Регистрация оператора ИСПДн внутреннего пользования (Организация работы оператора персональных данных)

смотреть видео
Регистрация оператора ИСПДн внутреннего пользования имеет определенный порядок. В разделе представлена пошаговая процедура по организации работы оператора ИСПДн с подробным описанием и полным комплектом документов.
Полезная информация
Описания

Деятельность любой организации неизбежно охватывает, в том числе и обработку персональных данных в информационной системе, действующей в организации. Информационные системы персональных данных (ИСПДн) бывают несколько видов в зависимости от поставленных задач решаемых организацией и сложности ИСПДн:

  • Самая простая ИСПДн обрабатывает персональных данные сотрудников организации.
  • ИСПДн внутреннего пользования задействована в обработке физических лиц носителей ПДн, которые по роду своей деятельности обращаются в организацию, которая их обслуживает. Такая обработка ПДн требует уже регистрации операторской деятельности в Роскомнадзоре.
  • Лицензированная деятельность по обработке ПДн (т.е. наличие лицензии ФСБ на техническую защиту конфиденциальной информации) предоставляет возможность оказывать услуги по обработке субъектов ПДн в ИСПДн сторонних организаций.

Организация защиты персональных данных в любой организации проходит в несколько этапов:

  • Проверка начальных работ по обработке персональных данных, что включает в себя: ревизию локальной нормативной базы, анализ информационных потоков ПДн и ИСПДн в целом, выявляются недостатки и угрозы безопасности информационной системы, а также вносятся предложения по исправлению недостатков, улучшению систем защиты персональных данных и т.п.
  • Разработка нормативной базы по защите ПДн. Данный этап включат в себя классификацию ИСПДн и регистрацию оператора ИСПДн в Роскомнадзоре.
  • Проектирование системы защиты ПДн, включающее в себя выбор способов, мер и классов средств защиты ПДн, разработка технической документации на создание СЗПДн, а также разработку конкретных мероприятий по защите информации в каждой конкретной ИСПДн.
  • Внедрение СЗПДн сводится к вводу в действие систем защиты ПДн и настройке существующих средств защиты ИСПДн.
  • Оценка соответствия ИСПДн, в рамках которой проводятся оценочные испытания ИСПДн и выдается соответствующий Аттестат.

Регистрации оператора ИСПДн внутреннего пользования в Реестре Роскомнадзора является частью общего процесса организации обработки и защиты ПДн. Регистрация оператора ИСПДн включается в себя следующие этапы:

  • Разработать и принять нормативную базу по обработке и защите ПДн.
  • Заполнить форму Уведомления о намерении осуществлять обработку персональных данных на сайте территориального органа Роскомнадзора.
  • После заполнения формы уведомления необходимо ее отправить ее в информационную систему Уполномоченного органа по защите прав субъектов персональных данных.
  • Распечатать заполненную форму с подписями.
  • Направить распечатанную форму уведомления в соответствующий территориальный орган Роскомнадзора по месту регистрации оператора (лично сдать канцелярию или отправить по почте заказным письмом с уведомлением).
Регистрация оператора ИСПДн внутреннего пользования (Организация работы оператора персональных данных)

Регистрация оператора ИСПДн внутреннего пользования

 Порядок действий

1.

 Разработать пакет организационно - распорядительной документации

- Приказ о начале работ по защите персональных данных.

- Приказ о подразделении по защите персональных данных.

- Концепция информационной безопасности.

- Политика информационной безопасности.

- Приказ о проведении проверки ИСПДн.

- Акт о проведении проверки ИСПДн.

- Перечень, обрабатываемых ПДн.

- Положение по обработке и защите ПДн.

- Акт классификации ИСПДн.

- Уведомление Оператора ПДн в Роскомнадзор.

- Модели угроз к ИСПДн.

- План мероприятий по обеспечению безопасности ПДн.

- Порядок организации охраны, пропускного и внутриобъектового режима.

- Инструкция о мерах пожарной безопасности.

- Положение о разграничении прав доступа к обрабатываемым персональным данным.

- Инструкция администратора ИСПДн.

- Инструкция администратора безопасности.

- Инструкция пользователя при работе с ИСПДн.

- Инструкция пользователя по обеспечению безопасности обработки персональных данныx, при возникновении внештатных ситуаций.

- Порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ.

- План внутренних проверок состояния защиты ПДн.

- Журнал учета обращений субъектов ПДн.

- Перечень по учету применяемых средств защиты информации, носителей информации, а также эксплуатационной и технической документации к ним.

- Журнал обращений пользователей информационной системы к ПДн.

- Акт уничтожения съемных носителей.

- Согласие субъекта на обработку ПДн.

2.

Разработать технические меры по защите персональных данных

3.

Ввести в эксплуатацию разработанные технические меры по защите персональных данных

4.

Направить Уведомление о намерении осуществлять обработку в Роскомнадзор  

- Внесение сведений об Операторе в реестр. Осуществляется в течение 15 дней, с даты поступления уведомления

- Размещение информации о  внесении сведений об Операторе в Реестр на сайте Роскомнадзора, не позднее 3 дней, с даты подписания приказа

 

Это все, что необходимо выполнить в рамках процедуры
для условий, указанных вами в опросном листе.
Осталось:
• заполнить и распечатать документы,
• последовательно выполнить инструкцию.

 

 Нормативная документация

- Статья 22 ФЗ № 152-ФЗ от 27.07.2007г. « О персональных данных» (далее по тесту – Закон)

- Статья 19 Закона

- Постановление Правительства РФ от 1 ноября 2012 г. N 1119 " Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

- Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 г. №55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных».

- Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное приказом ФСТЭК России от 5 февраля 2010 г. N 58.

- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК России 14 февраля 2008 г.)

п. 4 - обязательно это нужно делать каждому юр. лицу или ИП, если он предполагает обработку перс данных сотрулников  и клиентов? 
Здравствуйте! Если вы обрабатываете ПДн своих сотрудников или клиентов, то защитить их нужно обязательно. Нужно разработать правильный комплекс локальных нормативных актов, представленных в процедуре, а также обеспечить технические меры, если обработка осуществляется в автоматизированном или частично автоматизированном режиме, и организационные. Исключение касается только подачи уведомления в Роскомнадзор для регистрации в качестве оператора персональных. Все эти исключения прописаны в статье 22 п.2 152-ФЗ. Самые часто встречающиеся исключения - это обработка ПДн сотрудников в рамках трудового законодательства, обработка ПДн клиентов в рамках исполнения договора (например, чтобы поставить товар клиенту нужно знать его адрес, данные паспорта).