа.
  4. Образцы согласия и уведомлений субъекта ПД, изменения и дополнения в договора с физлицами, чьи данные обрабатываются (бухгалтерия, кадры, поставщики).
  5. Порядок отношений с распорядителем баз ПД.
  6. Порядок работы с запросами субъектов ПД.
  7. Договор с субъектами, обрабатывающими базы ПД.

Чем регулируется

Федеральное законодательство:

  • «Об утверждении перечня сведений конфиденциального характера» — Указ Президента РФ от 06.03.1997 № 188 определяет, что к персональным данным также относятся сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность.
  • 149-ФЗ «Об информации, информационных технологиях и защите информации» — базовый закон, устанавливающий общие вещи.
  • «О персональных данных» от 27.07.2006 № 152-ФЗ — в нём задаётся фреймворк того, что такое ПДн, как их обрабатывать (кстати, хранение и передача — это подвиды обработки).
    Особенно интересны цитаты:
  • Постановление Правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 № 1119 — в документе описаны правила определения уровней защищённости ПДн и основные требования по защите ПДн.
  • Постановление Правительства РФ «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» от 06.07.2008 № 512 — содержит требования, которые должны применяться при использовании материальных носителей, на которые осуществляется запись биометрических ПДн, а также при хранении биометрических ПДн вне информационных систем персональных данных. Документ хоть и старый, но учитывать его требования нужно.
  • Постановление Правительства РФ «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 № 687 — всё понятно из названия: требования по обработке и защите ПДн, которые обрабатываются в бумажном виде.

Основные документы регуляторов:

  • Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» — большой набор организационных и технических требований по защите информации, а также правила создания систем защиты персональных данных. Вкратце — смотрите пост про то, как мы проходили сертификацию и как мы помогаем аттестовываться.
  • Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» — очень полезный документ, который содержит не только требования по защите ПДн, но и позволяет определить класс необходимых к применению криптосредств.
  • «Об утверждении требований и методов по обезличиванию персональных данных» — Приказ Роскомнадзора от 05.09.2013 № 996 (Зарегистрировано в Минюсте России 10.09.2013 № 29935) и «Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 “Об утверждении требований и методов по обезличиванию персональных данных”» утв. Роскомнадзором 13.12.2013, что перестаёт делать ПДн собственно ПДн при обезличивании, например, для целей Data Mining.

25.rsoc.ru

Что это такое государственные и частные ИСПДн?

Информационная система ПДн предназначена для хранения и обработки личной информации. Она состоит из:

  1. Совокупности сведений, которые хранятся в базе.
  2. Технических средств, применяющихся для работы с данными сведениями.
  3. Средств автоматизации работ, связанных с учетом и обработкой информации, находящейся в ИСПДн (автоматизирующие средства применяются не во всех системах).

К персональной относится информация, касающаяся конкретного лица или субъекта. В это понятие входят такие сведения:

  • Фамилия, имя, отчество.
  • Дата рождения.
  • Адрес прописки и фактического проживания.
  • Материальное, семейное и социальное положение.
  • Размеры доходов.
  • Профессия.
  • Иные данные.

Особенности частных

Для большинства крупных частных предприятий и компаний, которые работают в России, неотъемлемыми стали программы бухучета, занимающиеся обработкой данных о:

  • зарплате сотрудников;
  • пенсионных, страховых налоговых отчислений;
  • социальных пособиях;
  • добровольных взносах (к примеру, негосударственное страхование пенсионеров);
  • принудительных платежах (например, алиментах).

Практически у каждой серьезной компании имеется автоматизированная система учета кадров: самостоятельная или являющаяся составляющей ERP-системы.

В зависимости от характера деятельности в разных фирмах и на производстве появляются специфические системы, которые обрабатывают ПДн:

  1. автоматизированные банковские системы;
  2. биллинговые системы или абонентские базы;
  3. базы страховых компаний;
  4. системы, хранящие данные коллекторских агентств;
  5. бюро кредитных историй с информацией о гражданах;
  6. амбулаторные электронные карты в медицинских организациях и пр.

Все перечисленные системы обслуживают бизнес-процессы.

