Журнал учета проведения инструктажей по вопросам защиты
advertisement
1. Журнал учета проведения инструктажей по вопросам защиты информации Инструктаж должны проходить все сотрудники центра занятости населения, осуществляющие обработку персональных данных как в автоматизированном, так и в неавтоматизированном виде. В журнале учета указывается ФИО инструктируемого, подразделение, вид инструктажа (инструктаж по антивирусной защите/по ответственности за обработку персональных данных и пр.), дата проведения инструктажа, ФИО инструктора и подписи обоих лиц (инструктаж могут проводить администратор ИБ ИСПДн, ответственный за обеспечение ИБ в центре занятости населения – в зависимости от типа инструктажа). «Ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.» - Требование ч.1 ст. 18.1 ФЗ-152 «О персональных данных». Перечень обязательных инструктажей: «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных»; «Обеспечение антивирусной защиты при работе в информационных системах персональных данных»; «Порядок парольной защиты при работе в информационных системах персональных данных»; «Действия пользователей информационных систем персональных данных в нештатных ситуациях»; Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 (только для сотрудников, ответственных за обеспечение сохранности материальных носителей ПДн) 2. Журнал регистрации письменных запросов граждан на доступ к своим персональным данным В журнале в обязательно порядке должны фиксироваться все запросы субъектов ПДн на доступ к своим персональным данным, при наличии таких запросов. В соответствии с ч. 7 ст. 14 ФЗ-152 «О персональных данных» Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: 1) подтверждение факта обработки персональных данных оператором; 2) правовые основания и цели обработки персональных данных; 3) цели и применяемые оператором способы обработки персональных данных; 4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона; 5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; 6) сроки обработки персональных данных, в том числе сроки их хранения; 7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом; 8) информацию об осуществленной или о предполагаемой трансграничной передаче данных; 9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; 10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами. «Субъект вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки…» Запрос субъекта должен содержать: номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе; сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором; подпись субъекта персональных данных или его представителя. В соответствии с ч.3 ст. 20 - Оператор обязан предоставить безвозмездно субъекту ПДн или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий 7 рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы. Если субъекту были предоставлены его ПДн для ознакомления, он вправе отправить повторный запрос не ранее чем через 30 дней после первоначального обращения, если другой срок не установлен федеральным законодательством/договором/иным правовым актом, за исключениев случаев, если субъекту были предоставлены неполные сведения при первоначальном запросе, но в таком случае, в его повторном запросе должно быть обоснование направления запроса. Оператор вправе отказать субъекту ПДн в выполнении повторного/первичного запроса, если у операторы имеются мотивированное обоснования отказа. Доказательства обоснования отказа лежит на операторе. Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение ч. 8 ст. 14 ФЗ-152 или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. При получении запроса от уполномоченного органа по защите прав субъектов ПДн какой либо информации – оператор обязан дать ответ в течение 30 дней с даты получения такого запроса Формы уведомлений субъектов об уничтожении/уточнении/блокировании/ и пр. его ПДн приведены в Приложениях к Положению о порядке организации и проведению работ по обработке и защите персональных данных, обрабатываемых в информационных системах персональных данных центра занятости населения. Регистрацию запросов должен вести Ответственный за обеспечение ИБ ПДн. 3. Журнал поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов В журнале учета СКЗИ должны быть учтены все средства криптографической защиты, в том числе и установленные на АРМ пользователей (VipNet Coordinator, VipNet Client), техническая (формуляры, сертификаты соответствия ) и ключевая информация (файлы в формате *.dst) к ним. Должны быть учтены программно-аппаратные средства (VipNet Coordinator). Учет должен вести администратор ИБ ИСПДн. 