Регистрация оператора ИСПДн внутреннего пользования (Организация работы оператора персональных данных)

смотреть видео
Регистрация оператора ИСПДн внутреннего пользования имеет определенный порядок. В разделе представлена пошаговая процедура по организации работы оператора ИСПДн с подробным описанием и полным комплектом документов.
Полезная информация
Описания
>>
Регистрация оператора ИСПДн внутреннего пользования (Организация работы оператора персональных данных)

Деятельность любой организации неизбежно охватывает, в том числе и обработку персональных данных в информационной системе, действующей в организации. Информационные системы персональных данных (ИСПДн) бывают несколько видов в зависимости от поставленных задач решаемых организацией и сложности ИСПДн:

  • Самая простая ИСПДн обрабатывает персональных данные сотрудников организации.
  • ИСПДн внутреннего пользования задействована в обработке физических лиц носителей ПДн, которые по роду своей деятельности обращаются в организацию, которая их обслуживает. Такая обработка ПДн требует уже регистрации операторской деятельности в Роскомнадзоре.
  • Лицензированная деятельность по обработке ПДн (т.е. наличие лицензии ФСБ на техническую защиту конфиденциальной информации) предоставляет возможность оказывать услуги по обработке субъектов ПДн в ИСПДн сторонних организаций.

Организация защиты персональных данных в любой организации проходит в несколько этапов:

  • Проверка начальных работ по обработке персональных данных, что включает в себя: ревизию локальной нормативной базы, анализ информационных потоков ПДн и ИСПДн в целом, выявляются недостатки и угрозы безопасности информационной системы, а также вносятся предложения по исправлению недостатков, улучшению систем защиты персональных данных и т.п.
  • Разработка нормативной базы по защите ПДн. Данный этап включат в себя классификацию ИСПДн и регистрацию оператора ИСПДн в Роскомнадзоре.
  • Проектирование системы защиты ПДн, включающее в себя выбор способов, мер и классов средств защиты ПДн, разработка технической документации на создание СЗПДн, а также разработку конкретных мероприятий по защите информации в каждой конкретной ИСПДн.
  • Внедрение СЗПДн сводится к вводу в действие систем защиты ПДн и настройке существующих средств защиты ИСПДн.
  • Оценка соответствия ИСПДн, в рамках которой проводятся оценочные испытания ИСПДн и выдается соответствующий Аттестат.

Регистрации оператора ИСПДн внутреннего пользования в Реестре Роскомнадзора является частью общего процесса организации обработки и защиты ПДн. Регистрация оператора ИСПДн включается в себя следующие этапы:

  • Разработать и принять нормативную базу по обработке и защите ПДн.
  • Заполнить форму Уведомления о намерении осуществлять обработку персональных данных на сайте территориального органа Роскомнадзора.
  • После заполнения формы уведомления необходимо ее отправить ее в информационную систему Уполномоченного органа по защите прав субъектов персональных данных.
  • Распечатать заполненную форму с подписями.
  • Направить распечатанную форму уведомления в соответствующий территориальный орган Роскомнадзора по месту регистрации оператора (лично сдать канцелярию или отправить по почте заказным письмом с уведомлением).
Регистрация оператора ИСПДн внутреннего пользования (Организация работы оператора персональных данных)

Регистрация оператора ИСПДн внутреннего пользования

 Порядок действий

1.

 Разработать пакет организационно - распорядительной документации

- Приказ о начале работ по защите персональных данных.

- Приказ о подразделении по защите персональных данных.

- Концепция информационной безопасности.

- Политика информационной безопасности.

- Приказ о проведении проверки ИСПДн.

- Акт о проведении проверки ИСПДн.

- Перечень, обрабатываемых ПДн.

- Положение по обработке и защите ПДн.

- Акт классификации ИСПДн.

- Уведомление Оператора ПДн в Роскомнадзор.

- Модели угроз к ИСПДн.

- План мероприятий по обеспечению безопасности ПДн.

- Порядок организации охраны, пропускного и внутриобъектового режима.

- Инструкция о мерах пожарной безопасности.

- Положение о разграничении прав доступа к обрабатываемым персональным данным.

- Инструкция администратора ИСПДн.

- Инструкция администратора безопасности.

- Инструкция пользователя при работе с ИСПДн.

- Инструкция пользователя по обеспечению безопасности обработки персональных данныx, при возникновении внештатных ситуаций.

- Порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ.

- План внутренних проверок состояния защиты ПДн.

- Журнал учета обращений субъектов ПДн.

- Перечень по учету применяемых средств защиты информации, носителей информации, а также эксплуатационной и технической документации к ним.

- Журнал обращений пользователей информационной системы к ПДн.

- Акт уничтожения съемных носителей.

- Согласие субъекта на обработку ПДн.

2.

Разработать технические меры по защите персональных данных

3.

Ввести в эксплуатацию разработанные технические меры по защите персональных данных

4.

Направить Уведомление о намерении осуществлять обработку в Роскомнадзор  

- Внесение сведений об Операторе в реестр. Осуществляется в течение 15 дней, с даты поступления уведомления

- Размещение информации о  внесении сведений об Операторе в Реестр на сайте Роскомнадзора, не позднее 3 дней, с даты подписания приказа

 

Это все, что необходимо выполнить в рамках процедуры
для условий, указанных вами в опросном листе.
Осталось:
• заполнить и распечатать документы,
• последовательно выполнить инструкцию.

 

 Нормативная документация

- Статья 22 ФЗ № 152-ФЗ от 27.07.2007г. « О персональных данных» (далее по тесту – Закон)

- Статья 19 Закона

- Постановление Правительства РФ от 1 ноября 2012 г. N 1119 " Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

- Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 г. №55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных».

- Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное приказом ФСТЭК России от 5 февраля 2010 г. N 58.

- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК России 14 февраля 2008 г.)

п. 4 - обязательно это нужно делать каждому юр. лицу или ИП, если он предполагает обработку перс данных сотрулников  и клиентов? 
мы компания, которая создала и обсуживает систему где присутствуют персональные данные клиентов заказчика, набор этих документов нам не подходит, больше подходит когда работадатель данные сотрудников своих обрабатывает, но то же не совсем.
Здравствуйте! есть несколько вопросов по настройке шаблонов. 1) Скажите пожалуйста, как настроить шаблоны системы ИСПДн, чтобы классифицировать систему под актуальные угрозы 1 типа и необходимость обеспечения 1-го уровня защищенности. Будут ли в этом случае, предлагаемые шаблоны согласованы между собой?  2.) Возможно ли предзаполнение всех документов системы (28 документов) первоначально вводимыми данными (наименование юр. лица, категории персональных данных), или требуется их вводить каждый раз при заполнении отдельного документа системы?
Уточните, пожалуйста, какой минимально возможный уровень защищенности ПДн можно оформить на базе Ваших шаблонов?  (мы заинтересованы в минимизации расходов на систему. обрабатываться будут ПДн работников и контрагентов. Специальные категории ПДн и биометрические данные не обрабатываем)
Здравствуйте! Мы заинтересованы использовать механизм ведения и учёта заданий в рамках трудовых обязанностей своих работников, путём регистрации учётной записи (личного кабинета) с именем работника (имя пользователя) и предоставления уникальных идентификатора (логина) и пароля к данной записи, как рекомендуется в Вашем шаблоне «Регламент интеллектуальной собственности», п. 6.2. При этом, в п. 6.4 упомянутого Регламента интеллектуальной собственности указывается, что все адреса корпоративной электронной почты и все логины или имена пользователей в Программных инструментах указываются в особом внутреннем документе, утверждаемом Генеральным директором Общества, который обновляется и доводится до сведения всех сотрудников Общества по мере необходимости, т.е. данные раскрываются другим лицам. Просим разъяснить следующие вопросы: 1.) относятся ли к персональным данным (и если да, то к какой категории), данные учётной записи (личного кабинета) с именем работника (именем пользователя) и уникального идентификатора (логина) и пароля работника во внутренней системе Оператора, адрес электронной почты работника во внутренней системе Оператора? 2.) если такие данные относятся к персональным данным, то будут ли особенности использования их в Ваших шаблонах по ИСПДн (не повлечет ли это необходимости приобретения криптографических средств защиты и  т.п.)?
Здравствуйте! Если вы обрабатываете ПДн своих сотрудников или клиентов, то защитить их нужно обязательно. Нужно разработать правильный комплекс локальных нормативных актов, представленных в процедуре, а также обеспечить технические меры, если обработка осуществляется в автоматизированном или частично автоматизированном режиме, и организационные. Исключение касается только подачи уведомления в Роскомнадзор для регистрации в качестве оператора персональных. Все эти исключения прописаны в статье 22 п.2 152-ФЗ. Самые часто встречающиеся исключения - это обработка ПДн сотрудников в рамках трудового законодательства, обработка ПДн клиентов в рамках исполнения договора (например, чтобы поставить товар клиенту нужно знать его адрес, данные паспорта). 
Здравствуйте! Согласно п. 2 ст. 3 Закона № 152-ФЗ, под оператором персональных данных понимается, в частности, юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных. Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона № 152-ФЗ).Таким образом, если при выполнении Вами работ по обслуживанию сайта Вы осуществляете какое-либо одно или совокупность действий перечисленных выше, - согласно закону Вы являетесь оператором персональных данных, со всеми вытекающими отсюда обязанностями. Закон не делает исключений для тех операторов, которые не осуществляли сбор ПДн непосредственно от субъектов, а получили ПДн от другого оператора. Оператор – тот, кто осуществляет обработку, т.е. любое лицо, осуществляющее хотя бы одно из указанных в ст. 3 ФЗ № 152 действий с ПДн. И в таком случае рекомендуем придерживаться процедуры: http://www.freshdoc.ru/zashita_personalnyh_dannyh/procedury/registracija_operatora_ispdn_vnutrennego_polzovanija/.Благодарим Вас за использование сервиса!
Здравствуйте! Вам необходимо ответить на вопросы опросного листа в левой части страницы – пакет необходимых документов сформируется автоматически. Если введенное в каком-либо документе значение – идентично для другого документа в общем пакете, то оно автоматически заполниться в этом документе. Шаблоны документов подойдут для обеспечения 1-го уровня защищенности ПД. Обращаем Ваше внимание на то, что помимо разработки документации, необходимо также разработать и внедрить технические меры защиты. Состав и содержание таких «базовых» мер определен в приказе ФСТЭК № 21 от 18 февраля 2013 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».Благодарим за использование нашего сервиса!
см. ответ ниже
Здравствуйте!Персональными данными является любая информации, позволяющая безошибочно идентифицировать физическое лицо (по смыслу ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных"). В данном случае, отдельно взятые адреса корпоративной электронной почты и логины или имена пользователей являются персональными данными работников, которые необходимы работодателю в связи с трудовыми отношениями, что само по себе не влечет за собой особенностей применения специального режима защиты (с учетом соблюдений требований, установленных главой 14 ТК РФ). Рекомендуем Вам ознакомиться с процедурой, расположенной по ссылке: http://www.freshdoc.ru/zashita_personalnyh_dannyh/procedury/organizacija_obrabotki_i_zashity_informacii_pd/. Благодарим за использование нашего сервиса!