Руководства, Инструкции, Бланки

Поиск

Новые файлы

Руководства, Инструкции, БланкиБланки/Образцы Перечень Персональных Данных Обрабатываемых В Организации Образец
Перечень Персональных Данных Обрабатываемых В Организации Образец img-1
Перечень Персональных Данных Обрабатываемых В Организации Образец - фото 2 Перечень Персональных Данных Обрабатываемых В Организации Образец - фото 3 Перечень Персональных Данных Обрабатываемых В Организации Образец - фото 4 Перечень Персональных Данных Обрабатываемых В Организации Образец - фото 5 Перечень Персональных Данных Обрабатываемых В Организации Образец - фото 6 Перечень Персональных Данных Обрабатываемых В Организации Образец - фото 7 Перечень Персональных Данных Обрабатываемых В Организации Образец - фото 8 Перечень Персональных Данных Обрабатываемых В Организации Образец - фото 9 Перечень Персональных Данных Обрабатываемых В Организации Образец - фото 10 Перечень Персональных Данных Обрабатываемых В Организации Образец - фото 11

Перечень Персональных Данных Обрабатываемых В Организации Образец

Рейтинг: 4.4/5.0 (1630 проголосовавших)

Категория: Бланки/Образцы

Описание

Образец приказа о проведении работ по защите персональных данных - Найм работников - Каталог образцов - Бланки и образцы документов

Список документов

Ниже приведен список документов, адаптированный для организации (учреждения), в котором обрабатываются только персональные данные сотрудников. Все эти документы Вы можете сгенерировать при помощи нашего онлайн сервиса. Для регистрации в сервисе перейдите по ссылке .

1. Приказ о назначении ответственного за обработку персональных данных

Ответственный осуществляет: контроль соблюдения сотрудниками, обрабатывающими персональные данные, правил обработки и обеспечения безопасности персональных данных.

Новости

10-16 мая года Дворец учащейся молодежи Санкт-Петербурга по инициативе депутата Законодательного собрания Анатолия Кривенченко проводит военно-патриотическую

Сегодня, 12 мая, празднует юбилей человек, которого искренне любит и горячо уважает не только туристский бизнес

Дорогие друзья! От всей души поздравляем вас с наступающим великим праздником - 70-летием Победы советского народа в Великой

Уважаемые коллеги! 10 мая в 23.00 на Московском вокзале Санкт-Петербурга состоится торжественная

26 апреля в Санкт-Петербурге завершился всероссийский межвузовский военно-патриотический фестиваль Весна Победы. В фестивале приняли участие студенты 18

Если у Вас есть немного времени и способность мыслить, Вы сможете создать пакет документов по защите персональных данных самостоятельно

Лебедева Наталья Юрьевна

Я помогаю организациям сделать качественные документы по защите персональных данных.

Специализация: Профессионал в области применения информационных технологий в бизнесе. Предприниматель в сфере ИТ уже более 10 лет.

Основатель и директор фирмы «Софтагент» (http://softagent.ru ). Автор проекта «MS Dynamics CRM малому бизнесу» (http://dyncrm.ru )

Образование. Курганский государственный университет, инженер-программист, «Программное обеспечение вычислительной техники и автоматизированных систем», Master Business Administration (Moscow Business School).

Международный аэропорт Рощино (г.Тюмень)

Информационно-расчетный центр (г.Муравленко ХМАО)

ООО Габионы Маккаферри СНГ (Москва)

ФГУП Кадастровая палата Курганской области

ООО «Управляющая компания Восток-Центр» (Курган)

Начальный приказ о работах по ПДн (Приказ о введении режима обработки персональных данных) является основополагающим документом, устанавливающим, что в организации ведется обработка персональных данных.

Приказ должен быть оформлен в соответствии с внутренним порядком документооборота организации и быть утвержден руководителем организации. В приказе о введении режима обработки персональных данных должна указываться дата составления и его номер.

В приказе должен быть указан сотрудник, ответственный за контроль исполнения приказа. Ответственным сотрудником может быть руководитель организации, лицо, отвечающее за обеспечение режима безопасности, или любой другой сотрудник, на которого возложен контроль за выполнение приказа.

