Разработка комплекта документов по персональным данным

В нем следует указать, что он разработан согласно закону «О персональных данных». Все виды категорий можно выполнить в виде таблицы.

• Инструкция администратора по безопасности. Назначается приказом руководителя. В документе следует перечислить должностные обязанности.
• Список помещений, где проводится обработка ПД.
• Приказ об утверждении мест хранения ПД.
• Проект информационной системы ЗПД.
• Инструкция пользователей системы ПД. Определяет обязанности тех, кто ведет работу с ПД.
• Порядок восстановления и резервирования работы программного обеспечения, технических средств, средств защиты информации и баз данных.
• Приказ по уничтожению ПД специальной комиссией.

И вот почему — если цель стоит написать качественную документацию, то ее придется писать руками с учетом всех особенностей как бизнес-процессов организации, так и особенностей IT-платформы, на которой построена информационная система персональных данных. У меня на работе, как правило, именно такая задача, а кому нужно «отмазаться от проверки» мы даем приведенный ниже комплект шаблонов. Бесплатно. Но здесь нужно помнить, что регуляторы тоже не стоят на месте и пройти проверку с набором шаблонных, не адаптированных документов семилетней давности становится все сложнее и сложнее.

Поясню, почему при разработке полноценного и полезного комплекта документов «заполняторы» шаблонов не помогут.
Возьмем, например, важный и полезный документ «Инструкция администратора безопасности». Конечно, когда документ делается для галочки, в нем пишется много воды и совсем немного конкретики.

Разработка комплекта документов по персональным данным

• кем используется система;
• режим и объем обрабатываемой информации;
• тип и структуру системы;
• расположение технических средств;
• подключение к другим сетям связи.

• Правила обработки без применения автоматизированных средств.
• Инструкция по организации защиты пароля и антивирусного контроля.
• Форма акта по утилизации документов, содержащих личную информацию.
• Журнал тестирования средств информационной защиты.
• Журнал по проведению инструктажа по безопасности системы.
• Журнал учета технических средств защиты информации.
• Приказ о списке сотрудников, допущенных к обработке конфиденциальной информации.
• Инструкция при возникновении внештатных ситуаций по обеспечению безопасности.
• Соглашение о неразглашении с перечислением всех сведений, которые не подлежат разглашению.

Разработка комплекта документов по персональным данным в школе

Тут, видимо, речь идет о законопроекте № 683952-6, который предусматривает расширение статьи 13.11 КоАП и действительно увеличивает максимальный штраф до 300 000 рублей, но законопроект как прошел первое чтение осенью прошлого года, так и подвис. И будет ли принят окончательно — неизвестно. Вывод: авторы сайта либо не в курсе ситуации, либо намеренно пытаются эксплуатировать чувство страха перед огромными штрафами, что тоже не есть хорошо.

Второй пример: другой сервис торжественно обещает успешное прохождение любой проверки любых контролирующих органов в сфере защиты персональных данных с их документами. Во-первых, сервис не генерирует такой важный документ как «Модель угроз», который требует показать даже Роскомнадзор и без его наличия успешно не пройти даже документарную проверку.
Во-вторых, ФСТЭК и ФСБ проверяют далеко не только бумажки.

Разработка комплекта документов по персональным данным работника

Как только начинаются вопросы, связанные с бизнес-процессами или особенностями IT-инфраструктуры, начинаются проблемы.

Проблема № 3. Сомнительное качество самих документов

Отчасти проблема перекликается с предыдущей, но если в проблеме №2 речь больше шла об особенностях автоматизированного заполнения, то тут речь о том тексте шаблонов, который не подвергается изменению. Накосячить умудряются в самых простых инструкциях.

Пример.
Обычно в информационной системе назначается два ответственных по защите персональных данных — ответственный за организацию персональных данных (больше по орг вопросам) и администратор безопасности информации (по техническим вопросам — настройка средств защиты и т.д.). Соответственно сокращаются эти роли обычно как — «Ответственный» и «Администратор».

ИСПДн Инструкция по внесению изменений в ИСПДн Инструкция по организации антивирусной защиты в ИСПДн Инструкция по организации парольной защиты Инструкция по резервному копированию и восстановлению персональных данных Инструкция пользователю ИСПДн Инструкция по использованию ресурсов сети Интернет Порядок взаимодействия с субъектами персональных данных и контролирующими органами по вопросам обработки персональных данных План внутренних проверок состояния защиты персональных данных Порядок повышения осведомлённости работников Журнал регистрации входящих запросов и обращений субъектов Журнал инструктажа пользователей и обслуживающего персонала Журнал учета мероприятий по защите информации

БОНУС: Книга «Федеральный закон «О персональных данных»: научно-практический комментарий».

Под редакцией заместителя руководителя Роскомнадзора А.А.

В-третьих, я уже писал в своей старой статье о том, что в некоторых регионах (не во всех) действует палочная система и успешно пройти проверку не представляется возможным, как бы качественно мы к ней ни готовились.

Проблема № 2. Отсутствие индивидуализации

Само собой, практически все сервисы по подготовке комплекта документов вам расскажут о гибкой персонализации комплекта документов сугубо под вас, но это утверждение вполне можно было бы привести как третий пример проблемы № 1.

Честно говоря, в свое время сам написал на Java подобный «заполнятор» шаблонов, но в работе как-то не прижилось, максимум что можно сделать это автоматом вписать название организации и прочие часто повторяющиеся вещи в документах.

ПЯx▐$Ф <�Т▌─ эю░√│∙`-(аN╟ЛGIУp°Гю%p эwаОЮ ╗F╡╬┘6п├Qp(GцЯ0фцI0й` L┤ЫpэKЮ$Кx└ЕПWX+Аx ^│©ашП|÷аП ╛┘`lбИ?м▐wб╩ЮщПНх╤╝╦7÷┬С©╠p/`HЮ ч┐╟╛[email protected]ь6┐2╟Gя┌p °аUpэюcP^╒о{da{ ┤юX8 ▌┐\(─B(├⌠║╕аЮzX╥бМ╟Н├ШЕx·└gЮyp}_┤╥Ю=Ь┘оАkЬжаOПУ6q]╪╡pWп7гE╦Н▀Oюyxб?сб▄^ь@Ю°─p*░╡яB;,аR╟╛К@!ь╤─╟ Л╩юpгюIp°≈аupэаSП}^┐Пт│zП |╕УР┘Ч0а ц`8▄├цЮ8N─<�≤⌠═йa*° gюLЬ#° gа9p°sА»╦.┐?а∙p5\С`э▀Аоp’Ры^d┤CП(<�┤sq╡рз╚Ж©f┌аL0ЫwРП▓V.[ао`{╩╬~ч─╥(в~AmХю@бAЪсaTа,≤ gц╧0.─Аb╦.┤+Ю*╦╝ШЪб┴aR,4ЖИ┘[Ц}pэwю²pwAРDРцЮ│ЪШ▒Э▓Ч█Hba:4▓&╙LQИ╤;└²д.b╥╟гьk╛²М┼УюЗ`≤Ф┴*█`l0┐j─╡ЧsУ7чЭ│jЬ─з,П╣ЁAjЮS0&ТгсQ─OCm╣╬tU`┌ЬZcv┴╧c═▌ФPOsЬDsЬLsHё9L╔9Э@s≤[email protected]У²╒═{3Zz-╫л√·╙╔ВcK/╚╔7SссE∙бь┬VZs ZutpЙm1-╣┘0oЗг:`FхRт;H╗Нc2ъ┌Pт╬┐P[бPШFМ╗Зc2К╗Xe~пTNЙ*M÷╝ц02k─╙КQeв\Ui╙:S╙5R═╕сI∙i:╝c≈=(Ш┐C▀≥╞2MB╖≤╩╘▐k╚╞0!дх┴╦╝=н`1TL+(C:╢:c^ь#цС║?яТSE Щд┐z~БG}H╒-?Vг╖C7-ж╜╙u5лКа╒<_et┬T1╘╫≥w©Л≥ёe╬q°|┌Я╦;КI┐9╘ВEилuЛ·╓bY╨]╨х└ц└ иG╕■+┬(│┌зaw#█)╫.
Что требует закон?

Закон вступил в силу 7 июня 2006 г. и требует, чтобы каждый оператор разработал пакет организационно-распорядительной документации (ОРД) по обработке и защите персональных данных. О чем конкретно должна быть документация, сказано в статьях 18.1 и 19 закона.

Вроде все просто: открываем статьи 18.1 и 19 закона, читаем, что там написано, и пишем необходимую документацию применительно к нашей организации, конечно, не забывая перед этим прочитать весь закон целиком. При таком подходе, как показывает практика, операторы разрабатывают 3-5 документов, считая, что они выполнили требования закона и, проверка Роскомнадзора им не страшна.

Однако в жизни не все так просто.

За это время пар немного выпустился и сейчас я постараюсь спокойно объяснить почему такие сервисы не обеспечат надлежащее качество внутренней документации по защите персональных данных, расскажу о других проблемах таких порталов и в конце дам ссылку на некоторую сборную солянку тех же самых документов.

Проблема №1. Введение клиента в заблуждение Вранье

Тут, наверное, сразу стоит начать с примеров.

На одном из сайтов на первой же странице написано, что максимальный штраф за нарушение правил обработки персональных данных — 300 000 рублей. Это неправда. На данный момент статья КоАП РФ 13.11 предусматривает максимальный штраф для юридических лиц — 10 тысяч рублей.