«Положение о порядке обработки и обеспечении безопасности персональных данных» москва 2011 г
Скачать 0.87 Mb.
|
«Положение о порядке обработки и обеспечениибезопасности персональных данных»МОСКВА 2011 г. Содержание Термины и определения ……………………………………………………………………… 4 1 Общие положения…...………………………………………………………………………..5 1.1 Назначение Положения……………………………………………………………………...6 1.2 Область действия…………………………………………………………………………….6 2 Организационная структура обеспечения безопасности ПДн………………………….7 2.1 Органы по работе с персоналом (исполнительный директор и специалисты по работе с кадрами)…………………………………………………………………………………………..7 2.2 Внештатная группа анализа и защиты информации………………………………………7 2.3 Отдел режима и ЧОП………………………………………………………………………..7 2.4 Юрист…………………………………………………………………………………………7 2.5 Специалист автоматизации, разработки, внедрения и сопровождения ППО……………8 2.6 Специалисты по работе с клиентами……………………………………………………….8 3 Цели обработки ПДн…………………………………………………………………………9 4 Общие требования к обработке ПДн……………………………………………………..10 4.1 Характеристика обрабатываемых в Компании ПДн……………………………………..10 4.2 Уведомление об обработке ПДн в уполномоченный орган по защите прав субъектов ПДн………………………………………………………………………………………………10 4.3 Согласие на обработку ПДн………………………………………………………………10 4.4 Права субъекта в отношении ПДн, обрабатываемых в Компании……………………...12 4.5 Обеспечение конфиденциальности ПДн………………………………………………….12 5 Требования к обработке ПДн, осуществляемой с использованием средств автоматизации…………………………………………………………………………………13 6 Условия обработки ПДн, осуществляемой без использования средств автоматизации…………………………………………………………………………………15 7 Порядок взаимодействия с государственными органами……………………………..16 8 Требования к помещениям, в которых обрабатываются персональные данные….17 9 Требования к работникам в связи с обработкой персональных данных……………18 9.1 Предоставление работникам доступа к ПДн……………………………………………..18 9.2 Требования к администраторам ИСПДн и администраторам информационной безопасности ИСПДн…………………………………………………………………………..19 10 Организация внутреннего контроля обработки и обеспечения безопасности персональных данных………………………………………………………………………..20 11 Ответственность за нарушения при обработке персональных данных……………21 Приложение А . Перечень лиц, получивших доступ к персональным данным……………22 1.Лица, допущенные к обработке ПДн, осуществляемой с использованием средств автоматизации…………………………………………………………………………………..22 2.Лица, допущенные к обработке ПДн, осуществляемой без использования средств автоматизации…………………………………………………………………………………..23 Приложение Б Шаблоны согласий субъектов на обработку ПДн…………………………..24 Б.1 Согласие на обработку ПДн……………………………………………………………….24 Б.2 Согласие на обработку специальных категорий ПДн……………………………………25 Б.3 Согласие на обработку и передачу ПДн третьим лицам………………………………...26 Б.4 Согласие на обработку биометрических ПДн……………………………………………27 Б.5 Согласие на включение ПДн в общедоступные источники ПДн………………………28 Б.6 Согласие на принятие решений, порождающих юридические последствия, на основании автоматизированной обработке ПДн……………………………………………..29 Б.7 Согласие на трансграничную передачу ПДн……………………………………………..30 Приложение В Шаблоны запросов……………………………………………………………31 В.1 Возражение против решения, принятого на основании исключительно автоматизированной обработки ПДн………………………………………………………….31 В.2 Запрос на предоставление сведений об операторе………………………………………32 В.3 Отзыв согласия……………………………………………………………………………..33 В.4 Требование о блокировании ПДн…………………………………………………………34 В.5 Требование об уничтожении ПДн………………………………………………………...35 В.6 Требование об уточнении………………………………………………………………….36 Приложение Г Дополнительные шаблоны (уведомлений, разъяснений и т.д.)……………37 Г.1 Отказ в предоставлении сведений………………………………………………………...37 Г.2 Разъяснение порядка принятия решений на основании исключительно автоматизированной обработки ПДн………………………………………………………….38 Г.3 Уведомление о внесении изменений в ПДн……………………………………………...39 Г.4 Уведомление об изменениях в реквизитах оператора ПДн……………………………..40 Г.5 Уведомление об обработке ПДн (о намерении осуществлять обработку ПДн)……….41 Г.6 Уведомление об уничтожении Дн………………………………………………………...42 Г.7 Уведомление об устранении нарушений в порядке обработке ПДн……………………43 Г.8 Уведомление субъекта о блокировании ПДн…………………………………………….44 Г.9 Уведомление субъекта о прекращении обработки и уничтожении ПДн……………….45 Г.10 Уведомление субъекта об обработке ПДн………………………………………………46 Г.11 Уведомление субъекта о внесении изменений в ПДн………………………………….47 Г.12 Форма учета материальных носителей………………………………………………….48 Г.13 Форма учета средств защиты информации……………………………………………...48 Г.14 Журнал учет пользователей……………………………………………………………...49 Приложение Д Акт о ведении реестра………………………………………………………...50 Приложение Е Соглашение о неразглашении персональных данных……………………...51 Термины и определения В настоящем документе используются следующие термины и их определения: персональные данные (ПДн) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация; специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных; общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности; оператор (персональных данных) – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных; обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных; использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц; трансграничная передача персональных данных – передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства; конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания; информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств; неавтоматизированная обработка персональных данных – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Общие положения 1) Настоящее Положение разработано в соответствии с законодательством Российской Федерации о персональных данных (далее – ПДн) и нормативно-методическими документами исполнительных органов государственной власти по вопросам безопасности ПДн при их обработке в информационных системах ПДн (далее – ИСПДн), а также внутренними документами по информационной безопасности ООО «ВСК-Милосердие» (далее - Компания). 2) Основными нормативно-правовыми и методическими документами, на которых базируется настоящее Положение являются:
Внутренние нормативные документы Компании:
1) Настоящее Положение определяет порядок и условия обработки ПДн в Компании, включая порядок передачи ПДн третьим лицам, задачи подразделений в рамках обеспечения безопасности ПДн, случаи взимания согласий субъектов ПДн и уведомления органа по защите прав субъектов ПДн, особенности неавтоматизированной обработки ПДн, а также порядок организации внутреннего контроля и ответственность за нарушения при обработке ПДн. 2) Настоящее Положение предназначено для организации в Компании процесса обработки ПДн согласно нормам и принципам действующего Федерального законодательства.
1) Действие настоящего Положения распространяется на все процессы по сбору, систематизации, накоплению, хранению, уточнению, использованию, распространению (в том числе передачу), обезличиванию, блокированию, уничтожению ПДн, осуществляемых с использованием средств автоматизации и без их использования. 2) Положение обязательно для ознакомления и исполнения всем лицами, допущенным к обработке ПДн (Шаблон перечня допущенных лиц к обработке ПДн приведен в Приложение 1. Порядок формирования перечня допущенных лиц к обработке ПДн изложен в разделе 9.1).
Исполнительный директор и специалисты по работе с кадрами в рамках обеспечения безопасности ПДн выполняют следующие задачи: 1) Определение плана обучения персонала по вопросам обеспечения безопасности ПДн; 2) Взимание необходимого согласия у сотрудников на обработку ПДн при трудоустройстве; 3) Проведение разъяснительной работы по пунктам Трудового договора, касающихся обеспечения конфиденциальности ПДн.
Внештатная группа анализа и защиты информации в рамках обеспечения безопасности ПДн выполняет следующие задачи: 1) Проводит инвентаризацию ИСПДН и определяет характер обработки ПДн: с использования средств автоматизации и без использования средств автоматизации 2) Проводит классификацию новых ИСПДн, в которых осуществляется автоматизированная обработка ПДн, разрабатывает модели угроз ИСПДн, определяет требования по обеспечению безопасности ПДн, участвует в проектирование систем защиты совместно со специалистом автоматизации, разработки, внедрения и сопровождения ППО, либо привлекает подрядные организации на выполнение перечисленных работ, имеющие необходимые лицензии. 3) Проводит расследования инцидентов, связанных с несанкционированным распространением ПДн и несоблюдением правил настоящего Положения; 4) Поддерживает в актуальном состоянии перечень лиц допущенных к обработке ПДн по всем ИСПДн; 5) Выполняет согласование заявок на предоставление доступа к ИСПДн (в случае необходимости); 6) Организуют устранение выявленных нарушений при обработке ПДн; 7) Обеспечивает контроль выполнения правил настоящего Положения.