Общий перечень

Оператор обязан проверить внутренние системы защиты и подготовить такие документы в единый комплект:

  1. Перечень ПД, подлежащих защите в информационных системах, согласно установленному ФЗ от 27.06.2006 года № 152 «О персональных данных».
  2. Приказ о назначении ответственных сотрудников за организацию обработки ПД и перечне мер по их защите.
  3. Список конфиденциальных сведений. В нем следует указать, что он разработан согласно закону «О персональных данных». Все виды категорий можно выполнить в виде таблицы.
  4. Инструкция администратора по безопасности. Назначается приказом руководителя. В документе следует перечислить должностные обязанности.
  5. Список помещений, где проводится обработка ПД.
  6. Приказ об утверждении мест хранения ПД.
  7. Проект информационной системы ЗПД.
  8. Инструкция пользователей системы ПД. Определяет обязанности тех, кто ведет работу с ПД.
  9. Порядок восстановления и резервирования работы программного обеспечения, технических средств, средств защиты информации и баз данных.
  10. Приказ по уничтожению ПД специальной комиссией. После выполненной обработки ПД необходимо уничтожить.
  11. Приказ об эксплуатации информационной системы, заключение о вводе в эксплуатацию.
  12. План внутренних проверок режима ЗПД. План рекомендовано выполнить в виде таблицы с указанием периодичности проверок оборудования и режима.
  13. Журнал учета действий по контролю данных. В таблицу можно записывать проводимые мероприятия.
  14. Журнал учета носителей информации.
  15. Журнал учета обращений субъектов ПД о выполнении их законных прав.
  16. Положение о правах доступа к обрабатываемым личным данным.
  17. План проведения внутренних проверок защищенности персональных данных.
  18. Акт классификации системы. Это база данных с личной информацией, где следует указать:
    • категории персональных данных;
    • кем используется система;
    • режим и объем обрабатываемой информации;
    • тип и структуру системы;
    • расположение технических средств;
    • подключение к другим сетям связи.
  19. Правила обработки без применения автоматизированных средств.
  20. Инструкция по организации защиты пароля и антивирусного контроля.
  21. Форма акта по утилизации документов, содержащих личную информацию.
  22. Журнал тестирования средств информационной защиты.
  23. Журнал по проведению инструктажа по безопасности системы.
  24. Журнал учета технических средств защиты информации.
  25. Приказ о списке сотрудников, допущенных к обработке конфиденциальной информации.
  26. Инструкция при возникновении внештатных ситуаций по обеспечению безопасности.
  27. Соглашение о неразглашении с перечислением всех сведений, которые не подлежат разглашению. Должен подписывает каждый, кто имеет доступ к личным данным.
  28. Положение о защите ПД от несанкционированного доступа. Права и обязанности оператора, понятия из законодательства, цели и основания для обработки, ответственность за разглашение и внутренний доступ.
  29. Модель угроз безопасности. Совокупность условий, создающих опасность несанкционированного доступа, в результате чего может произойти копирование, изменение, уничтожение, блокирование, распространение личной информации.
  30. План действий по обеспечению безопасности. Указываются сроки, установка паролей и антивирусной программы, внедрение обновлений и доработок.
  31. Форма ответа на запрос ПД.

О полном перечне документации, которая потребуется для организации защиты ПД, мы рассказываем в отдельном материале.

Организационно-распорядительная документация

  1. Положение о защите ПД.

    Является главным документом, который регламентирует деятельность предприятия в этой сфере, и определяет порядок хранения и использования личных сведений в компании. Это положение утверждается руководителем организации приказом и является обязательным к выполнению всеми работниками предприятия.

    • Скачать бланк положения о защите персональных данных
    • Скачать образец положения о защите персональных данных
  2. Приказ о допуске к документам с персональными сведениями.

    В нем указаны все работники, у которых есть право работать с такой документацией. По каждому сотруднику прописывается, с какой именно информацией он может работать. Все лица, упомянутые в приказе, должны под роспись ознакомиться с этим документом и расписаться в листе ознакомления.

