deHack.ru » Вопросы и ответы

Вопросы и ответы по защите информации

11.10.2013 Доброе время суток! В нашей компании (Центральный офис и 74 торговых комплекса) обрабатываются ПДн следующих субъектов: работников, состоящих в трудовых отношениях; кандидатов и соискателей на вакантные должности; субъектов, с которыми заключены договоры гражданско-правового характера; посетителей компании, не являющихся клиентами или контрагентами; клиентов компании, участников программы лояльности, которым компания реализует товары или оказывает услуги. Структура компании состоит из центрального офиса расположенного в Питере и многочисленных торговых центров в городах России. С целью контроля обработки ПДн для обеспечения их защиты в компании создана Комиссия по защите ПДн. В состав входят сотрудники центрального офиса. Так же есть Положение об обработке и защите персональных и Политика компании в отношении обработки персональных данных. Прошу помочь разобраться в следующем вопросе. Нужно ли в соответствии с действующим законодательством проводить организационно-технические мероприятия под названием "Защита персональных данных". Разработать "Комплект документации по приведению ИСПДн в соответствие с требованиями 152-ФЗ" для каждого филиала (торгвого комплекса) ? С уважением, Максим.
09.08.2013 вопрос по 152 приказу ФАПСИ п. 21. Обучение пользователей правилам работы с СКЗИ осуществляют сотрудники соответствующего органа криптографической защиты. Документом, подтверждающим должную специальную подготовку пользователей и возможность их допуска к самостоятельной работе с СКЗИ, является заключение, составленное комиссией соответствующего органа криптографической защиты на основании принятых от этих лиц зачетов по программе обучения. Я так понимаю, что "орган криптографической защиты" - это Удостоверяющий центр. Но о каких зачетах и программе обучения может идти речь, если они не являются лицензированным образовательным учреждением? Я так понимаю, что из даннй ситуации они выходят так, передают правила для пользователя. Вопрос: каким образом организация должна обучить пользователей СКЗИ (конкретно пользователей ЭЦП)? Какой подтверждающий документ должен быть у пользователя СКЗИ? Кто их должен обучить?
Страницы: