Регистрация оператора ИСПДн внутреннего пользования (Организация работы оператора персональных данных)

смотреть видео
Регистрация оператора ИСПДн внутреннего пользования имеет определенный порядок. В разделе представлена пошаговая процедура по организации работы оператора ИСПДн с подробным описанием и полным комплектом документов.
Полезная информация
Описания

Деятельность любой организации неизбежно охватывает, в том числе и обработку персональных данных в информационной системе, действующей в организации. Информационные системы персональных данных (ИСПДн) бывают несколько видов в зависимости от поставленных задач решаемых организацией и сложности ИСПДн:

  • Самая простая ИСПДн обрабатывает персональных данные сотрудников организации.
  • ИСПДн внутреннего пользования задействована в обработке физических лиц носителей ПДн, которые по роду своей деятельности обращаются в организацию, которая их обслуживает. Такая обработка ПДн требует уже регистрации операторской деятельности в Роскомнадзоре.
  • Лицензированная деятельность по обработке ПДн (т.е. наличие лицензии ФСБ на техническую защиту конфиденциальной информации) предоставляет возможность оказывать услуги по обработке субъектов ПДн в ИСПДн сторонних организаций.

Организация защиты персональных данных в любой организации проходит в несколько этапов:

  • Проверка начальных работ по обработке персональных данных, что включает в себя: ревизию локальной нормативной базы, анализ информационных потоков ПДн и ИСПДн в целом, выявляются недостатки и угрозы безопасности информационной системы, а также вносятся предложения по исправлению недостатков, улучшению систем защиты персональных данных и т.п.
  • Разработка нормативной базы по защите ПДн. Данный этап включат в себя классификацию ИСПДн и регистрацию оператора ИСПДн в Роскомнадзоре.
  • Проектирование системы защиты ПДн, включающее в себя выбор способов, мер и классов средств защиты ПДн, разработка технической документации на создание СЗПДн, а также разработку конкретных мероприятий по защите информации в каждой конкретной ИСПДн.
  • Внедрение СЗПДн сводится к вводу в действие систем защиты ПДн и настройке существующих средств защиты ИСПДн.
  • Оценка соответствия ИСПДн, в рамках которой проводятся оценочные испытания ИСПДн и выдается соответствующий Аттестат.

Регистрации оператора ИСПДн внутреннего пользования в Реестре Роскомнадзора является частью общего процесса организации обработки и защиты ПДн. Регистрация оператора ИСПДн включается в себя следующие этапы:

  • Разработать и принять нормативную базу по обработке и защите ПДн.
  • Заполнить форму Уведомления о намерении осуществлять обработку персональных данных на сайте территориального органа Роскомнадзора.
  • После заполнения формы уведомления необходимо ее отправить ее в информационную систему Уполномоченного органа по защите прав субъектов персональных данных.
  • Распечатать заполненную форму с подписями.
  • Направить распечатанную форму уведомления в соответствующий территориальный орган Роскомнадзора по месту регистрации оператора (лично сдать канцелярию или отправить по почте заказным письмом с уведомлением).
Регистрация оператора ИСПДн внутреннего пользования (Организация работы оператора персональных данных)

Регистрация оператора ИСПДн внутреннего пользования

 Порядок действий

1.

 Разработать пакет организационно - распорядительной документации

- Приказ о начале работ по защите персональных данных.

- Приказ о подразделении по защите персональных данных.

- Концепция информационной безопасности.

- Политика информационной безопасности.

- Приказ о проведении проверки ИСПДн.

- Акт о проведении проверки ИСПДн.

- Перечень, обрабатываемых ПДн.

- Положение по обработке и защите ПДн.

- Акт классификации ИСПДн.

- Уведомление Оператора ПДн в Роскомнадзор.

- Модели угроз к ИСПДн.

- План мероприятий по обеспечению безопасности ПДн.

- Порядок организации охраны, пропускного и внутриобъектового режима.