4. Журнал учета носителей персональных данных При использовании в центре занятости населения съемных носителей ПДн (дискеты, CD-диски, flash носители) – все съемные носители персональных данных должны быть учтены в данном журнале учета. Учет должен вести администратор ИБ ИСПДн. 5. Журнал учета выдачи электронных носителей персональных данных При выдачи электронных носителей персональных данных сотрудникам центра занятости населения для пользования по служебной необходимости – все факты выдачи/приема данных носителей должны быть зафиксированы в данном журнале учета. Учет должен вести администратор ИБ ИСПДн. 6. Журнал учета технических средств, участвующих в обработке персональных данных В журнале учета технических средств должны быть учтены все технические средства, на которых осуществляется обработка персональных данных с указанием: наименования ТС, его заводского (серийного) номер; ФИО пользователя ТС; роспись о получении ТС в пользование и датой выдачи; роспись в обратном приеме ТС и датой приема; местом установки ТС. Учет должен вести администратор ИСПДн. 7. Приказы «О вводе в промышленную эксплуатацию системы защиты персональных данных в информационной системе персональных данных». Каждая СЗПДн информационных систем персональных данных должна быть введена в промышленную эксплуатацию. СЗПДн вводится в промышленную эксплуатацию после внедрения СЗИ в ИСПДн и тестирования их функций. К моменту аттестации, ИСПДн должна быть введена в промышленную эксплуатацию. Также, в Приложении к приказу должен быть указан весь перечень программных и технических средств, принимаемых в промышленную эксплуатацию в составе системы защиты персональных данных ИСПДн (например СКЗИ VipNet, СЗИ от НСД SecretNet и пр.) Приказ должен подготовить Администратор ИБ ИСПДн совместно с Администратором ИСПДн. 8. Приказ «О допуске к обработке персональных данных» В данном приказе указывается перечень сотрудников и кабинетов, допущенных к обработке персональных данных в информационных системах персональных данных. Обязательно должен быть проведен инструктаж сотрудников по тематике «обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных» с отметкой в Журнале инструктажа. Инструктаж проводит Ответственный за обеспечение ИБ ПДн. 9. Приказ «О назначении администратора информационной безопасности информационных систем персональных данных». При наличии в штате только одного сотрудника (специалиста АСУ), он назначается администратором информационной безопасности систем персональных данных центра занятости населения. Перечень обязанностей АИБ представлен в инструкции администратора ИБ ИСПДн. 10. Приказ «О создании комиссии для проведения классификации информационных систем персональных данных». В соответствии с требованиями Федерального Законодательства – должна быть проведена классификация информационных систем персональных данных центра занятости населения. Классификация должна быть документально закреплена во внутренних документах. Для выполнения данного требования должны быть создана комиссия для проведения классификации ИСПДн, в составе: председатель комиссии - Ответственным за обеспечение ИБ члены комиссии: o Администратором информационной безопасности ИСПДн; o Администратор ИСПДн; o Специалист отдела кадров/юрист/начальники структурных подразделений. 11. Акт классификации информационных систем персональных данных Акт классификации ИСПДн заполняется и подписывается лицами, определенными в приказе «О Создании комиссии для проведения классификации информационных систем персональных данных» 12. Приказ «О создании комиссии по контролю защищенности персональных данных» Периодически в центре занятости населения должен осуществляться контроль защищенности персональных данных (периодичность определятся «Планом внутренних проверок состояния защиты персональных данных»). Для выполнения данного требования должны быть создана комиссия в составе: председатель комиссии - Ответственный за обеспечение ИБ члены комиссии: o Администратор информационной безопасности ИСПДн; o при необходимости - Администратор ИСПДн/Начальники структурных подразделений; 13. Приказ «О создании комиссии по уничтожению персональных данных» В соответствии со ст. 21 ФЗ-152, Оператор ПДн должен осуществлять уничтожение ПДн в случае: отзыва субъектом персональных данных согласия на обработку его персональных данных оператор если сохранение персональных