В каждой организации — свой перечень
Разработка организационно-распорядительных документов (ОРД) является первым логичным этапом при выстраивании системы защиты персональных данных. Различные нормативные документы (№ 152- ФЗ «О персональных данных», Постановление П-1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановление П-687 «Об особенностях обработки ПДн, осуществляемой без средств автоматизации») устанавливают обязательность наличия тех или иных ОРД.
Не существует универсального фиксированного списка мероприятий и необходимых ОРД. Их перечень может меняться в зависимости от специфики обработки ПДн, организационной структуры и других особенностей каждого отдельно взятого предприятия.
Но при этом есть ряд документов, которые во время проверки в обязательном порядке запрашивают представители контролирующих органов. Этот список мы приведем ниже, наименования документов, конечно, могут отличаться, но смысл должен оставаться.
В соответствии с п. 1 ст. 23 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и п. 1 Положения о Федеральной службе по надзору в сфере связи и массовых коммуникаций, утвержденного Постановлением Правительства РФ от 16.03.2009 № 228, на Роскомнадзор возложено обеспечение контроля и надзора за соответствием обработки персональных данных требованиям закона № 152-ФЗ.
В пакете с ОРД должны присутствовать:
- перечень ПДн (категория, субъекты, основания);
- список должностных лиц, допущенных до ПДн;
- регламент обработки ПДн (цели, условия и принципы обработки, условия прекращения обработки, правовые основания, какие меры обеспечения безопасности приняты);
- положение об организации обработки ПДн (связывает все остальные документы между собой, а также содержит шаблоны основных соглашений (на обработку ПДн и на обязательство о конфиденциальности));
- положение об организации неавтоматизированной обработки ПДн (хранение, уничтожение);
- приказы о назначении и должностные инструкции лиц, ответственных за организацию обработки ПДн в организации и за обеспечение безопасности ПДн в информационной системе;
- приказ о назначении и должностная инструкция администратора ИСПДн;
- приказ об определении границ контролируемой зоны;
- перечень помещений, в которых ведется обработка ПДн;
- порядок доступа в помещения, в которых ведется обработка ПДн (организация и ограничение доступа);
- положение об обеспечении безопасности ПДн;
- регламент проведения внутреннего контроля и (или) аудита соответствия обработки ПДн требованиям к защите ПДн;
- регламент реагирования на инциденты безопасности ПДн;
- правила разграничения доступа;
- инструкция по эксплуатации СКЗИ (хранение, учет и уничтожение информации);
- журнал ознакомления с документами;
- перечень ИСПДн, используемых в организации.
Обратите внимание, что реализовывать меры по защите персональных данных организация должна в любом случае, вне зависимости от того, подавалось уведомление в Роскомнадзор или нет и с помощью каких средств обрабатываются ПДн в организации.
Нередко организации пренебрегают мерами административного и процедурного характера в области защиты ПДн, обрабатываемых без использования средств автоматизации. Неудивительно, что во время проверок представители контролирующих органов выносят большой объем замечаний по этому поводу. А потому мы рекомендуем нашим клиентам, разрабатывая ОРД, принимать во внимание столь важные моменты.
Кроме того, не стоит забывать про необходимость повышения грамотности всех сотрудников в области персональных данных — необязательно заставлять их вычитывать все документы в этой области, но свои обязанности и правила работы с персональными данными они должны знать хорошо.
Помощь в прохождении проверки Роскомнадзора
Олег Нечеухин, эксперт по защите информационных систем, Контур.Безопасность
