В каждой организации — свой перечень

Разработка организационно-распорядительных документов (ОРД) является первым логичным этапом при выстраивании системы защиты персональных данных. Различные нормативные документы (№ 152- ФЗ «О персональных данных», Постановление П-1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановление П-687 «Об особенностях обработки ПДн, осуществляемой без средств автоматизации») устанавливают обязательность наличия тех или иных ОРД.

Не существует универсального фиксированного списка мероприятий и необходимых ОРД. Их перечень может меняться в зависимости от специфики обработки ПДн, организационной структуры и других особенностей каждого отдельно взятого предприятия.

Но при этом есть ряд документов, которые во время проверки в обязательном порядке запрашивают представители контролирующих органов. Этот список мы приведем ниже, наименования документов, конечно, могут отличаться, но смысл должен оставаться.

В соответствии с п. 1 ст. 23 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и п. 1 Положения о Федеральной службе по надзору в сфере связи и массовых коммуникаций, утвержденного Постановлением Правительства РФ от 16.03.2009 № 228, на Роскомнадзор возложено обеспечение контроля и надзора за соответствием обработки персональных данных требованиям закона № 152-ФЗ.

В пакете с ОРД должны присутствовать:

• перечень ПДн (категория, субъекты, основания);
• список должностных лиц, допущенных до ПДн;
• регламент обработки ПДн (цели, условия и принципы обработки, условия прекращения обработки, правовые основания, какие меры обеспечения безопасности приняты);
• положение об организации обработки ПДн (связывает все остальные документы между собой, а также содержит шаблоны основных соглашений (на обработку ПДн и на обязательство о конфиденциальности));
• положение об организации неавтоматизированной обработки ПДн (хранение, уничтожение);
• приказы о назначении и должностные инструкции лиц, ответственных за организацию обработки ПДн в организации и за обеспечение безопасности ПДн в информационной системе;
• приказ о назначении и должностная инструкция администратора ИСПДн;
• приказ об определении границ контролируемой зоны;
• перечень помещений, в которых ведется обработка ПДн;
• порядок доступа в помещения, в которых ведется обработка ПДн (организация и ограничение доступа);
• положение об обеспечении безопасности ПДн;
• регламент проведения внутреннего контроля и (или) аудита соответствия обработки ПДн требованиям к защите ПДн;
• регламент реагирования на инциденты безопасности ПДн;
• правила разграничения доступа;
• инструкция по эксплуатации СКЗИ (хранение, учет и уничтожение информации);
• журнал ознакомления с документами;
• перечень ИСПДн, используемых в организации.

Обратите внимание, что реализовывать меры по защите персональных данных организация должна в любом случае, вне зависимости от того, подавалось уведомление в Роскомнадзор или нет и с помощью каких средств обрабатываются ПДн в организации.

Нередко организации пренебрегают мерами административного и процедурного характера в области защиты ПДн, обрабатываемых без использования средств автоматизации. Неудивительно, что во время проверок представители контролирующих органов выносят большой объем замечаний по этому поводу. А потому мы рекомендуем нашим клиентам, разрабатывая ОРД, принимать во внимание столь важные моменты.

Кроме того, не стоит забывать про необходимость повышения грамотности всех сотрудников в области персональных данных — необязательно заставлять их вычитывать все документы в этой области, но свои обязанности и правила работы с персональными данными они должны знать хорошо.

Помощь в прохождении проверки Роскомнадзора

Узнать больше

Олег Нечеухин, эксперт по защите информационных систем, Контур.Безопасность