    • Скачать бланк приказа о допуске к документам с персональными сведениями
    • Скачать образец приказа о допуске к документам с персональными сведениями
  3. Инструкция по защите ПД.

    Подробные правила, которые обязаны соблюдать служащие. Рекомендовано заключать соглашение о неразглашении данных с каждым из работников, допущенных к личной информации.Скачать бланк инструкции о защите персональных данных

Внимание! Во избежание несанкционированного доступа к персональным сведениям, следует использовать ряд защитных мер, что включает в себя разработку комплекса специализированных организационно-распорядительных документов для внедрения в работу организации, которую проверяют соответствующие органы.

Итак, пакет документации по защите ПД включает в себя приказы, уведомления, должностные инструкции и положения, которые регулируют порядок сбора информации, обработки и хранения сведений.

Справочная информация

ДокументыЗаконыИзвещенияУтверждения документовДоговораЗапросы предложенийТехнические заданияПланы развитияДокументоведениеАналитикаМероприятияКонкурсыИтогиАдминистрации городовПриказыКонтрактыВыполнение работПротоколы рассмотрения заявокАукционыПроектыПротоколыБюджетные организацииМуниципалитетыРайоныОбразованияПрограммыОтчетыпо упоминаниямДокументная базаЦенные бумагиПоложенияФинансовые документыПостановленияРубрикатор по темамФинансыгорода Российской Федерациирегионыпо точным датамРегламентыТерминыНаучная терминологияФинансоваяЭкономическаяВремяДаты2015 год2016 годДокументы в финансовой сферев инвестиционной

Аттестация

Аттестация ИСПДн обязательна только для государственных систем персональных данных. Операторы обязаны их защищать в соответствии с Правилами защиты сведений, не являющихся государственной тайной, которые содержатся в государственных ИСПДн. Правила утверждены Приказом ФСТЭК РФ №17 от 2013 года.

Для негосударственных информационных систем аттестат соответствия нормам безопасности может пригодиться в том случае, когда необходимо доказывать требуемую степень защиты ИСПДн. Для частных систем аттестация проводится добровольно. Для этого могут использоваться Специальные рекомендации и требования по защите конфиденциальных данных (СТР-К). Доступ к указанному документу ограничен. Его можно получить исключительно в управлении ФСТЭК.

Процедура аттестации проводится компанией, обладающей лицензией на ведение дел по технической защите информационных ресурсов. Для этого создается аттестационная комиссия, включающая экспертов в сфере информационной безопасности. Задача команды – оценить соответствие технических и организационных мероприятий, испытать программные средства защиты ПДн.

Внимание! По результатам оценки выдается либо Аттестат, либо рекомендации по устранению недочетов системы защиты ПДн. Чтобы пройти аттестацию, организация должна тщательно подготовиться к процедуре или поручить этот процесс компетентным лицам.. Для частных компаний может быть достаточно получения декларации соответствия

Документ составляет оператор, привлекая специалистов в сфере защиты ПДн

Для частных компаний может быть достаточно получения декларации соответствия. Документ составляет оператор, привлекая специалистов в сфере защиты ПДн.

Что это такое?

Постановление Правительства РФ от 01.11.2012 N 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных” предъявляет особые требования к информсистемам, содержащим персональные данные, и предполагает создание особых средств и систем защиты информации.

Система защиты персональных данных (СЗПД) – это комплекс мер и мероприятий организационного и технического характера, направленных на противодействие несанкционированному доступу к закрытой информации с учетом актуального типа угроз безопасности(п. 2 Постановления Правительства РФ от 01.11.2012 N 1119).

Любое физическое или юридическое лицо, подпадающее под определение “оператор ПД”, обязано создать условия и предпринять меры по охране ПД от непредумышленных или преступных покушений.

СЗПД должна быть выстроена таким образом, чтобы действовать эффективно, но в то же время обеспечивать непрерывность внутренних процессов компании или организации.

Что конкретно имеется в виду под персональными данными?