- Инструкция о мерах пожарной безопасности.

- Положение о разграничении прав доступа к обрабатываемым персональным данным.

- Инструкция администратора ИСПДн.

- Инструкция администратора безопасности.

- Инструкция пользователя при работе с ИСПДн.

- Инструкция пользователя по обеспечению безопасности обработки персональных данныx, при возникновении внештатных ситуаций.

- Порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ.

- План внутренних проверок состояния защиты ПДн.

- Журнал учета обращений субъектов ПДн.

- Перечень по учету применяемых средств защиты информации, носителей информации, а также эксплуатационной и технической документации к ним.

- Журнал обращений пользователей информационной системы к ПДн.

- Акт уничтожения съемных носителей.

- Согласие субъекта на обработку ПДн.

2.

Разработать технические меры по защите персональных данных

3.

Ввести в эксплуатацию разработанные технические меры по защите персональных данных

4.

Направить Уведомление о намерении осуществлять обработку в Роскомнадзор  

- Внесение сведений об Операторе в реестр. Осуществляется в течение 15 дней, с даты поступления уведомления

- Размещение информации о  внесении сведений об Операторе в Реестр на сайте Роскомнадзора, не позднее 3 дней, с даты подписания приказа

 

Это все, что необходимо выполнить в рамках процедуры
для условий, указанных вами в опросном листе.
Осталось:
• заполнить и распечатать документы,
• последовательно выполнить инструкцию.

 

 Нормативная документация

- Статья 22 ФЗ № 152-ФЗ от 27.07.2007г. « О персональных данных» (далее по тесту – Закон)

- Статья 19 Закона

- Постановление Правительства РФ от 1 ноября 2012 г. N 1119 " Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

- Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 г. №55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных».

- Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное приказом ФСТЭК России от 5 февраля 2010 г. N 58.

- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК России 14 февраля 2008 г.)

п. 4 - обязательно это нужно делать каждому юр. лицу или ИП, если он предполагает обработку перс данных сотрулников  и клиентов? 
мы компания, которая создала и обсуживает систему где присутствуют персональные данные клиентов заказчика, набор этих документов нам не подходит, больше подходит когда работадатель данные сотрудников своих обрабатывает, но то же не совсем.
Здравствуйте! Если вы обрабатываете ПДн своих сотрудников или клиентов, то защитить их нужно обязательно. Нужно разработать правильный комплекс локальных нормативных актов, представленных в процедуре, а также обеспечить технические меры, если обработка осуществляется в автоматизированном или частично автоматизированном режиме, и организационные. Исключение касается только подачи уведомления в Роскомнадзор для регистрации в качестве оператора персональных. Все эти исключения прописаны в статье 22 п.2 152-ФЗ. Самые часто встречающиеся исключения - это обработка ПДн сотрудников в рамках трудового законодательства, обработка ПДн клиентов в рамках исполнения договора (например, чтобы поставить товар клиенту нужно знать его адрес, данные паспорта). 
Здравствуйте! Согласно п. 2 ст. 3 Закона № 152-ФЗ, под оператором персональных данных понимается, в частности, юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных. Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона № 152-ФЗ).Таким образом, если при выполнении Вами работ по обслуживанию сайта Вы осуществляете какое-либо одно или совокупность действий перечисленных выше, - согласно закону Вы являетесь оператором персональных данных, со всеми вытекающими отсюда обязанностями. Закон не делает исключений для тех операторов, которые не осуществляли сбор ПДн непосредственно от субъектов, а получили ПДн от другого оператора. Оператор – тот, кто осуществляет обработку, т.е. любое лицо, осуществляющее хотя бы одно из указанных в ст. 3 ФЗ № 152 действий с ПДн. И в таком случае рекомендуем придерживаться процедуры: http://www.freshdoc.ru/zashita_personalnyh_dannyh/procedury/registracija_operatora_ispdn_vnutrennego_polzovanija/.Благодарим Вас за использование сервиса!