Документы по защите персональных данных

Персональные данные граждан (ПДн) требуют обеспечения их защиты, соблюдения целостности и конфиденциальности. Правила и требования работы с ними регламентирует 152 ФЗ от 27.07.2006 г. Основная часть работы по защите ПДн ложится на оператора. Важной составляющей обеспечения безопасности информации является разработка и внедрение организационно-распорядительной документации по защите персональных данных. Перечень разнообразен и включает порядка 20-ти видов. Исполнение требований, указанных в документации, поможет оператору минимизировать риски утечки персональных данных и штрафов со стороны регулирующих органов.

Документы по защите персональных данных: подробный перечень

При прохождении регулярных проверок оператора со стороны контролирующих органов требуется предоставить следующие виды документации, связанные с защитой ПДн:

1. Положение о защите ПДн. Содержит перечень основополагающих законодательных положений, описывает виды ПДн, обозначает условия хранения, их обработку. Устанавливает доступ к ПДн для работников организации, содержит описание методов информационной защиты, указывает наказание за неисполнение законодательства.

2. Соглашение с персоналом о неразглашении конфиденциальных данных. Дает представление о правовом режиме работы с ПДн, подкреплено подписями участвующих лиц.

3. Приказ о допуске к ПДн. Утверждает список работников, которые обладают правом вести обработку ПДн. Регламентирует порядок доступа в помещения, где хранятся ПДн. Поясняет, какими нормативными, методическими документами должны руководствоваться сотрудники при выполнении должностных обязанностей.

4. Инструкция по защите ПДн. Обозначает порядок и перечень мероприятий, направленных на защиту персональной информации, обязанности персонала.

5. Инструкции персонала по антивирусной защите и сохранению безопасности пароля. Содержат указания, алгоритмы обеспечения антивирусной защиты, конфиденциальности пароля при работе в информационной системе оператора.

6. Инструкции по форс-мажорным ситуациям. Содержат порядок действий и приоритеты при возникновении опасности раскрытия конфиденциальности сведений.

7. Уведомление о начале проведения обработки ПДн. Направляется в адрес Роскомнадзора оператором. Указывает, с какой целью осуществляется обработка ПДн, род деятельности оператора, основания для осуществления обработки информации.

8. Приказ о назначении сотрудников, ответственных за проведение защиты ПДн. Содержит перечень должностных обязанностей, виды ответственности назначенного лица по поддержанию безопасности персональных данных в ходе обработки.

9. Список помещений, пригодных для работы с ПДн. Отражает список разрешенных площадок, которые соответствуют техническим условиям организации защиты при работе с ПДн.

10. Приказ о создании мест для хранения ПДн. Определяет, где и как будут храниться носители информации, кто ответственен за их сохранность. Распространяется как на физические, так и цифровые носители данных.

11. Документ о порядке создания резервных копий информации. Устанавливает, в каком объеме, как и с какой регулярностью должны создаваться бэкапы в отношении конфиденциальной информации, способы резервирования, восстановления информации при аварийных ситуациях и происшествиях.

12. Приказ об уничтожении ПДн. Распространяется на информацию, утратившую свою актуальность в ходе исполнения целей обработки. Указывает, как и когда следует уничтожить сведения персонального характера.

13. Заключение о старте работы информационной системы. Содержит экспертную оценку от специалиста информационной безопасности и подтверждает факт использования сертифицированных систем по защите информации.

14. План проведения регулярных контрольно-проверочных мероприятий по защите ПДн. Представлен в виде регулярно обновляемой таблицы, куда заносятся результаты проверок, замечания, рекомендации, касающиеся обеспечения безопасности ПДн.

15. Журнал учета информационных носителей. Содержит полный перечень физических накопителей информации, которые использует в своей деятельности оператор.

16. Журнал обращений субъектов ПДн. Представляет собой БД, где фиксируются случаи использования персональной информации о физических лицах.

17. Журнал о тестировании СЗИ. Содержит события, заметки тестировщика, указывающие на эффективность и проблемы в работы СЗИ.

18. Положение о классификации системы. Детально описывает имеющиеся категории ПДн, уровни доступа к ним, сотрудников, занимающихся обработкой, сведения об инфраструктуре рабочей сети, оборудовании, устройствах обработки.

19. Положение о защите ПДн от несанкционированного доступа. Указывает перечень полномочий, область ответственности, наказание за нарушение оператором его обязанностей.

20. Правила ручной обработки информации. Описывают порядок работы, требования к бумажной документации, содержащей ПДн.

Роскомнадзор вправе запросить у оператора ПДн перечень документации, служащей для защиты персональных данных, чтобы убедиться в исполнении законодательства и эффективности принятых мер по защите информации. Для предотвращения инцидентов безопасности, мониторинга внутренних нарушителей оператор может использовать дополнительные средства обеспечения информационной безопасности. Например, DLP-cистемы, такие как Solar Dozor. DLP-системы доказали свою состоятельность в вопросах защиты персональных данных, поэтому все чаще становятся одной из обязательных защитных мер в компаниях, которые обрабатывают и хранят конфиденциальную информацию.