данных более не требуется для целей обработки персональных данных) достижения цели обработки персональных данных неправомерной обработки персональных данных при обращении субъекта персональных данных либо уполномоченного органа по защите прав субъектов персональных данных При необходимости уничтожении персональных данных – должна быть создана комиссия по уничтожению ПДн, в составе: председатель комиссии - Ответственный за обеспечение ИБ; члены комиссии: o Администратором информационной безопасности ИСПДн; o Администратор ИСПДн/Начальник структурного подразделения; o Начальник отдела кадров/юридической службы. Уничтожение ПДн должны осуществляться при наступлении одного из следующих случаев: по требованию субъекта ПДн, в определенных законом случаях; при истечении срока хранения; в случае выявления неправомерных действий с персональными данными и невозможности устранения допущенных нарушений; в случае достижения цели обработки ПДн; в случае утраты необходимости достижения цели обработки. Формы актов уничтожения ПДн, а также уведомления субъектов об уничтожении его ПДн приведены в Приложениях к Положению о порядке организации и проведению работ по обработке и защите персональных данных, обрабатываемых в информационных системах персональных данных центра занятости населения. 14. Приказ «О назначении ответственного за обеспечение безопасности персональных данных» Ответственным за обеспечение безопасности персональных данных должен назначаться заместитель руководителя либо юрист центра занятости населения. В своей работе Ответственный за обеспечение ИБ центра занятости населения должен руководствоваться нормативными правовыми актами в области обеспечения безопасности ПДн, Положением о персональных данных и пр. внутренними документами центра занятости населения, регламентирующих деятельность по обеспечения безопасности ПДн. Ответственный за обеспечение безопасности ПДн должен осуществлять организацию работы и общий контроль информационной безопасности центра занятости населения. 15. Приказ «Об утверждении мест хранения материальных носителей персональных данных» Данным приказом утверждается Перечень мест хранения материальных носителей персональных данных и лиц, ответственных за их сохранность. Сотрудники, ответственные за обеспечение материальных носителей ПДн должны быть ознакомлены Ответственным за обеспечение ИБ с постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 под роспись в журнале инструктажа. 16. Инструкция администратора информационной безопасности информационных систем персональных данных Данная инструкция используется в повседневной работе Администратором ИБ ИСПДн центра занятости населения. С инструкцией должны быть ознакомлены (с отметкой на листе ознакомления – Приложение 2) Ответственный за обеспечение ИБ, Администратор ИБ ИСПДн. 17. Инструкция администратора информационных систем персональных данных Данная инструкция используется в повседневной работе Администратором ИСПДн центра занятости населения. С инструкцией должны быть ознакомлены (с отметкой на листе ознакомления – Приложение 2) Ответственный за обеспечение ИБ, Администратор ИСПДн. 18. Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам информационных систем персональных данных. Все изменения прав доступа пользователя к информационным ресурсам ИСПДн должны оформляться заявкой на доступ (Приложение 1), подаваемой непосредственным руководителем сотрудника, которому необходимо изменение прав доступа. С инструкцией должны быть ознакомлены (с отметкой на листе ознакомления – Приложение 3) Ответственный за обеспечение ИБ, Администратор ИСПДн, Администратор ИБ ИСПДн, Начальники структурных подразделений центра занятости населения. 19. Инструкция по действиям пользователей информационных систем персональных данных в нештатных ситуациях. Данная инструкция регламентирует порядок действия при возникновении нештатной ситуации. С данной инструкцией должны быть ознакомлены (с отметкой на листе ознакомления) Администратор ИБ ИСПДн и Ответственный за обеспечение ИБ центра занятости населения. Пользователи ИСПДн должны быть ознакомлены с данной инструкцией только в части их касающейся (с отметкой и росписью Пользователя в Журнале инструктажа). 