1200x200-GIF
Рассылка лучших статей

Готовимся к проверке: какие документы проверяет Роскомнадзор?

« Назад

03.09.2015 05:34

Автор: Олег Нечеухин, эксперт по защите информационных систем, Контур.Безопасность

Организационные меры защиты персональных данных включают в себя разработку организационно-распорядительных документов, а также реализацию мероприятий по защите ПДн.
 

В каждой организации — свой перечень

Разработка организационно-распорядительных документов (ОРД) является первым логичным этапом при выстраивании системы защиты персональных данных. Различные нормативные документы (№ 152- ФЗ «О персональных данных», Постановление П-1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановление П-687 «Об особенностях обработки ПДн, осуществляемой без средств автоматизации») устанавливают обязательность наличия тех или иных ОРД.

 

Не существует универсального фиксированного списка мероприятий и необходимых ОРД. Их перечень может меняться в зависимости от специфики обработки ПДн, организационной структуры и других особенностей каждого отдельно взятого предприятия.

 

Но при этом есть ряд документов, которые во время проверки в обязательном порядке запрашивают представители контролирующих органов. Этот список мы приведем ниже, наименования документов, конечно, могут отличаться, но смысл должен оставаться.

 

В соответствии с п. 1 ст. 23 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и п. 1 Положения о Федеральной службе по надзору в сфере связи и массовых коммуникаций, утвержденного Постановлением Правительства РФ от 16.03.2009 № 228, на Роскомнадзор возложено обеспечение контроля и надзора за соответствием обработки персональных данных требованиям закона № 152-ФЗ.

 

роскомнадзор

 

В пакете с ОРД должны присутствовать:

  • перечень ПДн (категория, субъекты, основания);

  • список должностных лиц, допущенных до ПДн;

  • регламент обработки ПДн (цели, условия и принципы обработки, условия прекращения обработки, правовые основания, какие меры обеспечения безопасности приняты);

  • положение об организации обработки ПДн (связывает все остальные документы между собой, а также содержит шаблоны основных соглашений (на обработку ПДн и на обязательство о конфиденциальности));

  • положение об организации неавтоматизированной обработки ПДн (хранение, уничтожение);

  • приказы о назначении и должностные инструкции лиц, ответственных за организацию обработки ПДн в организации и за обеспечение безопасности ПДн в информационной системе;

  • приказ о назначении и должностная инструкция администратора ИСПДн;

  • приказ об определении границ контролируемой зоны;

  • перечень помещений, в которых ведется обработка ПДн;

  • порядок доступа в помещения, в которых ведется обработка ПДн (организация и ограничение доступа);

  • положение об обеспечении безопасности ПДн;

  • регламент проведения внутреннего контроля и (или) аудита соответствия обработки ПДн требованиям к защите ПДн;

  • регламент реагирования на инциденты безопасности ПДн;

  • правила разграничения доступа;

  • инструкция по эксплуатации СКЗИ (хранение, учет и уничтожение информации);

  • журнал ознакомления с документами;

  • перечень ИСПДн, используемых в организации.

Обратите внимание, что реализовывать меры по защите персональных данных организация должна в любом случае, вне зависимости от того, подавалось уведомление в Роскомнадзор или нет и с помощью каких средств обрабатываются ПДн в организации.

 

Нередко организации пренебрегают мерами административного и процедурного характера в области защиты ПДн, обрабатываемых без использования средств автоматизации. Неудивительно, что во время проверок представители контролирующих органов выносят большой объем замечаний по этому поводу. А потому мы рекомендуем нашим клиентам, разрабатывая ОРД, принимать во внимание столь важные моменты.

 

Кроме того, не стоит забывать про необходимость повышения грамотности всех сотрудников в области персональных данных — необязательно заставлять их вычитывать все документы в этой области, но свои обязанности и правила работы с персональными данными они должны знать хорошо.

Источник:
Контур.ру

Копирование и любая переработка материалов с сайта neohr.ru запрещены


Комментарии


Комментариев пока нет

Добавить комментарий *Имя:


E-mail:


*Комментарий:


*Введите код, изображенный на картинке:
  

Копирование и любая переработка материалов
с сайта neohr.ru запрещены

Copyright © Neo HR 16+
О проекте
Политика конфиденциальности

Сетевое издание Neo HR. Свидетельство о регистрации средства массовой информации в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций
ЭЛ № ФС 77 – 57596 от 08.04.2014

Яндекс.Метрика