Отдел режима в рамках обеспечения безопасности ПДн определяет требования по физической защите помещений, в которых производится обработка ПДн с использованием средств автоматизации и без их использования; Частное охранное предприятие Компании организует физическую защиту помещений, в которых производится обработка ПДн.
Юрист в рамках обеспечения безопасности ПДн выполняет следующие задачи: 1) Разрабатывает и согласует формы договоров, в рамках которых предполагается передача ПДн; 2) Определяет необходимость уведомления уполномоченного органа по защите прав субъектов ПДн об обработке ПДн, о внесении изменений в обработку ПДн, изменение целей обработки и т.д. 3) Определяет необходимость взимания согласий с субъектов ПДн на обработку ПДн подразделениям по работе с клиентами. 4) Анализирует правомерность запросов от субъектов ПДн и государственных органов к Компании. В случае правомерного запроса готовит ответы на запросы в пределах собственной компетенции.
Специалист автоматизации, разработки, внедрения и сопровождения ППО в рамках обеспечения безопасности ПДн выполняет следующие задачи: 1) Выполняет администрирование и сопровождение всех компонент ИСПДн; 2) Участвует в проектировании систем защиты ИСПДн и внедрении средств защиты ИСПДн, либо взаимодействует с подрядными организациями, привлеченными для выполнения перечисленных работ.
Специалисты по работе с клиентами в рамках обеспечения безопасности ПДн выполняют следующие задачи: 1) Взимают согласия на обработку ПДн с субъектов в случае необходимости; 2) Проводят разъяснительные работы с клиентами по необходимости взимания согласий на обработку ПДн и их содержания.
1) В соответствии с п.1 ст.5 ФЗ «О персональных данных» в Компании определены следующие цели обработки ПДн: - ведение баз данных застрахованных граждан по ОМС и ДМС; - формирование системы учета и отчетности и иных информационных ресурсов в сфере обязательного медицинского страхования граждан в Российской Федерации ( в т.ч. Персонифицированный учет медицинской помощи, оказанной застрахованным лицам в сфере ОМС); - предоставление данных по застрахованным лечебно-профилактическим учреждениям и получение от медицинских организаций сведений об оказанной медицинской помощи застрахованным Компании; - регулирование трудовых отношений с работниками Компании. 2) Установленные цели обработки ПДн являются законными. Обработка ПДн в иных целях в Компании не допускается. 3) Содержанием обработки ПДн является их сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование и уничтожение.
1) В Компании обрабатываются ПДн следующих категорий субъектов: 1) граждан РФ (фамилия, имя, отчество, пол, дата рождения, адрес регистрации, место работы, серия и номер полиса (обязательного или добровольного медицинского страхования), застрахованных в системе ОМС РФ или по ДМС; 2) граждан РФ (фамилия, имя, отчество, пол, серия и номер документа, удостоверяющего личность, серия и номер полиса обязательного (добровольного) медицинского страхования, дата рождения, адрес регистрации, место работы) и данных о состоянии здоровья граждан РФ, получивших медицинскую помощь; 3) работников Компании (фамилия, имя, отчество, пол, дата рождения, адрес регистрации, семейное положение, образование, доходы и др.). 2) В Компании обрабатываются ПДн, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию. По застрахованным лицам по медицинскому страхованию обрабатывается информация о состоянии здоровья.
1) В терминах ФЗ «О персональных данных» Компания является оператором ПДн. 2) В соответствии с п.1 ст.22 ФЗ «О персональных данных» оператор ПДн обязан уведомить уполномоченный орган по защите прав субъектов ПДн (в настоящее время Роскомнадзор) об обработке ПДн. Шаблон уведомления приведен в п. 4.5Приложениия Г. Заполнение шаблона осуществляется в соответствии с Приложением №2 «Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» к Приказу Россвязькомнадзора «Об утверждении образца формы уведомления об обработке персональных данных» от 17 июля 2008 г. 3) В случае неполноты или изменения сведений, указанных в уведомлении оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор). Шаблоны уведомлений об изменении приведены в пп. 4.3-4.4Приложения Г.
1) Согласие на обработку ПДн сотрудников Компании не требуется, так как обработка их ПДн осуществляется в целях исполнения договора, одной из сторон которого является субъект ПДн (п.2 ст.6 ФЗ «О персональных данных», обработка ПДн в данном случае осуществляется в рамках трудового или гражданско-правового договора). 2) Обработка ПДн сотрудников сторонних организаций может осуществляться только с их согласия. Форма согласия на обработку ПДн приведена в п. 2.1Приложения Б. Согласие на обработку ПДн субъектов ПДн относящихся к гражданам РФ застрахованных в ОМС и гражданам РФ, получивших медицинскую помощь в соответствии с ст. 9, 43, 44 Федерального закона от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации» и пунктом 2 части 1 статьи 6 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» не требуется. 3) Согласие на обработку ПДн страхователей не требуется, так как обработка их ПДн осуществляется в целях исполнения страхового договора. 4) Обработка ПДн застрахованных (которые лично не заключали договора страхования с Компанией) может осуществляться только с их согласия, форма которого приведена в п. 2.1Приложения Б. 5) В случае передаче ПДн субъектов третьей стороне Компания должна иметь согласие на передачу от субъектов ПДн. Форма согласия приведена в п.2.2Приложения Б. 6) Обработка специальных и биометрических категорий ПДн может осуществляться в Компании только с согласия субъектов ПДн (не зависимо от того, является ли субъект сотрудником Компании или ее клиентом). Формы согласий приведены в пп.2.3-2.4. 7) При переводе части ПДн сотрудников Компании в разряд общедоступных, для использования ПДн в справочных целях, необходимо соответствующие согласие субъектов ПДн. Форма согласия на включение части ПДн в общедоступные источники приведена в п.2.5Приложения Б. 8) В том случае, если на основании исключительно автоматизированной обработки ПДн принимаются юридически значимые решения, необходимо получать согласие субъекта ПДн на принятие подобных решений. Форма согласия на принятие юридически значимых решений на основании исключительно автоматизированной обработки ПДн приведена в п.2.6Приложения Б. 9) В случае трансграничной передачи ПДн сотрудников или клиентов Компании необходимо получать согласие субъектов ПДн. Форма согласия на трансграничную передачу ПДн приведена в п.2.7Приложения Б. 10) В случае, если Компания заключает договор с юридическим лицом на страхование сотрудников последнего, согласие на обработку ПДн (и других видов согласий) сотрудников юридического лица не требуется.
При оформлении договора страхования, связанного с затратами на оказание медицинской помощи (ДМС), необходимо получать согласие застрахованного на обработку специальных категорий ПДн, так как при наступлении страхового случая будет осуществляться обработка данных о состоянии здоровья застрахованного.
1) Компания обязана предоставлять субъекту ПДн по его запросу информацию, касающаяся обработки его ПДн. Форма запроса приведена в п.3.2Приложения В. 2) Компания обязана разъяснить субъекту ПДн порядок принятия решения на основании исключительно автоматизированной обработки его ПДн и возможные юридические последствия такого решения. Форма представления разъяснении субъекту ПДн приведена в п.4.2Приложение Г. 3) Компания обязана по требованию субъекта ПДн уточнять обрабатываемые ПДн, блокировать или удалять, если ПДн являются неполными, устаревшими, недостоверными, недостоверными, незаконно полученными или не являются необходимыми для заявлено цели обработки. Формы шаблонов запросов приведены в пп.3.4-3.64.8-4.9. 4) Компания обязана уведомить субъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от субъекта. Форма уведомления приведена в п. 4.10Приложения Г.
1) Компания и другие третьи лица, получающие доступ к ПДн, должны обеспечивать конфиденциальность таких данных путем реализации комплекса организационных и технических мероприятий по защите ПДн. 2) Компания может передавать ПДн своих сотрудников и клиентов на обработку третьим лицам (принимающей стороне), если это необходимо для достижения целей обработки ПДн и существенным условием договора является обязанность обеспечения третьей стороной конфиденциальности ПДн и безопасности ПДн при их обработке. В том случае, если договор был заключен до вступления в силу ФЗ «О персональных данных», либо условие конфиденциальности ПДн не было прописано по каким-либо причинам, следует подписывать соглашение о неразглашении ПДн, форма которого приведена в Приложение 6.
1) В Компании до начала проведения работ по обеспечению безопасности ПДн должна быть проведена инвентаризация ИСПДн путем опроса владельцев информационных систем на предмет наличия обработки в них ПДн. 2) После инвентаризации ИСПДн выявляются ИСПДн, в которых осуществляется автоматизированная обработка ПДн, и ИСПДн, в которых осуществляется обработка ПДн без использования средств автоматизации. 3) Все выявленные и вводимые в эксплуатацию ИСПДн с автоматизированной обработкой ПДн должны классифицироваться в соответствии с Приказом ФСТЭК России, ФСБ России и Минсвязи России от 13 февраля 2008г. №55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Классификация ИСПДн проводится в следующей последовательности:
4) Для каждой ИСПДн формируется Перечень обрабатываемых ПДн. 5) В том случае, если в ИСПДн необходимо обеспечить целостность и/или доступность, в системе обрабатываются сведения о здоровье субъектов ПДн или на основании исключительно автоматизированной обработки ПДн принимаются решения, порождающие юридические последствия, разрабатывается Модель угроз для каждой из таких ИСПДн (специальные ИСПДн) в соответствии:
6) Для типовых ИСПДн разрабатывается типовая модель угроз на основе нормативно-методического документа ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных». 7) После определения актуальных угроз безопасности ПДн для каждой системы разрабатываются требования по обеспечению безопасности ПДн в соответствии с нормативно-методическим документом ФСТЭК России «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных». 8) В соответствии с установленными требованиями по обеспечению безопасности ПДн проектируется и внедряется система защиты ПДн. 9) ИСПДн 1-го и 2-го класса должны проходить аттестацию на соответствие требованиям по безопасности информации. Аттестационные испытания должны проводится лицензиатом ФСТЭК России, имеющим аттестат аккредитации органа по аттестации. 10) Работы по реализации технических мероприятий по защите ПД: техническому проектированию системы защиты ПДн, внедрению средств защиты ПДн, сопровождению средств защиты ПДн и другие сопутствующие работы для ИСПДн 1-го и 2-го класса, а также для распределенных ИСПДн 3-го класса могут выполняться подрядными организациями, имеющими соответствующие лицензии.
1) Сотрудники, осуществляющие обработку ПДн без использования средств автоматизации, должны быть проинформированы до начала обработки о категориях ПДн, об особенностях и правилах обработки ПДн, изложенных в настоящем Положении. 2) В типовых формах, в которые предполагается внесение ПДн (например, анкеты по сбору ПДн субъектов для оформления страховых полисов, анкеты претендентов на вакансии при трудоустройстве субъектов и т.п.) должна содержаться следующая информация:
3) Типовая форма должна заполняться на каждого субъекта в отдельности. 4) Ведение реестра, содержащего ПДн, необходимые для однократного пропуска субъекта на территорию, на которой находится Компания (офисы, представительства Компании) может осуществляться после разработки Акта о ведении реестра, в котором определены цели обработки ПДн, способы фиксации и состав запрашиваемых у субъекта ПДн, перечень лиц (поименно и по должностям), имеющих доступ к реестру и ответственных за ведение реестра, сроки обработки ПДн. Форма Акта приведена в Приложении Д. 5) Сотрудники, которые использует в работе носители с ПДн, не должны оставлять носители без присмотра . При покидании рабочего места лица, ответственные за носители ПДн, должны убирать носители в шкаф, закрывающийся на ключ.
1) По запросу уполномоченного органа по защите прав субъектов ПДн юристами оценивается правомерность запроса и формируется ответ в течение семи рабочих дня с даты получения запроса. 2) При получении правомерного запроса на исправления выявленных нарушений юристы устраняют нарушение, если нарушение касается содержания таких документов, как согласия на обработку ПДн, уведомлений и договоров. В том случае, если нарушения связаны с удалением, уточнением ПДн, а также с техническими вопросами обеспечения безопасности ПДн запрос направляется в Группу анализа и защиты информации. 3) В установленных федеральным законодательством случаях Компания обязана предоставлять информацию, содержащую обрабатываемые ПДн, по мотивированному запросу уполномоченных органов государственной власти по вопросам их компетенции. Обработка запроса осуществляется по аналогии с пп.1-2 настоящего раздела. 4) Запросы на предоставление доступа к обрабатываемым ПДн могут быть обжалованы в судебном порядке в соответствии с законодательством Российской Федерации. 5) Контроль и надзор за выполнением требований по обработке ПДн в ИСПДн, установленных Правительством РФ, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности1, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации2, в пределах их компетенции и без права ознакомления с ПДн, обрабатываемыми в ИСПДн Компании.
1) Доступ в помещения, в которых располагаются средства обработки ПДн, должен контролироваться. Вопросы реализации системы контроля доступа на территории Компании возложены на ЧОП. 2) Сетевое оборудование следует располагать в местах, недоступных для посторонних лиц (в специальных помещениях, шкафах, коробах). 3) Уборка помещений должна осуществлять только при нахождении в помещении ответственного сотрудника, который может проконтролировать процесс уборки помещения. 4) Обслуживание технических средств ИСПДн должно осуществляться только авторизованным персоналом под контролем ответственных за технические средства лиц (например, пользователи АРМ) с соблюдением мер, исключающих несанкционированный доступ к ПДн, носителям информации, программным и техническим средствам обработки, передачи и защиты информации ИСПДн. 5) Помещения, в которых располагаются технические средства ИСПДн, должны быть подключены к системе гарантированного энергоснабжения с целью обеспечения высококачественного бесперебойного электропитания ИСПДн, как в нормальных условиях, так и в случаях нарушения штатного энергоснабжения. Система должна обеспечивать функцию оповещения персонала о возникающих аварийных ситуациях в системах электропитания.
1) Обеспечение конфиденциальности ПДн, обрабатывающихся в Компании, является обязательным требованием для всех сотрудников Компании, которым ПДн стали известны, как в связи со служебной деятельностью, так и по случайности или ошибке. 2) Все лица, допущенные к работе с ПДн, а также связанные с эксплуатацией и техническим сопровождением ИСПДн должны быть под роспись ознакомлены с требованиями настоящего Положения. 3) В Компании должен быть организован процесс обучения по направлению обеспечения безопасности ПДн. Обучение по данному направлению рекомендовано лицам, имеющим постоянный доступ к ПДн, и лицам, эксплуатирующим ИСПДн. В обязательном порядке обучение должны проходить лица, ответственные за эксплуатацию средств защиты информации ИСПДн. 4) Планы и графики обучения сотрудников Компании по направлению обеспечения безопасности ПДн составляются и реализуются специалистами по работе с персоналом. 5) В случае нарушения установленного порядка обработки ПДн работники Компании несут ответственность в соответствии с разделом 11настоящего Положения. 1) Сотрудникам Компании предоставляется доступ к работе с ПДн исключительно в пределах и объеме, необходимых для выполнения ими своих должностных обязанностей и в соответствии с порядком, установленным настоящим Положением. 2) Сотрудники Компании, которые в силу выполняемых служебных обязанностей постоянно работают с ПДн, получают допуск к необходимым категориям ПДн с установленными правами доступа на срок выполнения ими соответствующих должностных обязанностей на основании Списка лиц, допущенных к работе с ПДн, который утверждается Генеральным директором, Исполнительным директором Компании и директором филиала, по представлению руководителей структурных подразделений Компаний. 3) Список лиц, имеющих доступ к ПДн для каждой информационной системы, должен поддерживаться в актуальном состоянии. С этой целью проводятся следующие действия:
4) Временный или разовый допуск к работе с ПДн в связи со служебной необходимостью может быть получен сотрудником Компании по согласованию с Группой анализа и защиты информации. 5) Должен проводится учет сотрудников Компании и лиц, не являющихся сотрудниками Компании, которым был предоставлен разовый доступ к ПДн какой-либо ИСПДн. Журнал учета приведен в Приложении 4.14. 6) Доступ к ПДн может быть прекращен или ограничен в случае нарушения требований настоящего Положения, либо в случае перевода или увольнения сотрудника. 7) В случае, если сотрудник сторонней организации имеет доступ к ПДн Компании (аутстаффер) необходимо, чтобы в договоре со сторонней организацией были прописаны условия конфиденциальности ПДн и обязанность сторонней организации и ее сотрудников по соблюдению требований текущего законодательства в области защиты ПДн.
1) Квалификационные требования для администраторов ИСПДн и администраторов ИБ ИСПДн определяются специалистами по работе с персоналом совместно с Группой анализа и защиты информации. 2) В обязанности администраторов ИСПДн входит управление учетными записями пользователей ИСПДн, поддержание штатной работы ИСПДн, обеспечение резервного копирования данных, а также установка и конфигурирование аппаратного и программного обеспечения ИСПДн, не связанного с обеспечением безопасности ПДн в ИСПДн. 3) В обязанности администраторов ИБ ИСПДн входит обеспечение соответствия порядка обработки и обеспечения безопасности ПДн в ИСПДн требованиям по конфиденциальности, целостности и доступности ПДн, предъявляемых к конкретной ИСПДн, и общим требованиям по безопасности ПДн, установленных федеральным законодательством. 4) В обязанности администраторов ИБ ИСПДн также входит установка, конфигурирование и администрирование аппаратных и программных средств защиты информации ИСПДн, учет и хранение машинных носителей ПДн, периодический аудит журналов безопасности и анализ защищенности ИСПДн, а также участие в служебных расследованиях фактов нарушения установленного порядка обработки и обеспечения безопасности ПДн. 5) В целях обеспечения распределения полномочий, реализации взаимного контроля и недопущения сосредоточения критичных для безопасности ПДн полномочий у одного лица не рекомендуется совмещать роли администратора ИСПДн и администратора ИБ ИСПДн в лице одного сотрудника. 4) Квалификационные требования и детальный перечень прав и обязанностей администраторов ИСПДн и администраторов ИБ ИСПДн закрепляются в соответствующих должностных инструкциях, с которыми сотрудники, назначаемые на данные роли должны быть ознакомлены под роспись.
1) Организация внутреннего контроля процесса обработки ПДн в Компании осуществляется в целях изучения и оценки фактического состояния защищенности ПДн, своевременного реагирования на нарушения установленного порядка их обработки, а также в целях совершенствования этого порядка и обеспечения его соблюдения. 2) Мероприятия по осуществлению внутреннего контроля обработки и обеспечения безопасности ПДн направлены на решение следующих задач:
3) Результаты контрольных мероприятий являются основанием для разработки рекомендаций по совершенствованию порядка обработки и обеспечения безопасности ПДн, по модернизации технических средств ИСПДн и средств защиты ПДн, по обучению и повышению компетентности персонала, задействованного в обработке ПДн. 4) Мероприятия по организации внутреннего контроля обработки и обеспечения безопасности ПДн возлагаются на исполнительного директора и помощника Генерального директора. 1) Руководство Компании несет ответственность за обеспечение конфиденциальности ПДн, а также соблюдение прав и свобод субъектов ПДн в отношении их ПДн, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну. 2) Работники Компании несут персональную ответственность за соблюдение требований по обработке и обеспечению безопасности ПДн, установленных настоящим Положением, в соответствии с законодательством Российской Федерации. 3) Работник Компании может быть привлечен к ответственности в случаях:
4) В случаях нарушения установленного порядка обработки и обеспечения безопасности ПДн, несанкционированного доступа к ПДн, раскрытия ПДн и нанесения Компании, ее работникам, клиентам и контрагентам материального или иного ущерба виновные лица несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. |
Похожие:
 | Ии администрации сельского поселения (Н. П. Свистуновой) довести под роспись до сотрудников администрации сельского поселения, обязанности... |  | Данный документ, представляет собой Положение о порядке обработки персональных данных акб «фора-банк» (зао) (далее – Банк) |
| Федерального закона от 27. 07. 2006 №152-фз «О персональных данных», Положения об обеспечении безопасности персональных данных при... | | Москва, ул. Героев Панфиловцев, д. 24, ком. 320 на обработку своих персональных данных. Цель обработки персональных данных – сбор,... |
| Фстэк россии и фсб россии в целях обеспечения безопасности персональных данных (далее – пдн) при их обработке в информационных системах... | | Республике Саха (Якутия)» (далее – гау «мфц рс(Я)» или Оператор) считает важнейшими своими задачами соблюдение принципов законности,... |
| Целью настоящего Положения является защита персональных данных заявителей от несанкционированного доступа и разглашения при предоставлении... | | Настоящим Положением определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных... |
| Постановлением Правительства Российской Федерации от 01 ноября 2012 г №1119 «Об утверждении требований к защите персональных данных... | | Настоящим Положением определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных... |