Ключевой проблемой, стоящей перед организацией и ее сотрудниками, является обработка и защита персональных данных в соответствии законодательством Российской Федерации.
По результатам проведения проверок регуляторами всё больше организаций теряют статус операторов персональных данных и тем самым, не имеют права осуществлять деятельность по сбору, обработке, хранению и передаче персональных данных. С целью функционирования информационной системы персональных данных согласно действующим нормативно-правовым актам, в первую очередь, необходимо определить и документально утвердить основные положения, правила и процедуры обработки и защиты персональных данных в организации.
Требования, предъявляемые оператору к обработке и защите персональных данных, отражены в следующих нормативно-правовых актах, регламентирующих создание организационно-распорядительной документации (ОРД) организации:
- Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ;
- Постановление Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 г. Москва «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
Неотъемлемой частью системы защиты информации является комплекс организационных мероприятий, задокументированный в локальных нормативных актах. Комплекс ОРД должен в полном объеме учитывать положения нормативно-правовых актов в области защиты персональных данных.
ОРД по ПДн
Федеральный закон «О персональных данных» от 27 июля 2006 N 152-ФЗ определяет следующие требования к составу ОРД:
| Локальный нормативный акт | Требование |
|---|---|
| Соглашение о соблюдении безопасности персональных данных |
Ст.6 п.3 Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона. |
| Обязательство о неразглашении |
Ст.7 Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. |
| Согласие субъекта на обработку персональных данных |
Ст.9 п.1 Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором. |
| Регламент по трансграничной передаче данных. Приложения к документу: Протокол заседания комиссии по определению возможности осуществления трансграничной передачи персональных данных. | Ст.12 |
|
Регламент реагирования на обращения и запросы субъектов персональных данных. Приложения к документу: - запрос субъекта персональных данных на получение информации, касающейся обработки его персональных данных; - запрос субъекта персональных данных на предоставление доступа к своим персональным данным; - запрос субъекта персональных данных в случае выявления недостоверных персональных данных; - запрос субъекта персональных данных в случае выявления неправомерных действий с персональными данными; - запрос субъекта персональных данных в случае отзыва согласия на обработку персональных данных. |
Ст.14 |
| Приказ о назначении ответственных за организацию обработки и обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных |
Ст.18.1 п.1 Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться: 1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных; |
|
Положение об обработке персональных данных, учитывающее: - состав и (или) перечень ПДн; - цели сбора ПДн; - виды носителей ПДн; - технологию обработки и хранения ПДн; - список лиц, имеющих доступ; - ответственность за разглашение ПДн. Политика обработки персональных данных (размещается на сайте организации) |
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; |
|
Технический проект на систему защиты ИСПДн. План мероприятий по обеспечению безопасности персональных данных. |
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона; |
|
Положение о комиссии по защите персональных данных. Политика защиты персональных данных (Политика обеспечения безопасности персональных данных). Регламент проведения контрольных мероприятий. Приложения к документу: - план внутренних проверок соблюдения требований законодательства в области персональных данных; - план пересмотра внутренних нормативных актов по персональным данным; - протокол пересмотра внутренних нормативных актов по персональным данным; - протокол проведения внутренней проверки на соблюдение требований законодательства в области персональных данных; - акт пересмотра внутренних нормативных актов по персональным данным; - акт проведения внутренней проверки на соблюдение требований законодательства в области персональных данных. |
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора; |
|
Положение об оценке вреда, который может быть причинен субъектам персональных данных, с приложением: - инструкция по оценке вреда; - акт оценки вреда (при наличии). |
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом; |
|
Инструкция администратора безопасности. Регламент проведения контрольных мероприятий. Приложения к документу: - план внутренних проверок соблюдения требований законодательства в области персональных данных; - план пересмотра внутренних нормативных актов по персональным данным; - протокол пересмотра внутренних нормативных актов по персональным данным; - протокол проведения внутренней проверки на соблюдение требований законодательства в области персональных данных; - акт пересмотра внутренних нормативных актов по персональным данным; - акт проведения внутренней проверки на соблюдение требований законодательства в области персональных данных. |
6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников. |
| Регламент взаимодействия с уполномоченным регулятором в области обработки персональных данных, включая журнал учета обращений и ответов на обращения. |
Ст.18.1 п.4 Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных |
|
Модель угроз безопасности ПДн. Перечень ИСПДн. |
Ст.19 п.2 Обеспечение безопасности персональных данных достигается, в частности: 1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных; |
|
Технический проект на систему защиты персональных данных. Акт определения уровня защищенности персональных данных. Приказ о назначении комиссии по определению уровня защищенности персональных данных. |
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; |
| Перечень средств защиты информации (Технический проект на систему защиты персональных данных) | 3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; |
|
Акт ввода в опытную эксплуатацию системы защиты информации в информационной системе персональных данных. Акт о завершении опытной эксплуатации системы защиты информации в информационной системе персональных данных. Акт о вводе информационной системы персональных данных в промышленную эксплуатацию. |
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных; |
|
Регламент учета, хранения и уничтожения носителей персональных данных, содержащий: - Правила и процедуры учета, хранения и уничтожения бумажных и машинных носителей информации; - журнал учета машинных носителей; - акты установки (ввода в эксплуатацию) машинных носителя(ей) (при наличии); - акты уничтожения носителей (при наличии); - акты восстановления машинных носителя(ей) персональных данных (при наличии); - акты приема-передачи носителя(ей) персональных данных (при наличии). |
5) учетом машинных носителей персональных данных; |
|
Положение о выявлении, ликвидации и предотвращении инцидентов безопасности персональных данных, с приложением: - журнал учета инцидентов; - акты выявления инцидентов (при наличии); - акты устранения инцидентов (при наличии); - акт проведения расследования инцидента безопасности, связанного с персональными данными. |
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер; |
|
Регламент резервного копирования и восстановления персональных данных. Приложения к документу: - план резервного копирования персональных данных; - журнал восстановления данных учета создания и использования резервных копий персональных данных. |
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; |
|
Матрица доступа к информационным ресурсам ИСПДн. Инструкция по защите информации о событиях безопасности в информационной системе персональных данных. Регламент проведения контрольных мероприятий. Приложения к документу: - план внутренних проверок соблюдения требований законодательства в области персональных данных; - план пересмотра внутренних нормативных актов по персональным данным; - протокол пересмотра внутренних нормативных актов по персональным данным; - протокол проведения внутренней проверки на соблюдение требований законодательства в области персональных данных; - акт пересмотра внутренних нормативных актов по персональным данным; - акт проведения внутренней проверки на соблюдение требований законодательства в области персональных данных. |
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; 9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных. |
| Регламент взаимодействия с уполномоченным регулятором в области обработки персональных данных, включая журнал учета обращений и ответов на обращения |
Ст.20 п.4 Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса. |
| Уведомление об обработке персональных данных |
Ст.21 п.1 Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. |
|
Инструкция лица, ответственного за организацию обработки персональных данных. Регламент проведения контрольных мероприятий. Приложения к документу: - план внутренних проверок соблюдения требований законодательства в области персональных данных; - план пересмотра внутренних нормативных актов по персональным данным; - протокол пересмотра внутренних нормативных актов по персональным данным; - протокол проведения внутренней проверки на соблюдение требований законодательства в области персональных данных; - акт пересмотра внутренних нормативных актов по персональным данным; - акт проведения внутренней проверки на соблюдение требований законодательства в области персональных данных. Регламент реагирования на обращения и запросы субъектов персональных данных. Приложения к документу: - запрос субъекта персональных данных на получение информации, касающейся обработки его персональных данных; - запрос субъекта персональных данных на предоставление доступа к своим персональным данным; - запрос субъекта персональных данных в случае выявления недостоверных персональных данных; - запрос субъекта персональных данных в случае выявления неправомерных действий с персональными данными; - запрос субъекта персональных данных в случае отзыва согласия на обработку персональных данных. |
Ст.22.1 4 Лицо, ответственное за организацию обработки персональных данных, в частности, обязано: 1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных; 2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных; 3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений |
ОРД по ПДн без использования средств автоматизации
Постановление Правительства Российской Федерации от 15 сентября 2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» определяет следующие требования к составу ОРД:
| Локальный нормативный акт | Требование |
|---|---|
|
Положение об обеспечении сохранности и учета носителей персональных данных, работа с которыми осуществляется без использования средств автоматизации, с приложением: - акты уничтожения носителей персональных данных (при наличии); - акты восстановления носителей персональных данных (при наличии); - акты приема-передачи носителей персональных данных (при наличии). |
В целом для документа |
|
Регламент проведения контрольных мероприятий. Приложения к документу: - план внутренних проверок соблюдения требований законодательства в области персональных данных; - план пересмотра внутренних нормативных актов по персональным данным; - протокол пересмотра внутренних нормативных актов по персональным данным; - протокол проведения внутренней проверки на соблюдение требований законодательства в области персональных данных; - акт пересмотра внутренних нормативных актов по персональным данным; - акт проведения внутренней проверки на соблюдение требований законодательства в области персональных данных. |
Ст.6 Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии). |
| Инструкции по заполнению бумажных форм документов, предусматривающих внесение в них персональных данных. |
Ст.7 При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия: а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных; б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных; в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных; г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы. |
| Перечень лиц, допущенных к обработке персональных данных. |
П.13 Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. |
ОРД по ПДн в информационных системах.
Постановление Правительства Российской Федерации от 1.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» определяет следующие требования к составу ОРД: