Разработка документации по защите персональных данных

С 25 июля 2011 года все организации РФ обязаны внедрить систему защиты персональных данных  (ФЗ  №152-ФЗ от 27.07.2006г. «О персональных данных»)

Существует 2 варианта разработки  документации:

  1. Вариант – если персональные данные используются только  для целей обработки заработной платы. Этот вариант подразумевает, что никакие другие данные компания не обрабатывает, данные сотрудников на сторону для рекламных рассылок или другой связи с ними не передает.
  2. Вариант- компания должна регистрироваться в Роскомнадзоре как оператор по обработке персональных данных и иметь  максимально полный пакет документации

Кто эти организации?

А. кто получает от физлиц деньги  на расчетный счет . Это новость 2017 года . ФНС России в своих письмах пишет  о том, что оплата физлицом на расчетный счет юрлица через мобильный банк, платежкой или терминал является электронным средством платежа. Следовательно, при получении на расчетный счет оплаты от физлица или ИП  оплатившего как физлицо , компания должна пробить кассовый чек.

Следующая норма закона- компания обязана этот чек передать . В момент пробития чека  физлицо отсутствует в офисе компании. Единственный способ направить ему на мейл или телефон .

Здесь загвоздка: Покупатель не наш сотрудник, мы собираем и обрабатываем его персональные данные. Значит должны зарегистрироваться в Роскомнадзоре как оператор  и разработать весь пакет документации . Об этой обязанности написано в письме от 7 июля 2017 г. N П11-15054-ОГ Минкомсвязи  РФ.

Б. интернет-магазины , отправляющие на мейл физлица информацию о покупке

В. ЖКХ и управляющие компании

 

Обратим Ваше внимание , что некоторые проверяющие Роскомнадзора  считают , что абсолютно каждая организация должна встать на учет и иметь максимально полно разработанный пакет документации .

Чем они руководствуются ?

-в каждой компании есть доверенности от контрагентов с паспортными данными

-при наличии пропускного режима ведется учет паспортов и водительских удостоверений физлиц.

 Указанные в документах данные являются персональными , сотрудники других организаций , чьи персональные данные мы получаем, не являются нашими работниками. Следовательно, на нас не распространяется льгота об  отсутствии обязанности регистрироваться в Роскомнадзоре и упрощенном пакете документов на предприятии.

 

Стоимость услуг по варианту №1 – 40 000 руб.

По наиболее полному варианту №2 – 60 000 руб.

Cвяжитесь с нами:

Тверская область:  (4822) 63-10-54 или отправьте заявку на мейл:  Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.

Республика Крым: (3652) 601-780, 8(978)77-16-129 или отправьте заявку на мейл  Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.

 

Мы всегда Вам поможем!

Опыт разработки документации по защите персональных данных - 5 лет , с даты вступления закона в силу!

Гарантия 3 года! (весь период проверки Роскомнадзором или трудовой инспекцией)

 

Максимальный пакет документов, необходимых по защите персональных данных

                                                         

№ п/п

Разрабатываемый документ

Требования нормативных документов

1

Приказ «Об утверждении формы согласия на обработку ПДн, уведомления об обработке ПДн физического лица, уведомления об устранении нарушений допущенных при обработке ПДн и уведомления об уничтожении ПДН физического лица»

п.2 ст.5 ФЗ №-152

п.2 ст.15 ФЗ №-152

п.3 ст.21 ФЗ №-152

п.4 ст.21 ФЗ №-152

п.3 ст.21 ФЗ №-152

п.3 ст.18 ФЗ №-152

п.1 ст.6 ФЗ №-152

2

Приказ «Об утверждении Положения об обработке ПДн» 
Приложение: «Положение об обработке ПДн»

п.2 ст.5 ФЗ №-152

п.1 ст.14 ФЗ №-152

п.3 ст.21 ФЗ №-152

п.4 ст.21 ФЗ №-152

п.7. ПП № 781

п.16. ПП № 781

п.6 ПП № 687

3

Форма типового договора о сохранении конфиденциальности ПДн

п.1 ст.7 ФЗ №-152

4

Приказ «Oб утверждении журнала обращений субъектов ПДн» 
Приложение: «Журнал обращений субъектов ПДн, инструкция по ведению журнала»

п.1 ст.14 ФЗ №-152

5

Типовая форма запроса субъекта ПДн на доступ к своим ПДн

п.3 ст.14 ФЗ №-152

6

Уведомление об обработке ПДн

п.1 ст.22 ФЗ №-152

7

Приказ «Oб утверждении журнала учёта средств защиты информации» 
Приложение: «Журнал учёта средств защиты информации, инструкция по заполнению журнала»

п.5. ПП № 781

п.12е. ПП № 781

п.2.16  СТР-К

п.5.1.3 СТР-К

8

Приказ «O создании постоянно действующей экспертной комиссии по защите информации»
Приложения: Положение о ПДЭК по ЗИ, План заседаний

п.6. ПП № 781

п.2. Приказ № 55/86/20

п.6.3.8 СТР-К

9

Протокол заседания ПДЭК по ЗИ «Определение исходных данных для классификации ИСПДн»

п.6. ПП № 781

п.2. Приказ № 55/89/20

10

Акт классификации ИСПДн

п.6. ПП № 781

п.2. Приказ № 55/89/20

п.3.8 СТР-К

п.5.6.4 СТР-К

11

Приказ «Oб утверждении инструкции по КПР и ВОР» 
Приложения: Инструкция по КПР и ВОР, Журнал пропуска на территорию объекта

п.8. ПП № 781

п.11в. ПП № 781

р.8 ч.2 ПП № 687

р.2.1 ч.2 Приказ ФСТЭК № 58

Р.2.1 ч.2 приказ ФСТЭК № 58

12

Приказ «O назначении сотрудника/подразделения, ответственного за осуществление мероприятий по защите информации»
Приложение: «Список сотрудников, ответственных за осуществление мероприятий по защите информации»

п.13. ПП № 781

п.3.21 СТР-К

п.5.3.5 СТР-К

п.6.3.3 СТР-К

п.6.3.1 СТР-К

п.6.3.11 СТР-К

13

Приказ «O допуске сотрудников к обработке ПДн»
Приложение: «Список сотрудников, допущенных к обработке ПДн в ИСПДн; список сотрудников допущенных к неавтоматизированной обработке ПДн»

п.14. ПП № 781

п.6 ч.2 ПП № 687

р.13 ч.3 ПП № 687

п.6.3.2 СТР-К

14

Приказ «Oб утверждении регламента проведения внутренних проверок соблюдения правил защиты информации» 
Приложение: «Регламент проведение внутренних проверок соблюдения правил защиты информации; план проведения внутренних проверок соблюдения правил защиты информации»

п.16. ПП № 781

п.11б. ПП № 781

п.11д. ПП № 781

п.12з. ПП № 781

15

Приказ «Oб установлении границ контролируемой зоны»
Приложение: «Границы контролируемой зоны»

п.11в. ПП № 781

р.2.1 ч.2 приказ ФСТЭК № 58

п.3.8 СТР-К

п.5.1.3 СТР-К

16

Приказ «Oб утверждении инструкции по резервному копированию»
Приложение: «Инструкция по резервному копированию»

п.11г. ПП № 781

Р.2.1 ч.2 приказ ФСТЭК № 58

17

Приказ «Oб утверждении частной модели угроз безопасности ПДн в ИСПДн»
Приложение: «Частная модель угроз безопасности ПДн в ИСПДн»

п.12а. ПП № 781

п.3.8 СТР-К

18

Приказ «O вводе системы защиты информации в эксплуатация»
Приложение: «Описание системы защиты информации»

п.12б. ПП № 781

п.12г. ПП № 781

п.3.20 СТР-К

п.3.21 СТР-К

п.12к. ПП № 781

19

Заключение о готовности к эксплуатации системы защиты информации

п.12в. ПП № 781

20

Приказ «Oб обучении сотрудников правилам защиты информации»
Приложение: «Программа обучения правилам защиты информации; план проведения обучения правилам защиты информации; журнал инструктажей по информационной безопасности; инструкция по заполнению журналов»

п.12д. ПП № 781

21

Приказ «Oб утверждении журнала учета носителей информации, содержащих защищаемую информацию»
Приложения: Журнал регистрации носителей информации, содержащих защищаемую информацию; Инструкция по заполнению журнала

п.12е. ПП № 781

р.2.1 ч.2 приказ ФСТЭК № 58

п.5.1.3 СТР-К

п.5.2.6 СТР-К

п.5.3.4 СТР-К

п.5.3.5 СТР-К

п.5.3.6 СТР-К

п.5.3.7 СТР-К

22

Приказ «Oб утверждении разрешительной системы доступа к ПДн»
Приложение: «Разрешительная система доступа»

п.12ж. ПП № 781

р.2.1. ч.2 приказ ФСТЭК № 58

р.2.1 ч.2 приказ ФСТЭК № 58

п.5.1.3 СТР-К

п.5.3.2 СТР-К

п.4.2.10 СТР-К

п.5.6.6 СТР-К

п.6.3.2 СТР-К

23

«Технический паспорт (перечень ОТСС организации, перечень ВТСС организации, перечень используемого ПО, список помещений для хранения и обработки ПДн; список мест хранения ПДн в ИСПДн; список сейфов и других мест хранения Пдн; схема ЛВС; схема ОПС; схема сетей электропитания и заземления)»

р.13 ч.3 ПП № 687

р.2.1. ч.2 приказ ФСТЭК № 58

р.2.1 ч.2 приказ ФСТЭК № 58

п.3.8 СТР-К

п.5.1.3 СТР-К

п.3.18 СТР-К

п.2.7 СТР-К

п.4.2.1 СТР-К

24

Приказ «Oб утверждении перечня персональных данных»
Приложения: Перечень ПДн

р.2.1. ч.2 приказ ФСТЭК № 58

25

Приказ «Oб утверждении журнала регистрации действий пользователей, обслуживающего персонала и посторонних лиц»
Приложения: Журнал регистрации действий пользователей, обслуживающего персонала и посторонних лиц; Инструкция по заполнению журнала

р.2.1 ч.2 приказ ФСТЭК № 58

п.5.1.3 СТР-К

26

Приказ «Oб утверждении инструкции пользователя ИСПДн»
Приложение: «Инструкция пользователя ИСПДн»

р.2.1 ч.2 приказ ФСТЭК № 58

п.5.3.2 СТР-К

п.5.5.3 СТР-К

п.5.6.2 СТР-К

п.5.6.3 СТР-К

п.6.1.4 СТР-К

п.6.3.6 СТР-К

27

Приказ «Oб утверждении инструкции администратора ИСПДн»
Приложение: «Инструкция администратора ИСПДн»

р.2.1 ч.2 приказ ФСТЭК № 58

п.5.3.2 СТР-К

п.5.5.3 СТР-К

п.5.6.2 СТР-К

п.5.6.3 СТР-К

п.6.1.4 СТР-К

п.6.3.6 СТР-К

28

Приказ «Oб утверждении инструкции по антивирусному контролю»
Приложение: «Инструкция по антивирусному контролю»

п.6.1.4 СТР-К

29

Приказ «Oб утверждении мест хранения и обработки ПДн»
Приложения: Список помещений для хранения и обработки ПДн; Список мест хранения ПДн в ИСПДн; Список сейфов и других мест хранения Пдн; Допуск сотрудников в защищаемые помещения

р.13 ч.3 ПП № 687

р.2.1. ч.2 приказ ФСТЭК № 58

п.5.1.3 СТР-К

п.4.2.1 СТР-К

30

Модель угроз безопасности информации (по методикам ФСБ)

п.2.3 ТТ ФСБ 149/6/6-622

31

Приказ «Oб утверждении списка лиц, допущенных к работе с СКЗИ»
Приложение: «список лиц допущенных к работе с СКЗИ»

п.2.3 ТТ ФСБ 149/6/6-622

32

Акт ввода СКЗИ в эксплуатацию

п.2.3 ТТ ФСБ 149/6/6-622

33

Приказ «Oб утверждении журнала поэкземплярного учета СКЗИ»
Приложения: Журнал поэкземплярного учёта СКЗИ; Инструкция по заполнению журнала; Журнал учёта пользователей СКЗИ

п.2.3 ТТ ФСБ 149/6/6-622

34

Журнал учета и выдачи носителей с ключевой информацией

п.3.6 ТТ ФСБ 149/6/6-622
Необходим только в случае использования одноразовых ключей

35

Инструкция по восстановлению связи в случае компрометации действующих ключей к СКЗИ

п.3 ТТ ФСБ 149/6/6-622

36

Положение о порядке организации и проведения работ по защите конфиденциальной информации

п.3.5 СТР-К

37

Описание технологического процесса обработки информации

п.3.8 СТР-К

38

План мероприятий по обеспечению конфиденциальности информации

п.3.8 СТР-К

39

Техническое задание на создание СЗИ

п.3.13 СТР-К

40

Регламент проведения совещаний и (или) переговоров

п.4.2.5 СТР-К

п.4.2.11 СТР-К

п.4.2.12 СТР-К

п.4.2.14 СТР-К

п.4.3.2 СТР-К

п.4.4.1 СТР-К

п.4.4.2 СТР-К

п.5.3.2 СТР-К

41

Регламент обеспечения защиты информационных ресурсов АП при подключении к Сети и при удаленном доступе к АП через Сеть

п.6.3.12.1 СТР-К

п.6.3.13.1 СТР-К

        

 

Cвяжитесь с нами:

Тверская область:  (4822) 63-10-54 или отправьте заявку на мейл:  Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.

Республика Крым: (3652) 601-780, 8(978)77-16-129 или отправьте заявку на мейл  Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.

 

Мы всегда Вам поможем!

С 1 июля 2017 года выросли штрафы за нарушение законодательства о защите персональных данных:

 

Статья 13.11.  КОАП Нарушение законодательства Российской Федерации в области персональных данных

 

1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, -

 

Влечет на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей.

2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, -

Влечет на юридических лиц - от пятнадцати тысяч до семидесяти пяти тысяч рублей.

3.Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных -

Влечет на юридических лиц - от пятнадцати тысяч до тридцати тысяч рублей.

4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, -

Влечет на юридических лиц - от двадцати тысяч до сорока тысяч рублей.

5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, -

Влечет на юридических лиц - от двадцати пяти тысяч до сорока пяти тысяч рублей.

 

6.Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния -

 

Влечет на юридических лиц - от двадцати пяти тысяч до пятидесяти тысяч рублей.

7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных -

влечет предупреждение или наложение административного штрафа на должностных лиц в размере от трех тысяч до шести тысяч рублей.

 

 

 

 

FacebookTwitterGoogle Bookmarks

Яндекс.Метрика