Вопрос №296 от 11.05.2013

Ответ: Добрый день!

Прежде всего, Вам необходимо подать уведомление в Роскомнадзор о том, что Вы являетесь оператором ПДн и осуществляете обработку ПДн (ч.4 ст.18.1 ФЗ-152).

Так же, Вам необходимо исполнить требования статей 18.1 и 19 ФЗ-152:

Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:
1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных; (приказ о назначении ответственного за обеспечение безопасности ПДн)
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных (Положение о порядке обработки ПДн в организации), локальных актов по вопросам обработки персональных данных (Инстукции по обработке ПДн с использованием средств автоматизации и без), а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;  (план мероприятий по обеспечению безопасности ПДн, инструкция по расследованию инцидентов информационной безопасности)

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора; (план проведения периодических внутренних проверок организации по вопросам безопасности ПДн) 

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
2. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных; (разработка частной модели угроз)
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных; (проведение процедуры аттестации ИСПДн для получения Аттестата соответствия)
5) учетом машинных носителей персональных данных; (журнал учета машинных носителей информации)
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; (разработка матрицы доступа пользователей ИСПДн к ресурсам ИСПДн)
 

Следующим шагом будет изучение постановления Правительства №1119, и определить в соответствии с ним определить к какой категории защищенности относится Ваша ИСПДн. Если, например, Ваша ИСПДн относится к первой категории защищенности, то Вам необходимо будет разработать следующие документы (исходя из контекста пунктов постановления):

• п.13 постановления 1119:

"а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;" - на входе в помещения, в которых ведется обработка ПДн - должны быть вывешены списки сотрудников, имеющих право доступа в данные помещения.
"б) обеспечение сохранности носителей персональных данных;" - создание и утверждение перечня мест хранения носителей ПДн.
"в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;" - создение и утверждение списка сотрудников имеющих доступ к ПДн в ИСПДн.

• п.14 постановления 1119:

"...необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе." - то есть создание приказа по организации о назначении ответственного за обеспечение безопасности ПДн, плюс должностная инструкция с конретными функциями и требованиями по обеспечению безопасности ПДн.

• п.15 постановления 1119:

"...необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей." - необходимо 

• п.16 постановления 1119:

"...необходимо выполнение следующих требований:
б) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности." - то есть создание приказа по организации о создении подразделения ответственного за обеспечение безопасности ПДн (так же должны быть соответствующие инструкции для подразделения, которые бы определяли конкретные функции и требования к подразделению в части защиты ПДн).

В случае, если обработка ПДн так же ведется вручную, то Вам необходимо разработать следующие документы (в соответствии с постановлением Правительства №687):

• Список сотрудников допущенных к обработке ПДн без средств автоматизации; (п.6 ч.2 ПП №687, р.13 ч.3 ПП №687)
• Технический паспорт (перечень ОТСС организации, перечень ВТСС организации, перечень используемого ПО, список помещений для хранения и обработки ПДн; список мест хранения ПДн в ИСПДн; список сейфов и других мест хранения Пдн; схема ЛВС; схема ОПС; схема сетей электропитания и заземления): (р.13 ч.3 ПП №687)
• Список помещений для хранения и обработки ПДн; (р.13 ч.3 ПП №687)