Российское законодательство определяет как минимум 6 основных категорий персональных данных:

Общие или общедоступные. Это данные, которые не относятся к конфиденциальным. Найти их можно в общедоступных базах, справочниках, адресных книгах. Чаще всего такая информация находится в свободном доступе в соцсети. К таким данным относят: ФИО, место жительства или регистрации, место работы или вид занятости, номер телефона.

Специальные. Это такие данные, которые чаще всего находятся в закрытом доступе, а для их обработки нужно получить личное письменное согласие субъекта. К подобному виду информации относят данные о судимости, национальной принадлежности, личной жизни, состоянии здоровья, политических взглядов, религиозных убеждений. Узнать все это можно только лично от человека, или сделать официальный запрос в уполномоченную службу. Однако если дело касается правонарушений и информация нужна для следствия, тогда запрос на получение информации передается уполномоченным лицом под его личную ответственность.

Биометрические. Это ряд данных, которые определяют физиологические или биологические особенности человека и применяются, чтобы установить личность

К биометрическим данным относятся:
фотография;
отпечаток пальца или сетчатка глаза;
зубная карта;
группа крови;
запись образца голоса;
другая генетическая информация.
При этом важно помнить, вся эта информация является биометрической, если используется для идентификации личности, а не общего сбора данных о человеке.

Персональные данные работников. Сюда входит вся та информация, которую получает работодатель о своем сотруднике в процессе трудового взаимодействия

Эти данные защищаются дополнительно статьями ТК РФ.

Персональные данные в интернете. Вся дополнительная информация, получаемая собственниками электронных ресурсов при работе с сайтом: почта, IP-адрес, геолокация, информация о действиях на странице, полученные и отправленные файлы.

Иные или дополнительные данные. Чаще всего к этой группе относят информацию, которая имеет свойство меняться и не носит особой важности или секретности. В эту категорию можно отнести информацию о членстве в обществе или о занятии определенным видом спорта.

7.1 Классификация угроз безопасности

Перечень угроз, уязвимостей и технических каналов утечки информации сформирован в соответствии с требованиями руководящих документов ФСТЭК России.

Состав и содержание УБПДн определяется совокупностью условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПДн обрабатываемым в ИСПДн.

ИСПДн учреждений и организаций Минздравсоцразвития России представляют собой совокупность информационных и программно-аппаратных элементов и их особенностей как объектов обеспечения безопасности. Основными элементами ИСПДн являются:

— персональные данные, обрабатываемые в ИСПДн;

— технические средства ИСПДн, осуществляющие обработку ПДн (средства вычислительной техники (СВТ), информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн;

— вспомогательные технические средства и системы (технические средства и системы, их коммуникации, не предназначенные для обработки ПДн, но размещенные в помещениях, в которых расположены ИСПДн, такие как средства вычислительной техники, средства и системы охранной и пожарной сигнализации, средства и системы кондиционирования, средства электронной оргтехники и т. п.) (далее — ВТСС);

— документация на СКЗИ и на технические и программные компоненты ИСПДн;

— ключевая, аутентифицирующая и парольная информация;

— помещения, в которых находятся защищаемые ресурсы.

Возможности источников УБПДн обусловлены совокупностью методов и способов несанкционированного и (или) случайного доступа к ПДн, в результате которого возможно нарушение конфиденциальности (копирование, неправомерное распространение), целостности (уничтожение, изменение) и доступности (блокирование) ПДн.

Угроза безопасности ПДн реализуется в результате образования канала реализации УБПДн между источником угрозы и носителем (источником) ПДн, что создает необходимые условия для нарушения безопасности ПДн (несанкционированный или случайный доступ).

Основными элементами канала реализации УБПДн являются:

— источник УБПДн – субъект, материальный объект или физическое явление, создающие УБПДн;

— среда (путь) распространения ПДн или воздействий, в которой физическое поле, сигнал, данные или программы могут распространяться и воздействовать на защищаемые свойства (конфиденциальность, целостность, доступность) ПДн;

— носитель ПДн – физическое лицо или материальный объект, в том числе физическое поле, в котором ПДн находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин (см. раздел 3.2 на стр. 20).

Источниками угроз НСД в ИСПДн могут быть:

— нарушитель;

— носитель вредоносной программы.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий