Если к Вам пришел Роскомнадзор. Часть3
Ссылка на предыдущие части:
https://pikabu.ru/story/esli_k_vam_prishel_roskomnadzor_chas...
Начинаем подготовительный этап перед тем, как подавать уведомление о намерении осуществлять обработку персональных данных.
Создаем приказ от имени руководителя предприятия «Об организации работ по обеспечению безопасности персональных данных». Пишем, что на основании ФЗ-152 от 27.07.2006 для обеспечения безопасности ПДн, приказываем:
- назначить ответственного за организацию обработки ПДн и функций администратора информационных систем, администратора безопасности - Иванова Ивана Ивановича (здесь 2 момента: первый – желательно ввести в штатное расписание должность администратора безопасности, второе – это, желательно, не должен быть местный сисадмин. По структуре предприятия администратор безопасности – это звено между директором, службой безопасности и пользователями. Теоретически – выше сисадмина, т.к. сисадмин настраивает системы, а администратор – распределяет права и выдает пароли).
Создаем и утверждаем положения, перечни, акты, анкеты, приказы и формы (которые включаем в приказ):
Положение об обработке персональных данных в организации
Перечень сведений конфиденциального характера
Положение об организации и обеспечении защиты персональных данных в организации
Политика в отношении обработки ПДн
Типовое обязательство о неразглашении информации, содержащей персональные данные
Инструкция пользователю по обеспечению безопасности при работе с персональными данными
Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам ИСПДН
Форма Заявки на внесение пользователей ИСПДН
Перечень должностных лиц, допущенных к работе с персональными данными
Журнал учета допуска к работе в ИСПДН
Матрица доступа к защищаемым ресурсам автоматизированной системы
Инструкция по организации антивирусной защиты на ИСПДН
Инструкция по организации парольной защиты ИСПДН
Инструкция по организации резервного копирования данных ИСПДН
Инструкция по эксплуатации средств защиты информации объекта вычислительной техники
Инструкция по установке нового и модификации используемого программного обеспечения на ИСПДН
Инструкция администратора безопасности информационных систем персональных данных
Приказ об определении контролируемой зоны, в которой расположены узлы ИСПДН
План внутренних проверок состояния защиты персональных данных
Перечень мест хранения материальных носителей персональных данных, обрабатываемых без использования средств автоматизации
Журнал учета и выдачи материальных носителей информации предназначенных для хранения информации ограниченного доступа
Перечень информационных систем персональных данных
Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных
Журнал учета средств защиты информации
Описание технологического процесса обработки информации в выделенной локальной вычислительной сети и схема коммутации, выделенной ЛВС
Анкеты и другие формы, имеющие в своем составе поля, требующие обязательного заполнения ПДн.
Следующий шаг.
Заполняем на сайте Роскомнадзора уведомление о намерении осуществлять обработку персональных данных. https://pd.rkn.gov.ru/operators-registry/notification/form/
Для облегчения заполнения формы, РКН опубликовали на сайте методические указания по заполнению уведомления http://24.rkn.gov.ru/directions/p5987/p4245/
Теперь более подробно по каждому документу (составляли частично сами, но часть инфо брали с Инета).
Положение об обработке персональных данных в организации
О чём документ - Положение является локальным нормативным актом, регламентирующим деятельность Оператора в сфере обработки и защиты персональных данных.
Состав:
Назначение положения – для чего вообще создали данный документ.
Права и обязанности оператора при обработке ПДн – что делаем, что можем делать и что не можем делать при обработке ПДн.
Права субъектов ПДн – права и обязанности тех, кто предоставляет свои ПДн
Порядок сборки и обработки ПДн – здесь все по шагам; что собираем, в какой момент собираем, если у различных групп субъектов собираются различные ПДн, не забываем указывать состав ПДн в этих группах
Доступ к ПДн - кто имеет доступ, что должен подписать, кому можно предоставить доступ к ПДн
Порядок хранения и уничтожения при обработке без использования автоматизированных систем – описываются все возможные варианты, как в компании могут храниться (кабинеты, шкафы, сейфы) и уничтожаться ПДн (сожжение, шредеры, обезличивание).
Взаимодействие с регулирующими органами
Ответственность – описываете согласно действующему законодательству.
Перечень сведений конфиденциального характера
Брали из юридических справочников типа Гарант и Консультант
Положение об организации и обеспечении защиты персональных данных в организации
О чём документ - Положение определяет порядок организации работ, требования, правила и рекомендации по обеспечению защиты персональных данных в Компании
Состав:
Защита ПДн при обработке без использования средств автоматизации – делаем ссылку на то, что регламентируется Положением об обработке ПДн в Вашей организации и дописываем что –то вроде:
обеспечивается выполнением следующих мероприятий:
- определением мест хранения персональных данных;
- обеспечением раздельного хранения персональных данных;
- соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним.
Далее добавляем про уничтожение, архивы и прочее из Положения об обработке ПДн в организации.
Защита ПДн при обработке в ИСПДН – вот здесь вот все не шутя надо делать. Описываем начиная от описания контролируемой территории, способах предотвращения промышленного шпионажа, классификации ИСПДН, модели угроз, заканчивая обучением персонала и учета лиц, допущенных к ПДн. Чем больше Вы предусмотрите ситуаций, тем полновеснее будет выглядеть Ваша комплексная защита. Мы включали даже такие моменты, как зашторивание помещений при работе с ПДн (требуется если помещение находится на первом этаже).
Политика в отношении обработки ПДн
О чём документ - Настоящий документ определяет политику Оператора в отношении обработки персональных данных с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц Оператора, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
Типовое обязательство о неразглашении информации, содержащей персональные данные.
Можете взять с Инета, главное, после утверждения формы типового обязательства, ознакомить всех под роспись.
Инструкция пользователю по обеспечению безопасности при работе с персональными данными
О чём документ - Инструкция определяет обязанности, права и ответственность работников, допущенных к обработке персональных данных
Состав:
Определение ПДн – что бы были в курсе с какими данными работают
Обязанности работника – описываем что и как правильно делать работнику, обрабатывающему ПДн
Ограничения при работе с ПДн – описываем запреты при обработке ПДн, типа: не разглашать пароли, не сообщать всем вокруг чужие перс данные и прочее.
Ответственность пользователя
Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам ИСПДН
Регламент введения сотрудника в список тех сотрудников, которые имеют доступ к ПДн
Правила наделения правами при работе в ИСПДН
Форма заявки на внесение пользователей ИСПДН
Является приложением предыдущего пункта.
Описывает ФИО, должность, права для работы в какой-либо ИСПДН
Перечень должностных лиц, допущенных к работе с персональными данными
Журнал учета допуска к работе в ИСПДН
Регистрируем заявки на внесение пользователей ПДн
Матрица доступа к защищаемым ресурсам автоматизированной системы
Что-то типа зависимость прав при работе в ИСПДН от должности сотрудника в организации
Инструкция по организации антивирусной защиты на ИСПДН
Состав:
Даем определения вирусам
Описываем поведение различных вирусов
Описываем меры противодействия вирусам в организации
Описываем меры противодействия вирусам со стороны сотрудников
Описываем чем пользуемся и как настраиваем
Инструкция по организации парольной защиты ИСПДН
Кто выдает пароли
Как можно получить пароль
Раз в сколько недель меняется пароль и прочее
Инструкция по организации резервного копирования данных ИСПДН
Как бережем базу данных от поломок
Куда копируем
Как защищаем хранимые копии
Чем пользуемся при резервном копировании
Если сломается как будем восстанавливать и прочее
Инструкция по эксплуатации средств защиты информации объекта вычислительной техники
По типу антивируса описываем файрволы, генераторы паролей, программы криптозащиты и прочее.
Инструкция по установке нового и модификации используемого программного обеспечения на ИСПДН
Правила защиты при накатке обновлений
Правила защиты при развертывании баз данных
Регламенты согласования обновлений и программного обеспечения
Инструкция администратора безопасности информационных систем персональных данных
О чём документ - Инструкция является локальным правовым актом, регламентирующим деятельность администраторов безопасности Компании при выполнении ими функции по защите ПДн.
Состав:
Функции администратора безопасности
Обязанности администратора безопасности
Права и ответственность администратора безопасности
Приказ об определении контролируемой зоны, в которой расположены узлы ИСПДН
Является документом, на основании которого в Положение об организации и обеспечении защиты персональных данных в организации, вносится информация о территории организации.
Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных
В данном документе Вы описываете все то, что может случиться при обработке ПДн. Таблицу актуальных угроз можно найти в Инете. Примерно такая.
Описываете как предположительно могут быть похищены персональные данные -сотрудниками, методами промышленного шпионажа, посетителями, хакерами, конкурентами, контрагентами.
Описание технологического процесса обработки информации в выделенной локальной вычислительной сети и схему коммутации, выделенной ЛВС
В прошлом посте выкладывал примерную схему.
Анкеты и другие формы, имеющие в своем составе поля, требующие обязательного заполнения ПДн.
полностью на Ваше усмотрение, в зависимости от требований внутри компании.
Примеры:
Форма Ответа субъекту персональных данных об обрабатываемых персональных данных (о наличии персональных данных)
Форма Уведомления субъекта персональных данных об исключении из обработки или исправлении неверных персональных данных, а также данных, обрабатываемых с нарушением требований законодательства
Форма Согласия на обработку персональных данных.
Форма Запроса субъекта персональных данных об обрабатываемых персональных данных.
Форма Запроса субъекта персональных данных об исключении из обработки или исправлении неверных персональных данных
Форма Отзыва согласия на обработку персональных данных.
Форма Уведомления субъекта персональных данных об изменении персональных данных
Форма Журнала учета обращений.
Форма Запроса третьих лиц на доступ к обрабатываемым персональным данным.
Форма Ответа на запрос третьих лиц на доступ к обрабатываемым персональным данным.
Журнал учета и выдачи материальных носителей информации предназначенных для хранения информации ограниченного доступа
Обычный журнал – ФИО, каков носитель, что хранит, где лежит, сколько хранить и прочее
Журнал учета средств защиты информации
Свободная форма журнала с указанием всех используемых средств, сроком окончания лицензий, количеством лицензионных ключей.
Перечень информационных систем персональных данных
Заполняем карточки ИСПДН, которые были в предыдущем посте (сайты, порталы, программное обеспечение, мессенджеры и прочее).
План внутренних проверок состояния защиты персональных данных
Обычный журнал, можно распечатать с Инета – дата, что делали и подпись
Перечень мест хранения материальных носителей персональных данных, обрабатываемых без использования средств автоматизации
Состав:
Номера кабинетов
Местоположения шкафов и сейфов
У кого ключи
Кто владелец кабинета
Каков доступ в помещение
И если все документы заполнены правильно, избыточных сведений компания не обрабатывает, все регламенты соответствуют нормам закона - Вы можете выдохнуть и ждать проверку.
Не забудьте подготовить журнал для проверяющих:
Большое спасибо!!
Бизнес
2.4K постов32.8K подписчиков
Правила сообщества
Разрешены только посты с тегом "моё".
Главное - полезность и применимость опыта другими участниками. Запрещены посты вроде "10 советов", всякая чухня про лендинги, мотивацию и стартапы. И особенно - бокс по переписке, то есть диванные размышления, как лучше делать, не обоснованные хотя бы одним примером. Если вы пишете на основе опыта своей компании - указывайте, какой. Лучший пост - это ваш личный опыт дела, даже если вы всего лишь сдавали бутылки.
Не делайте посты-анонсы вроде "я открыл магазин, если хотите дальше расскажу, как" - в материале сразу должны быть ценные факты.
Временно можно размещать посты с запросами на конкретные вещи для производства или поиска контактов вроде "мы умеем делать то-то, кому нужно" или "ищу поставщика такого-то".
Поскольку многие до этого места не осилили, введена премодерация. Если ваш пост подходит по правилам - пройдёт смело. Премодерация занимает от 20 минут до нескольких часов. Посты не удаляются, результат — пост в сообществе или пост переносится в общую ленту.