В Приказе о проведении работ по защите персональных данных на предприятии отмечается, что необходимо:

  • определить на предприятии перечень обрабатываемых ПДн в информационных системах персональных данных и перечень лиц, ответственных за обработку ПДн в ИСПДн;
  • организовать доступ ответственных за обработку ПДн в ИСПДн, к обрабатываемым ПДн;
  • ввести на предприятии режим защиты ПДн;
  • разработать и внедрить основополагающие локальные нормативные акты, касающиеся обработки и защиты ПДн.

    С приказом о введении обработки персональных данных должны быть ознакомлены все сотрудники учреждения.

    Защита персональных данных FAQ – Часто задаваемые вопросы
    1. На какие законы надо ссылаться при обсуждении с руководством предприятия вопросов защиты ПД? Где найти информацию об этих законах? >>
    2. Где можно получить ответы на вопросы, связанные с соблюдением требования законодательства по защите ПД? >>
    3. Как определить категорию персональных данных, обрабатываемых на предприятии? >>
    4. Как классифицировать ИСПДн? Какие относятся к типовым, а какие к специальным? >>
    5. В каких случаях предприятие обязано уведомлять Россвязькомнадзор об обработке ПД, а в каких нет? >>
    6. Как подать уведомление в Россвязькомнадзор? К кому обратиться если есть вопросы при заполнении уведомления? >>
    7. Мы определили класс ИСПДн нашего предприятия. Где найти перечень требований по ИБ, которые являются обязательными для данного класса? >>
    8. Мы определили класс ИСПДн нашего предприятия. Где найти перечень требований по ИБ, которые являются обязательными для данного класса? >>
    9. Какие организационные меры по обеспечению безопасности ПД надо предпринять? Что надо сделать в первую очередь, что можно сделать позже? >>
    10. Как реализовывать технические меры по защите ПД на основе сформированных требований? >>
    11. Где найти перечень сертифицированных средств защиты информации? >>
    12. Когда проводят аттестацию ИСПДн и каким образом? >>
    13. Нужно ли получать лицензии при реализации технической защиты конфиденциальной информации и внедрению криптографических средств? >>
    1. На какие законы надо ссылаться при обсуждении с руководством предприятия вопросов защиты ПД? Где найти информацию об этих законах?

    Ссылаться нужно в первую очередь на следующие нормативно-правовые акты:

  • Постановление Правительства РФ №781 «Об утверждении Положения об обеспечении безопасности персональных данных при

    их обработке в информационных системах персональных данных»

  • Постановление Правительства РФ №687 «Об утверждении Положения об особенностях обработки персональных данных,

    осуществляемой без использования средств автоматизации»

  • В случае обработки биометрических данных: Постановление Правительства РФ № 512 «Об утверждении требований к

    материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных

    систем персональных данных»

  • Приказ ФСТЭК, ФСБ, Мининформсвязи № 55/86/20 «Об утверждении порядка проведения классификации информационных

    систем персональных данных»

  • Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия № 18 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»
  • Приказ Федеральной службы по надзору в сфере связи и массовых коммуникаций (Россвязькомнадзора) № 482 «Об утверждении

    образца формы уведомления об обработке персональных данных»

    Методические документы регуляторов:

  • ФСТЭК России - «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных

    системах персональных данных». Утверждены Заместителем директора ФСТЭК России 15 февраля 2008 г.

  • ФСТЭК России – «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах
  • ФСТЭК России – «Методика определения актуальных угроз безопасности персональных данных при их обработке в

    информационных системах персональных данных».

  • ФСТЭК России - «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных,

    обрабатываемых в ИСПДн»

  • Данные документы ФСТЭК - с грифом ДСП. Заказать их можно в территориальном управлении ФСТЭК
  • ФСБ РФ – «по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных

    системах персональных данных с использованием средств автоматизации».

  • ФСБ РФ – «по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных

    для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных». Данные документы ФСБ. Трудовой кодекс РФ (14 глава) 2. Где можно получить ответы на вопросы, связанные с соблюдением требования законодательства по защите ПД?

    Можно направить официальные запросы и письма контролирующим органам:

  • территориальные управления ФСТЭК
  • территориальные органы Россвязькомнадзора
  • ФСБ России

    Также можно (и зачастую целесообразнее) обратиться к специализированным компания, занимающимся защитой персональных данных.

    3. Как определить категорию персональных данных, обрабатываемых на предприятии?

    Законом установлены следующие категории ПД:

  • категория 1 ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
  • категория 2 ПД, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключениемПД, относящихся к категории 1;
  • категория 3 персональные данные, позволяющие идентифицировать субъекта ПД;
  • категория 4 обезличенные и (или) общедоступные ПД.

    Для того чтобы определить, какая категория обрабатывается каждой конкретной ИСПДн (информационной системой персональных данных), предприятиям необходимо провести обследование всего предприятия и выявить все свои ИСПДн. Кроме кадровой, бухгалтерской системы, ИСПДн могут являться приложения поддержки основных бизнес-процессов (автоматизированная банковская система, автоматизированная система расчета за услуги оператора связи, базы договоров в страховых компаниях, электронные истории болезней в медучреждениях и т. п.).

    4. Как классифицировать ИСПДн? Какие относятся к типовым а какие к специальным?

    Классифицировать следует согласно Приказу ФСТЭК, ФСБ, Мининформсвязи № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»

    Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности

    Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

    К специальным информационным системам должны быть отнесены:

  • информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
  • информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

    Большинство ИСПДн будут относиться к специальным, а в соответствии с законом «О персональных данных»: «Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий» к специальным ИСПДн можно отнести все ИСПДн.

    5. В каких случаях предприятие обязано уведомлять Россвязькомнадзор об обработке ПД, а в каких нет?

    Согласно закону «О персональных данных»:

    Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку

  • относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
  • полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
  • являющихся общедоступными персональными данными;
  • включающих в себя только фамилии, имена и отчества субъектов персональных данных;
  • необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

    Но даже если оператор не должен уведомлять Россвязькомнадзор, он обязан защищать персональные данные.

    6. Как подать уведомление в Россвязькомнадзор? К кому обратиться если есть вопросы при заполнении уведомления?

    Форму и рекомендации по заполнению уведомления можно посмотреть на сайте Россвязькомнадзора. Туда же можно обратиться по вопросам ее заполнения.

    Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.

    7. Мы определили класс ИСПДн нашего предприятия. Где найти перечень требований по ИБ, которые являются обязательными для данного класса?

    Система защиты должна разрабатываться на основании модели угроз (модель угроз разрабатывается и для специальных, и для типовых

    Для типовых систем мероприятия по защите ПДн в рамках подсистем: управления доступом, регистрации и учета, обеспечения целостности, криптографической защиты, антивирусной защиты, обнаружения вторжений определены в документе ФСТЭК России - «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в ИСПДн», заказать его можно в территориальном управлении ФСТЭК.

    При использовании оператором криптографических средств при обеспечении защиты персональных данных нужно также руководствоваться документами ФСБ России:

  • «по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации».
  • «по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных». 8. Мы определили, что ИСПДн нашего предприятия относится к классу специальных. Как провести анализ угроз безопасности ПД, чтобы потом сформировать набор обязательных требований по ИБ?

    Анализ угроз безопасности производится на основании документов ФСТЭК:

  • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
  • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных».

    Заказать их можно в территориальном управлении ФСТЭК

    В случае определения оператором необходимости обеспечения безопасности персональных данных с использованием криптосредств при формировании модели угроз используются методические документы ФСБ:

  • «по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации».
  • «по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных». 9. Какие организационные меры по обеспечению безопасности ПД надо предпринять? Что надо сделать в первую очередь, что можно сделать позже?

    Прежде всего, необходимо разработать документы, регламентирующие защиту ПД в организации: положение об обработке ПД,

    регламенты, руководства пользователям и администраторам ИСПДн, акт классификации ИСПДн, перечень применяемых средств защиты информации и т.д.

    Разработать форму и порядок письменного согласия субъектов персональных данных на обработку своих персональных данных,

    определить сроки хранения персональных данных, разработать план мероприятий по защите персональных данных (и выполнить эти

  • ограничение доступа к персональным данным;
  • определение круга лиц, допущенного к обработке персональных данных, контроль обработки персональных данных;
  • установление персональной ответственности за нарушения правил обработки персональных данных;
  • организация доступа в помещения, где осуществляется обработка персональных данных. 10. Как реализовывать технические меры по защите ПД на основе сформированных требований?

    К данным работам правильнее привлекать специализированную организацию, имеющую опыт реализации проектов в области защиты информации с применением сертифицированных средств защиты информации и обладающую необходимыми лицензиями для осуществления этой деятельности.

    11. Где найти перечень сертифицированных средств защиты информации?

    Государственный реестр сертифицированных средств защиты информации

    12. Когда проводят аттестацию ИСПДн и каким образом?

    После окончания работ по построению системы защиты персональных проводят аттестацию ИСПДн на соответствие требованиям утвержденной регулирующими органами РФ нормативной и методической документации по безопасности информации. Для проведения аттестации привлекается аттестационный орган ФСТЭК.

    13. Нужно ли получать лицензии при реализации технической защиты конфиденциальной информации и внедрению криптографических средств?

    В случае ИСПДн - 1-го, 2-го класса или распределенной 3-го класса надо получать лицензию на деятельность по технической защите конфиденциальной информации (это определено в документах ФСТЭК).

    Деятельность по внедрению шифровальных (криптографических средств), как и по разработке систем, защищенных с использованием

    данных средств, подлежит лицензированию в органах ФСБ.

    Правильнее передать деятельность по технической защите и обслуживанию СЗИ на аутсорсинг компании, которая имеет все необходимые лицензии и сертификаты, а так же опыт проведения подобных работ.

    Документ подготовлен с использованием справочно-правовой системы КонсультантПлюс.

    За подробной консультацией обращайтесь по телефон ам. +7 ( 495 ) 789-9151, 737-42-22 или пишите на it@tlsgroup.ru

    • Похожие файлы

    Приказ об изменении персональных данных работника образец
    Подробнее

    Приказ об изменении персональных данных работника образец

    Инструкция по защите персональных данных в организации
    Подробнее

    Инструкция по защите персональных данных в организации

    Согласие на обработку персональных данных для визы в италию образец
    Подробнее

    Согласие на обработку персональных данных для визы в италию образец

    Согласие на обработку персональных данных для визы во францию образец
    Подробнее

    Согласие на обработку персональных данных для визы во францию образец

    Приказ о создании структурного подразделения в организации образец
    Подробнее

    Приказ о создании структурного подразделения в организации образец

    Акт пусконаладочных работ по вентиляции образец
    Подробнее

    Акт пусконаладочных работ по вентиляции образец

    Приказ на субботник в организации образец
    Подробнее

    Приказ на субботник в организации образец

    Журнал учета обращений субъектов персональных данных образец
    Подробнее

    Журнал учета обращений субъектов персональных данных образец

    Цефиксим суспензия для детей инструкция по применению
    Подробнее

    Цефиксим суспензия для детей инструкция по применению

    Другие статьи

    Перечень пдн, подлежащих защите в испдн

    Настоящий Перечень персональных данных, подлежащих защите в информационных системах персональных данных (ИСПДн) (далее – Перечень) МБОУ СОШ № 5 (далее – Учреждение)) содержит полный список категорий данных, безопасность которых должна обеспечиваться системой защиты персональных данных (СЗПДн).

    Объектами защиты являются – информация, обрабатываемая в ИСПДн, и технические средства ее обработки и защиты.

    Объекты защиты каждой ИСПДн включают:

    - персональные данные субъектов ПДн (раздел 2.1.1);

    - персональные данные сотрудников (раздел 2.1.2);

    Технологическая информация (раздел 2.2).

    Программно-технические средства обработки (раздел 2.3).

    Средства защиты ПДн (раздел 2.4).

    Каналы информационного обмена и телекоммуникации (раздел 2.5).

    Объекты и помещения, в которых размещены компоненты ИСПДн (раздел 2.6).

    1 ИСПДн МБОУ СОШ № 5

    1.1 Обрабатываемая информация

    1.1.1 Перечень персональных данных субъектов ПДн

    Персональные данные субъектов ПДн (учащихся) включают:

    - Паспортные данные (документа, удостоверяющего личность);

    - Адрес фактического проживания;

    - Номер свидетельства обязательного медицинского страхования

    - Прочие данные связанные с образовательным процессом

    Персональные данные родителей (законных представителей) учащихся

    - Адрес фактического проживания;

    1.1.2 Перечень персональных данных сотрудников Учреждения

    Персональные данные сотрудников Учреждения включают:

    - Фамилия, имя, отчество;

    - Место, год и дата рождения;

    - Адрес по прописке;

    - Адрес проживания (реальный);

    - Паспортные данные (серия, номер паспорта, кем и когда выдан);

    - И нформация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);

    - Информация о трудовой деятельности до приема на работу;

    - Информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения);

    - Телефонный номер (домашний, рабочий, мобильный);

    - Данные о трудовом договоре (номер трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, номер и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);

    - Сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);

    - Данные об аттестации работников;

    - Данные о повышении квалификации;

    - Данные о наградах, медалях, поощрениях, почетных званиях;

    - Информация о приеме на работу, перемещении по должности, увольнении;

    - Информация об отпусках;

    1.2 Технологическая информация

    Технологическая информация, подлежащая защите, включает:

    - управляющую информацию (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

    - технологическую информацию средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

    - информацию на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащих защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

    - информацию о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

    - информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

    - служебные данные (метаданные), появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки Обрабатываемой информации.

    1.3 Программно-технические средства обработки

    Программно-технические средства включают в себя:

    - общесистемное и специальное программное обеспечение (операционные системы, СУБД, и другие);

    - резервные копии общесистемного программного обеспечения;

    - инструментальные средства и утилиты систем управления ресурсами ИСПДн;

    - аппаратные средства обработки ПДн (АРМ);

    1.4 Средства защиты ПДн

    Средства защиты ПДн состоят из аппаратно-программных средств, включают в себя:

    - средства управления и разграничения доступа пользователей;

    - средства обеспечения регистрации и учета действий с информацией;

    - средства, обеспечивающие целостность данных;

    - средства антивирусной защиты;

    - средства межсетевого экранирования;

    - средства анализа защищенности;

    - средства обнаружения вторжений;

    1.5 Каналы информационного обмена и телекоммуникации

    Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.

    1.6 Объекты и помещения, в которых размещены компоненты ИСПДн

    Объекты и помещения являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.

    Перечень персональных данных, подлежащих защите в информационных системах персональных данных

    МБОУ ДО спортивная школа № 8 МО г.Краснодар Перечень персональных данных, подлежащих защите в информационных системах персональных данных

    Перечень пдн, подлежащих защите в испдн

    Настоящий Перечень персональных данных. подлежащих защите в информационных системах персональных данных ( ИСПДн ) ( далее – Перечень ) МБОУ ДО СШ № 8 МО г. Краснодар ( далее – Учреждение )) содержит полный список категорий данных. безопасность которых должна обеспечиваться системой защиты персональных данных ( СЗПДн ).

    Объектами защиты являются – информация. обрабатываемая в ИСПДн. и технические средства ее обработки и защиты .

    Объекты защиты каждой ИСПДн включают :

    - персональные данные субъектов ПДн ( раздел 2.1.1);

    - персональные данные сотрудников ( раздел 2.1.2);

    Технологическая информация ( раздел 2.2).

    Программно-технические средства обработки ( раздел 2.3).

    Средства защиты ПДн ( раздел 2.4).

    Каналы информационного обмена и телекоммуникации ( раздел 2.5).

    Объекты и помещения. в которых размещены компоненты ИСПДн ( раздел 2.6).

    1. ИСПДн МБОУДОД ДЮСШ № 8 МО г. Краснодар 1.1 Обрабатываемая информация 1.1.1 Перечень персональных данных субъектов ПДн

    Персональные данные субъектов ПДн включают :

    1.1.2 Перечень персональных данных сотрудников Учреждения

    Персональные данные сотрудников Учреждения включают :

    - Фамилия. имя, отчество ;

    - Место. год и дата рождения ;

    - Адрес по прописке ;

    - Адрес проживания (реальный);

    - Паспортные данные (серия, номер паспорта, кем и когда выдан);

    - Информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);

    - Информация о трудовой деятельности до приема на работу;

    - Информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения);

    - Телефонный номер (домашний, рабочий, мобильный);

    - Семейное положение и состав семьи (муж/жена, дети);

    - Информация о знании иностранных языков;

    - Данные о трудовом договоре (номер трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, номер и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);

    - Сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);

    - Данные об аттестации работников;

    - Данные о повышении квалификации;

    - Данные о наградах, медалях, поощрениях, почетных званиях;

    - Информация о приеме на работу, перемещении по должности, увольнении;

    - Информация об отпусках;

    - Информация о командировках;

    - Информация о болезнях;

    - Информация о негосударственном пенсионном обеспечении.

    1.2 Технологическая информация

    Технологическая информация, подлежащая защите, включает:

    - управляющую информацию (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

    - технологическую информацию средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

    - информацию на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащих защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

    - информацию о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

    - информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

    - служебные данные (метаданные), появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки Обрабатываемой информации.

    1.3 Программно-технические средства обработки

    Программно-технические средства включают в себя:

    - общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);

    - резервные копии общесистемного программного обеспечения;

    - инструментальные средства и утилиты систем управления ресурсами ИСПДн;

    - аппаратные средства обработки ПДн (АРМ и сервера);

    - сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

    1.4 Средства защиты ПДн

    Средства защиты ПДн состоят из аппаратно-программных средств, включают в себя:

    - средства управления и разграничения доступа пользователей;

    - средства обеспечения регистрации и учета действий с информацией;

    - средства, обеспечивающие целостность данных;

    - средства антивирусной защиты;

    - средства межсетевого экранирования;

    - средства анализа защищенности;

    - средства обнаружения вторжений;

    - средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

    1.5 Каналы информационного обмена и телекоммуникации

    Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.

    1.6 Объекты и помещения, в которых размещены компоненты ИСПДн

    Объекты и помещения являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.

    Персональные данные: а вы готовы к проверке?

    Персональные данные: а вы готовы к проверке?

    С 1 января 2010 года согласно федеральному закону №152-ФЗ «О персональных данных» в любую компанию (в том числе и к индивидуальному предпринимателю), попадающую под определение «оператор персональных данных» могут пожаловать гости из Роскомнадзора и проверить, как соблюдается данный закон. В качестве наказаний для нерадивых работодателей законами РФ предусмотрены различные виды формы воздействия — от штрафов до представлений о приостановлении лицензий на основной вид деятельности, от дисквалификации должностного лица до ареста ответственных лиц. Кто же из работодателей является «оператором персональных данных»? Какие виды информации, с которой работает организация, попадают под понятие «персональные данные»? Об этом и многом другом мы поговорим в статье.

    Примеры документов из статьи:

    - ЗАЯВЛЕНИЕ на обработку персональных данных

    - Положение о персональных данных

    - ПРИКАЗ о назначении ответственных за обработку персональных данных

    - ПРИКАЗ о назначении ответственных за обеспечение безопасности персональных данных

    - ДОГОВОР Об обработке персональных данных

    Для выполнения своих обязательств в рамках трудового, налогового и бухгалтерского законодательства работодатель должен использовать и оперировать персональными данными работника. Однако закон о персональных данных требует от работодателя, который в данном случае является «оператором персональных данных» и выполняет «обработку персональных данных» 1. обеспечить безопасность этой информации. Чтобы не попасть впросак, когда к вам пожалует проверка из Роскомнадзора, следуйте советам автора статьи – и все будет в порядке.

    Определяемся с понятиями

    Р оссийское законодательство вот уже более 3 лет стоит на страже неприкосновенности частной жизни, личной и семейной тайны, а также следит за обеспечением защиты прав и свобод человека и гражданина при обработке его персональных данных. Для этого законодатели приняли ряд нормативных актов, обязывающих обеспечить безопасность персональных данных, с которыми взаимодействуют различные органы власти, юридические и физические лица. Наиболее важными из этого ряда нормативных актов являются:

    • Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных),
    • Постановление Правительства РФ от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Постановление № 781),
    • Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее – Постановление № 687).

    В декабре прошлого года на заседании Госдумы принят в третьем чтении законопроект № 284213-5 «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных». Из закона исключены требования об использовании криптографических средств защиты персональных данных. В соответствии со ст. 25 Федерального закона «О персональных данных» информационные системы персональных данных, созданные до дня вступления в силу данного закона, должны быть приведены в соответствие с требованиями законодательства не позднее 1 января 2010 года. Законопроектом же предлагается продлить этот срок до 1 января 2011 года.

    Но каким образом это относится к кадровой службе? Что нового содержится в данных постановлениях и Законе, чего нет в главе 14 ТК РФ? Эти документы в первую очередь определяют порядок работы с персональными данными, они расширяют и уточняют нормы права, приведенные в ТК РФ. Во-вторых, они определяют мероприятия по обеспечению безопасности работы с персональными данными.

    Давайте разберемся подробнее. Ключевыми понятиями, от которых стоит отталкиваться при определении объема работ при использовании персональных данных работников, является само понятие «персональные данные» и понятие «обработка персональных данных».

    Согласно ТК РФ под персональными данными работников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Закон «О персональных данных» расширяет и уточняет понятие. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Таким образом, каждый работодатель, заключая трудовой договор, получает информацию, относящуюся к персональным данным. Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

    • паспорте;
    • военном билете (у военнообязанных);
    • свидетельстве о присвоении ИНН;
    • страховом пенсионном свидетельстве;
    • документах об образовании (в том числе и дополнительного образования, если работник предоставляет их при приеме на работу или это требуется при выполнении определенных трудовых функциях);
    • в водительском удостоверении и документах на машину, если это требуется в связи с выполнением трудовой функции работника;
    • медицинской справке о прохождении медицинского осмотра (медицинской книжке), если это требуется в связи с выполнением трудовой функции работника.

    Использование предприятием в своей деятельности вышеуказанных данных трактуется законодательством как «обработка персональных данных». В это понятие входят следующие действия: сбор, систематизация, накопление, хранение, уточнение, обновление, изменение, обезличивание, блокирование, уничтожение, использование, распространение и передача. Все эти операции в том или ином объеме выполняются в любой организации и на любом предприятии.

    Особое внимание необходимо уделить понятию передача персональных данных, так как на работодателя в связи с ним накладывается ряд ограничений 2. Так, собственник не имеет права:

    • сообщать персональные данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью последнего, а также других случаев, предусмотренных законодательством РФ;
    • сообщать персональные данные работника в коммерческих целях без его письменного согласия;
    • запрашивать информацию о состоянии здоровья, за исключением сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

    Кроме этого, работодатель должен соблюдать следующие требования:

    • предупредить лиц, получающих персональные данные работника, что такие данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от указанных лиц подтверждения, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном законодательством РФ;
    • разрешать доступ к персональным данным работников лишь специально уполномоченным лицам, причем они должны получать только те персональные данные, которые необходимы для выполнения конкретных функций;
    • передавать персональные данные представителям работников в порядке, установленном законодательством РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
    Необходимые документы

    Для выполнения всех требований законодательства работодатель должен соблюсти ряд условий обработки персональных данных 3. Согласно ч. 1 ст. 6 Закона «О персональных данных» обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных. Исключения приведены в ч. 2 ст. 6 Закона «О персональных данных». Так, разрешение не требуется, если «обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора». Казалось бы, ТК РФ, являясь федеральным законом, должен соответствовать данному исключению. Однако в Кодексе оговаривается некоторое множество целей обработки персональных данных и дается указание на то, что работодатель сам должен определить объем, содержание и цели обработки данных. Если этот объем превышает объем, приведенный в Трудовом кодексе, то работодателю целесообразно получить разрешение от работника на использование своих данных, то есть перед заключением трудового договора работник должен написать заявление о своем согласии на обработку персональных данных (см. Пример 1). В этом заявлении должны быть указаны следующие сведения:

    1. Ф.И.О. адрес работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
    2. наименование и адрес работодателя, получающего согласие сотрудника;
    3. цель обработки персональных данных;
    4. перечень персональных данных, на обработку которых дается согласие работника;
    5. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
    6. срок, в течение которого действует согласие;
    7. порядок отзыва заявления.

    Остановимся подробнее на целях обработки персональных данных. В заявлении работнику стоит перечислить все возможные варианты использования его персональных данных. Например, если фамилия работника будет указана в его электронном адресе и у работника будут визитные карточки, то на данные действия необходимо получить его согласие.

    Отдельно необходимо определить с работником сроки использования персональных данных после его увольнения. Так как документы сотрудника хранятся в организации в течение 75 лет, цели и характер использования этих данных, а также разрешение на их использование необходимо получить у него заблаговременно.

    При этом работник может отказаться написать подобное заявление. Это его право, но целесообразно зафиксировать где-то, что он предупрежден о последствиях отказа 4. Конечно, это бывает крайне редко, возможны варианты частичного отказа от использования персональных данных. Для того чтобы работники не отказывались от написания подобных заявлений, необходимо перед такой процедурой ознакомить его под роспись с Положением о персональных данных, которое обязательно должно быть на каждом предприятии (см. Пример 2). В данном документе необходимо отразить перечень персональных данных, предоставляемых работниками, на каких носителях и в каких местах они будут храниться, а также указать перечень мер, необходимых для обеспечения безопасности условий хранения, порядок их принятия, и список должностей, ответственных за реализацию указанных мер.

    Помимо положения о персональных данных работодатель должен издать два приказа:

    • о назначении ответственных за обработку персональных данных (см. Пример 3);
    • о назначении ответственных за обеспечение безопасности персональных данных (см. Пример 4).

    Далее согласно ст. 6 Положения № 687 все работники работодателя, работающие с персональными данными, должны быть проинформированы о факте обработки ими персональных данных, а также об особенностях и правилах осуществления такой обработки. Для реализации этой нормы права целесообразно заключить со всеми работниками соответствующий договор (см. Пример 5). В этом документе, который может быть частью соответствующего трудового договора, должны быть указаны обязанности работников, их ответственность за нарушения режима конфиденциальности.

    Требования к работе на различных носителях

    В деятельности юридических лиц образуются бумажные (материальные) носители персональных данных и электронные носители персональных данных (информационные системы и базы данных). К работе и хранению информации на материальных и электронных носителях предъявляются разные требования. Остановимся на них подробнее.

    Примеры бумажных носителей персональных данных:

    • трудовая книжка;
    • журналы учета трудовых книжек;
    • журнал учета командировок;
    • материалы по учету рабочего времени;
    • личная карточка Т-2;
    • журналы сверки по военнообязанным;
    • входящая и исходящая корреспонденция военкомата, страховой компании, службы судебных приставов;
    • приказы по личному составу.

    Закон «О персональных данных» требует от работодателя раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. При этом в отношении каждой категории должно быть возможно определить места хранения персональных данных (материальных носителей).

    Электронные носители персональных данных – базы данных, содержащие персональные данные работников организации. Данные, хранящиеся на электронных носителях, обрабатываются и передаются техническими средствами. Постановление № 781 дает исчерпывающее определение технических средств. Это средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

    Безопасность персональных данных на электронных носителях достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. Для обеспечения этой безопасности работодатель должен принять ряд организационных мер.

    Во-первых, информационную систему необходимо классифицировать в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства. Решение о присвоении того или иного класса системы определяет специальная организация, имеющая лицензию на данные работы. В зависимости от присвоенного класса работодатель определяет мероприятия по защите используемых персональных данных.

    Во-вторых, работодатель должен обеспечить режим безопасности и охрану помещений, в которых ведется работа с персональными данными, а также обеспечивать сохранность носителей персональных данных и средств защиты информации таким образом, чтобы исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

    В-третьих, обеспечить в информационной системе следующие возможности:

    • а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
    • б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
    • в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
    • г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
    • д) постоянный контроль за обеспечением уровня защищенности персональных данных.
    Подведение итогов

    Итак, в организации для работы с персональными данными должны быть следующие документы:

    1. Положение о персональных данных.
    2. Приказ о назначении ответственных за работу с персональными данными.
    3. Приказ о назначении ответственных за обеспечение безопасности персональных данных.
    4. Заявления работников на обработку персональных данных.
    5. Договоры (допсоглашения) с работниками об обработке персональных данных.

    Подскажите, пожалуйста, "Приказ о назначении ответственных за работу с персональными данными.
    Приказ о назначении ответственных за обеспечение безопасности персональных данных." нужно издавать ежегодно?

    Ответить – Свернуть ветку + Развернуть ветку (1 сообщение)

    Анонимный гость. 10 октября 2012 11:14

    нет, раз в жизни. И до тех пор, пока человек работает в организации, переиздавать не надо. Но ответственный за организацию обработки персональных данных в организации, согласно ФЗ "О персональных данных" должен быть один. Никто не запрещает назначить дополнительно ответственных по подразделениям и т.п. Но в организации - один!

    Добрый день! А как правильно оформить документы по защите Пдн, если в организации нет отдела кадров, а данный вопрос передан на аутсорсинг (т.е. кадровое делопроизводство ведет другая организация по договору).

    Ответить – Свернуть ветку + Развернуть ветку (1 сообщение)

    Рикардо. 21 апреля 2014 08:22

    Оператор (ответственный за организацию обработки ПДн), должен подготовить документы в области защиты ПДн. Либо предоставить иной организации естественно за деньги, подготовку документов в области защиты ПДн, если у неё есть лицензия.

    Потенциальный работодатель требует информацию об авто: гос.номер, номер вод.удостоверения и т.д. Работа не водителем.Должен ли я ему ее предоставить только потому, что у них такие правила приема?

    Ответить – Свернуть ветку + Развернуть ветку (1 сообщение)

    © Руководства, Инструкции, Бланки 2017