Готовимся к проверке: какие документы проверяет Роскомнадзор?

1 сентября 2015

Организационные меры защиты персональных данных включают в себя разработку организационно-распорядительных документов, а также реализацию мероприятий по защите ПДн. 

В каждой организации — свой перечень

Разработка организационно-распорядительных документов (ОРД) является первым логичным этапом при выстраивании системы защиты персональных данных. Различные нормативные документы (№ 152- ФЗ «О персональных данных», Постановление П-1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановление П-687 «Об особенностях обработки ПДн, осуществляемой без средств автоматизации») устанавливают обязательность наличия тех или иных ОРД.

Не существует универсального фиксированного списка мероприятий и необходимых ОРД. Их перечень может меняться в зависимости от специфики обработки ПДн, организационной структуры и других особенностей каждого отдельно взятого предприятия.

Но при этом есть ряд документов, которые во время проверки в обязательном порядке запрашивают представители контролирующих органов. Этот список мы приведем ниже, наименования документов, конечно, могут отличаться, но смысл должен оставаться.

В соответствии с п. 1 ст. 23 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и п. 1 Положения о Федеральной службе по надзору в сфере связи и массовых коммуникаций, утвержденного Постановлением Правительства РФ от 16.03.2009 № 228, на Роскомнадзор возложено обеспечение контроля и надзора за соответствием обработки персональных данных требованиям закона № 152-ФЗ.

В пакете с ОРД должны присутствовать:

  • перечень ПДн (категория, субъекты, основания);
  • список должностных лиц, допущенных до ПДн;
  • регламент обработки ПДн (цели, условия и принципы обработки, условия прекращения обработки, правовые основания, какие меры обеспечения безопасности приняты);
  • положение об организации обработки ПДн (связывает все остальные документы между собой, а также содержит шаблоны основных соглашений (на обработку ПДн и на обязательство о конфиденциальности));
  • положение об организации неавтоматизированной обработки ПДн (хранение, уничтожение);
  • приказы о назначении и должностные инструкции лиц, ответственных за организацию обработки ПДн в организации и за обеспечение безопасности ПДн в информационной системе;
  • приказ о назначении и должностная инструкция администратора ИСПДн;
  • приказ об определении границ контролируемой зоны;
  • перечень помещений, в которых ведется обработка ПДн;
  • порядок доступа в помещения, в которых ведется обработка ПДн (организация и ограничение доступа);
  • положение об обеспечении безопасности ПДн;
  • регламент проведения внутреннего контроля и (или) аудита соответствия обработки ПДн требованиям к защите ПДн;
  • регламент реагирования на инциденты безопасности ПДн;
  • правила разграничения доступа;
  • инструкция по эксплуатации СКЗИ (хранение, учет и уничтожение информации);
  • журнал ознакомления с документами;
  • перечень ИСПДн, используемых в организации.

Обратите внимание, что реализовывать меры по защите персональных данных организация должна в любом случае, вне зависимости от того, подавалось уведомление в Роскомнадзор или нет и с помощью каких средств обрабатываются ПДн в организации.

Нередко организации пренебрегают мерами административного и процедурного характера в области защиты ПДн, обрабатываемых без использования средств автоматизации. Неудивительно, что во время проверок представители контролирующих органов выносят большой объем замечаний по этому поводу. А потому мы рекомендуем нашим клиентам, разрабатывая ОРД, принимать во внимание столь важные моменты.

Кроме того, не стоит забывать про необходимость повышения грамотности всех сотрудников в области персональных данных — необязательно заставлять их вычитывать все документы в этой области, но свои обязанности и правила работы с персональными данными они должны знать хорошо.

Помощь в прохождении проверки Роскомнадзора

Узнать больше

Олег Нечеухин, эксперт по защите информационных систем, Контур.Безопасность


Поделиться
Не пропусти новые публикации

Подписывайтесь, и мы будем один раз в неделю присылать полезные бизнес-советы, аналитические статьи, истории успеха и провала, интервью, а также мнения экспертов на острые темы

Подписаться
1553 просмотра
В избранное
Комментарии Написать свой
Спасибо за ваше мнение!

Читайте также

Загрузить еще
loader
Спасибо за подписку.

Заполните, пожалуйста, все поля.

Предложение, замечание, просьба или вопрос.