20. Инструкция по организации антивирусной защиты информационных систем персональных данных. С данной инструкцией должны быть ознакомлены все сотрудники центра занятости населения, работающие в информационных системах персональных данных. Пользователи должны быть проинструктированы и ознакомлены под роспись с данной инструкцией в части их касающейся с отметкой в журнале инструктажа. Ответственность за организацию работ по антивирусной защите несет Администратор информационной безопасности центра занятости населения. Общий контроль информационной безопасности возлагается на Ответственного за обеспечение безопасности ПДн центра занятости населения. С данной инструкцией, как минимум, должны быть ознакомлены (под роспись на листе ознакомления – Приложение №2 инструкции) – Администратор ИБ ИСПД, Администратор ИСПДН, Ответственный за обеспечение ИБ. Инструкция по резервному копированию защищаемой информации в 21. информационных системах персональных данных. Администратор ИСПДн должен составить перечень ресурсов, подлежащих резервному копированию (в соответствии с формой, приведенной в Приложении 2). Перечень ресурсов должен быть согласован с соответствующими руководителями структурных подразделения и Администраторами ИБ ИСПДн и утвержден Руководителем центра занятости населения Также данные сведения должны быть внесены данные в Приложение 1 «Средства обеспечения непрерывной работы и восстановления» Инструкции по действию пользователей в нештатных ситуациях. График копирования должен быть утвержден руководителем центра занятости населения. Должностные лица, задействованные в процессе организации и осуществления резервного копирования, а также Администратор ИБ ИСПДн, Администратор ИСПДН и Ответственным за обеспечение ИБ центра занятости населения должны быть ознакомлены с данной инструкцией (с отметкой на листе ознакомления – Приложение 3) Инструкция по порядку проведения проверок состояния защиты 22. персональных данных. Данная инструкция регламентирует процедуру проведения проверок состояния защиты ПДн. корректирующих По итогу проведения действий, проверок направленных на должен устранение разрабатываться (при наличии) план или предупреждение возможны нарушений информационной безопасности. Проверки должны осуществляться комиссией, в которую входят: председатель комиссии - Ответственным за обеспечение ИБ члены комиссии - Администратором информационной безопасности ИСПДн, и при необходимости, Администратор ИСПДн/Начальник структурного подразделения, в котором осуществляется проверка. По итогу проведения проверки должен быть составлен Акт (Приложение 2) С инструкцией должны быть ознакомлены (с отметкой на листе ознакомления – Приложение 4) Ответственный за обеспечение ИБ, а также Администратор информационной безопасности 23. План внутренних проверок состояния защиты персональных данных. Периодически (период указан в плане) должна осуществляется выборочная проверка подразделений центра занятости населения на предмет выполнения подразделениями требований по обеспечению безопасности персональных данных. Проверку должен осуществлять Ответственный за обеспечение безопасности персональных данных центра занятости населения совместно с Администратором информационной безопасности информационных систем персональных данных, а также, при необходимости, Начальниками структурных подразделений. 24. Инструкция Пользователя информационных систем персональных данных. С инструкцией должны быть ознакомлены ВСЕ пользователи информационных систем персональных данных центра занятости населения. Сотрудникам должны быть предоставлены твердые или электронные копии данной инструкции для повседневного использования. Все сотрудники должны быть ознакомлены со всеми положениями данной инструкции под роспись на листе ознакомления (Приложение 2). 25. Перечень персональных данных, обрабатываемых в центре занятости населения. Перечень персональных данных, обрабатываемых в центре занятости населения содержит: категории субъектов персональных данных; состав обрабатываемых персональных данных применительно к каждой категории субъектов ПДн; цели и допустимые сроки обработки ПДн; источник получения ПДн; вид обработки ПДн (автоматизированный/неавтоматизированный/смешанный) и допустимые операции с ПДн. При изменениях законодательства РФ/внутренних нормативных актов центра занятости населения /ведомственных приказов/ и пр., затрагивающих процессы обработки персональных данных субъектов – данный перечень должен быть пересмотрен и при необходимости актуализирован. Процесс актуализации перечня персональных данных должен иметь централизованный подход для всех центров занятости населения. Ответственными за актуализацию Перечня ПДн должны является - Ответственный за обеспечение ИБ центра занятости населения. 26. План мероприятий по защите персональных данных. Ответственным за заполнение и дальнейшую работу по плану является Ответственный за обеспечение ИБ. Планом определяется перечень и срок выполнения мероприятий, необходимых для выполнения требований Федерального законодательства в области обеспечений безопасности персональных данных. 27. Положение о порядке организации и проведению работ по обработке и защите персональных данных, обрабатываемых в информационных системах персональных данных. Данное положение является основным документом, регламентирующим деятельностью по обеспечению информационной. Положением определяется порядок обработки ПДн в центре занятости населения. Также, Положение определяет формы основных документов (уведомления субъектов ПДн, согласия на обработку ПДн и др.) Все сотрудники центра занятости населения, обрабатывающие персональные данные, должны быть ознакомлены с данным положением в части их касающейся Ответственным за обеспечение безопасности ПДн центра занятости населения с отметкой о проведение ознакомления в Журнале проведения инструктажа. 28. Порядок парольной защиты в информационных системах персональных данных С данной инструкцией должны быть ознакомлены все сотрудники центра занятости населения, работающие в информационных системах персональных данных. Всем пользователям должны быть предоставлены твердые или электронные копии данной инструкции для повседневного использования. Пользователи должны быть проинструктированы и ознакомлены с данной инструкцией в части их касающейся (с роспись в журнале инструктажа). С данной инструкцией должны быть ознакомлены (под роспись на листе ознакомления – Приложение №2 инструкции) – Администратор ИБ ИСПД, Администратор ИСПДН, Ответственный за обеспечение ИБ. 29. Регламент учета средств защиты, документации и электронных носителей персональных данных. Данным регламентом определяется: порядок учета и хранения средств защиты персональных данных; порядок учета документации, содержащей персональные данные; порядок учета носителей с ПДн; порядок хранения носителей с ПДн, и регламентируются формы журналов учета. С данным регламентом должны быть ознакомлены все сотрудники центра занятости населения (с росписью на листе Ознакомления), осуществляющие обработку персональных данных. Всем сотрудникам центра занятости населения должны быть вручены твердые или электронные копии данного регламента для повседневного использовании данного регламенты при работе с персональными данными. Ознакомление с требованиями регламента должно осуществляться следующим образом: Ответственный информационной за обеспечение безопасности, ИБ Администратор ознакамливает ИБ Администратора ознакамливает начальников структурных подразделений, Начальник структурных подразделений ознакамливает с данным регламентом сотрудников своих подразделений. 30. Уведомление об обработке персональных данных. Уведомление об обработке персональных данных подается в уполномоченный орган по защите прав субъектов персональных данных (Управление федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Краснодарскому краю – Роскомнадзор). В уведомлении указываются: правовое основание обработки персональных данных; цель обработки персональных данных; категории персональных данных; категории субъектов, персональные данные которых обрабатываются; перечень действий с персональными данными, общее описание используемых оператором; способов обработки персональных данных; сведения о наличии или об отсутствии трансграничной передачи персональных данных; описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке. Также, помимо этого в Уведомлении должны быть указаны: ФИО и контакты Ответственного за обеспечение ИБ ПДн центра занятости населения; дата начала обработки ПДн. При изменениях процессов обработки персональных данных, законодательства и пр., влекущие за собой изменения данных, указанных в Уведомлении – в Роскомнадзор должно оправляться повторное Уведомление с указанием произошедших изменений. Ответственный за процесс отправки Уведомления в Роскомнадзор и актуализацию данных в Уведомлении (при необходимости) должен являться Ответственный за обеспечение ИБ центра занятости населения. Общие положения: Все документы должны быть введены в действие приказом Руководителя центра занятости населения. Дата ввода в действие документов - 28.12.2011. Изменения документов должны фиксироваться на «листах регистрации изменений», являющимися Приложениями к каждому нормативному документу.
