Конференция по вопросам информационной безопасности Четверг, 21.11.2024, 13:22
| Forum RSS
Меню сайта

Скачать

Поиск

[ Новые сообщения · Участники · Правила форума · Поиск · Forum RSS ]
  • Страница 1 из 3
  • 1
  • 2
  • 3
  • »
Модератор форума: Kostik, anvolkov  
Организационно-распорядительный этап
Kostik (Иванов Константин)Дата: Пятница, 12.03.2010, 12:33 | Сообщение # 1
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
В рамках данной темы будут разбираться вопросы о количестве необходимых документов, их перечне для организаций, а так же примерном содержании.
Так же мы постараемся ответить на Ваши вопросы по тонкостям заполнения некоторых документов.

Для начала приведем печень документов, необходимых для заполнения в муниципальных учреждениях, находящихся в прямом подчинении Мэрии г. Череповца.

1. Приказ о назначении ответственных лиц за обеспечение защиты.
2. Положение по организации и проведению работ по обеспечению безопасности ПДн.
3. Приказ о создании комиссии по проведению классификации информационных систем ПДн.
4. Описание технологических процессов.
5. Перечень ПДн.
6. Перечень ИСПДн.
7. Частная модель угроз информационной безопасности персональных данных.
8. Акт классификации ИСПДн.
9. Уведомление об обработке ПДн.
10. Приказ об определении отделов, занимающихся обработкой ПДн.
11. Приказ о назначении ответственных лиц за обработку ПДн.
12. Документ об утверждении контролируемой зоны атоматизированной системы обработки ПДн.
13. Инструкция пользователя автоматизированной системы обработки ПДн.
14. Инструкция администратора безопасности автоматизированной системы обработки ПДн.
15. Инструкция по организации парольной защиты автоматизированной системы обработки ПДн.
16. Инструкция по организации антивирусной защиты автоматизированной системы обработки ПДн.
17. Инструкция (руководство) по работе с сетью Интернет.
18. Перечень сотрудников, допущенных к работе с персональными данными (матрица доступа).
19. Технический паспорт автоматизированной системы персональных данных.
20. Протокол оценки соответствия информационной системы персональных данных требованиям по безопасности информации.
21. Декларация о соответствии информационной системы персональных данных требованиям по безопасности информации (для нераспределенных информационных систем третьего класса).
22. Дополнительные документы (акты приема зачетов по знанию нормативной базы, ознакомления, журналы учета и т.п.).

Для других организаций перечень имеет отличия.

 
Kostik (Иванов Константин)Дата: Среда, 17.03.2010, 12:14 | Сообщение # 2
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Перечень документов для остальных организаций следующий:

1. Согласие на обработку ПД и обязательство о неразглашении ПД.
2. Приказ о введении режима обработки ПДн
3. Приказ о создании комиссии для классификации ИСПДн
4. Приказ о назначении ответственных за безопасность ПДн
5. Описание технологических процессов
6. Перечень ИСПДн
7. Перечень ПДн
8. Приказ и Перечень общедоступных сведений
9. Приказ о назначении ответственных лиц за ПДн и список ответственных лиц
10. Частная модель угроз
11. Акт Классификации ИСПДн
12. План контролируемой зоны
13. Технический паспорт ИСПДн
14. Уведомление об обработке (регулятора)
15. Требования по обеспечению безопасности персональных данных
16. Перечень подразделений и сотрудников, допущенных к работе с ПДн
17. Положение о разграничении прав доступа к обрабатываемым персональным данным
18. Инструкция Администратора безопасности
19. Инструкция пользователя ИСПДн
20. Инструкция парольной защиты
21. Инструкция по антивирусному контролю
22. Порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ
23. Положение по обработке и защите персональных данных
24. Лист ознакомления с нормативной базой
25. Акт приема зачета по знанию нормативной базы
26. Порядок маркировки электронных носителей ПДн
27. Журнал учета носителей ПДн
28. Журнал учёта обращений субъектов ПДн о выполнении их законных прав
29. Протокол оценки соответствия ИСПДн требованиям
30. Акт декларирования соответствия ИСПДн требованиям безопасности информации.

