Документы, подтверждающие применение правовых, организационных и технических мер по обеспечению безопасности персональных данных
1. Каким образом обеспечивается защита персональных данных?
Пунктом 3 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» на оператора возложена обязанность применять правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 Закона о персональных данных.
В рамках профилактических визитов, а также иных мероприятий, проводимых территориальными органами Роскомнадзора, последними зачастую запрашиваются копии документов, подтверждающих принятие указанных выше мер.
Согласно части 1 статьи 19 Закона о персональных данных оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Каким образом обеспечивается защита персональных данных?
Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Какие документы могут подтвердить применение правовых, организационных и технических мер по обеспечению безопасности персональных данных?
Учитывая изложенные выше требования Закона о персональных данных можно определить примерный перечень документов, регламентирующих безопасность персональных данных.
К ним можно отнести:
1) перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
3) перечень лиц, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения ими трудовых обязанностей;
4) правила доступа работников в помещения, в которых ведется обработка персональных данных;
5) порядок обращения со съемными машинными носителями персональных данных;
6) инструкцию пользователя информационной системы;
7) инструкцию по организации парольной защиты;
8) инструкцию по организации антивирусной защиты;
9) инструкцию по организации обновления программного обеспечения и средств защиты информации;
10) инструкцию о порядке организации резервирования и восстановления работоспособности программного обеспечения, баз данных и средств защиты информации;
11) положение о разрешительной системе доступа к ресурсам информационных систем.
Данный перечень документов является ориентировочным, так как оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами.
- ул. Русановская, д. 19, корп. 1, офис 240, Россия, г. Санкт-Петербург
- +7 (812) 711-11-08 +7 (499) 388-88-49
- info@easyinspect.ru
- @EasyInspect
- +7 (905) 270-48-96