Не смотря на то, что в приведенных перечнях некоторые документы совпадают (по названиям), но по содержанию достаточно много отличий. Хотя бы даже приказы - для обычных организаций в них необходимо указывать список проводимых работ и разрабатываемых при этом документах. Так же некоторые документы у муниципалов регулируются соответствующими распоряжениями Мэрии.

 
anvolkov (Алексей Волков)Дата: Среда, 17.03.2010, 14:07 | Сообщение # 3
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Стоит добавить, что, согласно последним изменениям в законодательстве, документы с номерами 12, 13, 15, 29 и 30 в принципе можно не делать, если эти документы не являются обязательными для Вашей ИСПДн (например, для госструктур обязательность наличия аналогов этих документов устанавливается СТР-К).
 
AnyUserCh (any)Дата: Пятница, 19.03.2010, 16:26 | Сообщение # 4
Рядовой
Группа: Пользователи
Сообщений: 13
Репутация: 13
Статус: Offline
Вопрос по пункту:
Quote
1. Согласие на обработку ПД и обязательство о неразглашении ПД.

152 ФЗ ст.6 п2 гласит:
Quote

Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

Означает ли это, что не требуется получать заявление-согласие на обработку ПДн с:
1) работников организации
2) ФЛ, ИП, ЧП и т.п. с которыми заключается договора на оказания услуг и т.п.
 
anvolkov (Алексей Волков)Дата: Пятница, 19.03.2010, 16:34 | Сообщение # 5
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Отвечаю. Мое мнение, и РКН его разделяет, что лучше его взять, чем не брать. Объясню почему.

1. По поводу сотрудников. Закон говорит о том, что согласие необходимо брать ОБЯЗАТЕЛЬНО в случае передачи ПДн третьей стороне и в случае размещения ПДн в общедоступных источниках. Вы сотрудникам зарплату перечисляете? Медицинское страхование, полисы ДМС - имеются? Корпоративная мобильная связь есть? Фирма, обслуживающая СВТ и имеющая доступ к элементам ИСПДн? Значит, данные третьей стороне передаете - берите согласие. Телефонный справочник организации с указанием ФИО есть? Значит, есть общедоступный источник - берите согласие. Это же самое касается и ФЛ, работающих по ГПХ, если им предоставляются такие же условия, как сотрудникам, работающим по трудовым договорам.

2. Что касаемо ИЧП - надо смотреть, в каком объеме и для каких целей вы используете их ПДн. Если договор купли-продажи, услуг и тд, и данные берутся только в объеме, необходимом для внесения в договор (а это данные не Иван Иваныча как физика, а ИЧП Иван Иваныча как юрлица) - тогда не надо - эти данные общедоступные в соответствии с ГК РФ.

 
AnyUserCh (any)Дата: Понедельник, 22.03.2010, 10:24 | Сообщение # 6
Рядовой
Группа: Пользователи
Сообщений: 13
Репутация: 13
Статус: Offline
Спасибо за ответ.

Насколько мне известно утвержденной формы заявления согласия на обработку ПДн сотрудников не существует. В 152-ФЗ есть только перечень требуемых реквизитов в данном заявлении.
Возникает вопрос: возможно ли оформить заявления согласие для уже работающих сотрудников и вновь принимаемых в форме доп. соглашения к трудовому договору?

 
anvolkov (Алексей Волков)Дата: Понедельник, 22.03.2010, 12:04 | Сообщение # 7
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Отвечаю.

Утвержденной формы нет и быть не может - так как сведения, указанные в согласии, индивидуальны не только для каждой организации, но и для каждой ИСПДн, так как цели для всех разные.

Я считаю, что для сотрудников организации согласие на обработку их ПДн КРАЙНЕ ЖЕЛАТЕЛЬНО оформлять в виде дополнения к ТД - поскольку в таком случае устраняется масса проблем, связанных с трудовым законодательством (фактически - не дал согласие - нет и договора, и отозвать его означает аннулировать трудовой договор), а также с хранением согласий (труддоговор и все приложения и дополнения хранится 75 лет).

Поэтому, рекомендую сделать дополнение к ТД (или прописать эти пункты в основном тексте ТД - по сути разницы нет).

 
AnyUserCh (any)Дата: Пятница, 26.03.2010, 16:03 | Сообщение # 8
Рядовой
Группа: Пользователи
Сообщений: 13
Репутация: 13
Статус: Offline
Возвращаюсь к теме о необходимости получения заявления согласия. Сразу оговорюсь, что в приницпе я понимаю необходимость получения согласия от работников предприятия, хотя бы для того, чтобы "перестраховаться".

Но интересно былобы услышать Ваше мнение по посту во второй конференции ReignVox:

Quote
242 Нина Сергеевна Бородина, , Начальник отдела кадров
Здравствуйте, неужели теперь придется получать согласие на обработку персональных данных у всех работников предприятия? А работников у нас очень много в многочисленных филиалах, спасибо.

16:01:24 Юрий Черкас
Согласно п.2 ст. 6 ФЗ №152, согласия субъекта персональных данных не требуется в случае, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных. В данном случае речь идет о трудовом договоре, одной из сторон является работник.

 
anvolkov (Алексей Волков)Дата: Пятница, 26.03.2010, 16:34 | Сообщение # 9
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
В соответствие с законодательством РФ, в случае, когда Вас, как оператора, связывают с субъектом (сотрудником) договорные отношения (а в данном случае Вас связывает трудовой договор), то получать согласие нет необходимости – оператор может обрабатывать персональные данные без него.

Однако законом ОДНОЗНАЧНО определено, что согласие субъекта ОБЯЗАТЕЛЬНО необходимо получать в случаях:

1. Передачи ПДн третьим лицам (страховые компании ДМС, операторы связи - то, что не предусмотрено трудовым договором и законодательством РФ).
2. Размещения ПДн в общедоступных источниках - справочниках и адресных книгах, бумажных и электронных (например, Active Directory имеет смысл сделать общедоступным источником ПДн, чтобы перевести его в 4 класс и не защищать).
3. Трансграничной передачи ПДн.

Если в Вашей организации хоть что-то из этого есть - согласие брать необходимо. Если нет, и Вы сможете это доказать - тогда ответ на вопрос 242. Надо понимать, что как сформулирован вопрос, так на него и отвечают, при этом очень быстро и не вдаваясь во всякие "если".

 
OLS (Андрей)Дата: Понедельник, 05.04.2010, 10:09 | Сообщение # 10
Рядовой
Группа: Пользователи
Сообщений: 3
Репутация: 4
Статус: Offline
Ссылки на другие пакеты документов:

МинЗдравСоцРазвития : http://www.minzdravsoc.ru/docs/mzsr/informatics/5

Ассоциация Российских Банков : http://www.abiss.ru/doc/

МинОбрНауки (на оригинальном сайте удалено) : http://vgu.ru/license/license.php

-----

Администрация Смоленской области : http://admin.smolensk.ru/www.fstec.ru/person.htm

Министерство образования Республики Алтай : http://www.mon-ra.ru/documents/ispdn/ISPDn_rekom.zip

Сообщение отредактировал Kostik - Понедельник, 05.04.2010, 10:31
 
Kostik (Иванов Константин)Дата: Понедельник, 05.04.2010, 10:37 | Сообщение # 11
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Действительно полезные ссылки, только, безусловно, любой пакет документов необходимо адаптировать именно под ту среду, куда он внедряется, а документы МинЗдрава, МинОбрНауки уже адаптированы именно под эти структуры. Ну а про банки и говорить не приходится smile
 
Andrey_044 (Андрей)Дата: Вторник, 06.04.2010, 08:12 | Сообщение # 12
Рядовой
Группа: Пользователи
Сообщений: 2
Репутация: 0
Статус: Offline
А как обрабатываются обращения субъектов о выполнении их законных прав?
 
anvolkov (Алексей Волков)Дата: Вторник, 06.04.2010, 10:00 | Сообщение # 13
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
А вот это Вы и должны описать в своих внутренних нормативных документах. Во-первых, все они должны учитываться (регистрироваться), должен быть назначен ответственный человек, кто будет писать ответ на обращения. Читайте 152-ФЗ (ст. 14 ч. 4), на что Вы должны быть готовы ответить субъекту в течение 10 дней:

1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
2) способы обработки персональных данных, применяемые оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

 
Kostik (Иванов Константин)Дата: Вторник, 06.04.2010, 11:55 | Сообщение # 14
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Примером учета обращений может быть п.28. Журнал учёта обращений субъектов ПДн о выполнении их законных прав
 
Andrey_044 (Андрей)Дата: Среда, 07.04.2010, 07:00 | Сообщение # 15
Рядовой
Группа: Пользователи
Сообщений: 2
Репутация: 0
Статус: Offline
Спасибо за ответы. Но хотелось бы еще посмотреть типовой ответ на запрос! Если есть у кого то возможность, киньте ссылку, пожалуйста!

Сообщение отредактировал Andrey_044 - Среда, 07.04.2010, 07:02
 
  • Страница 1 из 3
  • 1
  • 2
  • 3
  • »
Поиск:

Copyright Ivanov Konstantin © 2024Используются технологии uCoz