Защита персданных по ФЗ-152: полный перечень документов
Реалии 2022-2023 гг, в том числе законопроект об оборотных штрафах, введение персональной и уголовной ответственности, ужесточение требований регуляторов — заставили компании заняться темой персданных всерьёз.
С чего же начать?
Первым делом назначаем ответственного за обеспечение безопасности ПДн в организации. Закон 152-ФЗ “О персональных данных” обязывает не только выполнить ряд требований по защите, обработке, передаче и хранению, но и подготовить организационно-распределительную документацию.
В перечень ОРД входит примерно 50 приказов, актов, политик, инструкций и планов, связанных с персональными данными.
Разберемся, какие документы, для чего и как необходимо подготовить операторам ПДн.
Список документов для учреждений, обрабатывающих ПДн сотрудников и клиентов
Приказ о назначении ответственного за обработку персональных данных
Есть 2 “сущности”:
– ответственный за организацию обработки – руководитель организации или его заместитель, который контролирует ИТ и инфобез (если есть такие структуры);
– ответственный за обработку – тот, кто организовывает процессы, готовит ОРД, контролирует выполнение сотрудниками правил обработки и защиты ПДн.
Приказ о назначении администратора безопасности ИСПДн + инструкция
Им может быть тот же, кто отвечает за обработку, так как обработка должна выполняться в соответствии с требованиями регуляторов, среди которых, в том числе – защита обрабатываемых ПДн.
Если организация крупная, можно разделить полномочия и для каждой ИСПДн назначить отдельного администратора безопасности, но, в большинстве случаев, это один и тот же человек.
План мероприятий по обеспечению безопасности ПДн + приказ об утверждении
План мероприятий связан с требованиями ФЗ-152, где прописано, что конкретно необходимо сделать. Это перечень – что и в какие сроки мы должны сделать или доработать, “дорожная карта”. К примеру, в организации нет финансирования на определённые технические средства. Тогда их вносим в план на следующий год. Дополнительно можно прописать мероприятия вне ФЗ-152 – например, обучение сотрудников, специальные меры по контролю и т.д.
То, что уже выполнено, в план вносить не нужно. Можно дописать, например “контроль за актуальностью принятых мер до 2023 года”.
Перечень персональных данных
Здесь пишем, какие категории персональных данных обрабатываются в каждой ИС. Например, в 1С обрабатываем ФИО, должность, стаж и т.д. В банк-клиенте – ФИО, банк, номер счёта, размер ЗП и т.д. Здесь же указываем:
– правовые основания обработки;
– сроки и хранения.
Перечень информационных систем персональных данных
Требуется в соответствии с Постановлением №211 от 21 марта «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных».
К ИСПДн относится, в том числе, сайт, Яндекс-формы и т.д.
Политика информационной безопасности
Документ определяет требования к персоналу ИСПДн, степень ответственности персонала, структуру и необходимый уровень защищенности, статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в ИСПДн.
Здесь же можно указывать информацию об ИБ коммерческой тайны, государственных информационных систем – в зависимости от того, что есть в организации.
Чаще всего политика ИБ включает, в том числе, требования к антивирусной политике, требования к парольной политике, к физическому доступу в помещения, где обрабатываются ПДн и т.д.
Положение об обработке и защите персональных данных
Формируется в соответствии с приказом Роскомнадзора 2022 года, который определяет, что в обязательном порядке должно быть в положении.
Инструкция по обработке персональных данных без использования средств автоматизации
Документ описывает процедуру обработки персональных данных в соответствии с Постановлением правительства №687.
Приказ о создании комиссии для определения уровня защищенности
Данным приказом не только утверждаем комиссию, но и делаем приложение – положение о комиссии, в котором указываем, для чего её создали, права, сколько раз и с какой периодичностью она собирается, за какие документы отвечает и т.д.
Акты определения уровня защищенности ИСПДн
Составляются комиссией, определяют УЗ для КАЖДОЙ ИСПДн в соответствии с Постановлением Правительства №1119.
Положение о разграничении прав доступа к персональным данным
Может быть оформлено как таблица, в которой указываем, к какой ИСПДн какой сотрудник допущен, его права, например, “только чтение”, “чтение и запись” и т.д.
Инструкция по работе + журнал учёта обращений субъектов персональных данных
Определяет порядок и сроки реагирования на обращения субъектов ПДн. В приложениях есть формы запросов, заявок и уведомлений. Важно: сюда относятся не только обращения граждан, но и обращения сотрудников, например, в бухгалтерию для выдачи справки 2-НДФЛ.
В журнале – все доступы и ответы на обращения ТОЛЬКО в письменной форме и ТОЛЬКО по факту письменного заявления от субъекта.
Инструкция пользователя ИСПДн
Определяет обязанности и полномочия пользователей ИСПДн.
Инструкция по обеспечению безопасности рабочих мест обработки ПДн
Может быть как отдельным документом, так и параграфом в политике информационной безопасности. Описываем, какие меры защиты применяем на рабочих местах.
Порядок резервирования и восстановления работоспособности
Чаще всего устанавливается для системного администратора, которые отвечают за резервирование и восстановление ИС. Описание последовательности действий, местоположения резервных копий и периодичности их создания.
Инструкция по работе со съемными носителями, содержащими ПДн + журнал учёта
Определяет порядок работы со съемными носителями ПДн – жесткими дисками, флешками. Описываем процедуру и цели записи.
Инструкция о порядке физической охраны помещений, содержащих носители ПДн + приказ о контролируемой зоне + перечень помещений, предназначенных для обработки персональных данных
Определяем, что есть контролируемая зона, что она собой представляет, кто имеет туда доступ, как организована физическая безопасность, какие сотрудники допущены к зоне, в какое время и т.д.
Инструкция о порядке проведения разбирательств по фактам нарушений
В соответствии с изменениями в 152-ФЗ должна быть составлена инструкция о порядке реагирования на утечки, в неё же можно включить инструкцию о порядке действий при других инцидентах. Указываем порядок действий.
Инструкция по антивирусной защите + журнал антивирусных проверок
Журнал заполняется администратором безопасности по результатам каждой антивирусной проверки.
Журнал учета паролей
Журнал заполняется администратором безопасности. В нем указываются пароли всех сотрудников с доступом к ИСПДн.
Журнал учета СЗИ + журнал учёта СКЗИ
Заполняются администратором безопасности. Фиксируются все средства защиты информации, установленные в организации. Указывается место установки и учетные номера средств защиты.
Порядок уничтожения носителей персональных данных
Описываем причины и процесс уничтожения бумажного или электронного носителя с ПДн.
Дополнения в договоры с работниками, обрабатывающими ПДн + обязательство о неразглашении информации
Рекомендуется внести предлагаемые дополнения в трудовые договоры с работниками, обрабатывающими персональные данные
Инструкция по работе с обезличенными ПДн
Требуется только для тех, кто данные обезличивает в соответствии с Постановлением № 211 от 21 марта – как обезличиваем, как храним, как передаём. В приложении к инструкции приведен «Перечень должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных».
Согласие на обработку персональных данных
Есть несколько видов – в зависимости от того, какие данные обрабатываем. Согласие на распространение даётся отдельно, на обработку биометрических данных – отдельно, для специальных категорий – отдельно. В 152-ФЗ есть положения о том, что должны содержать согласие, когда берётся, когда нет.
Отзыв согласия на обработку персональных данных
Инструкция осуществления внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн
Инструкция требуется только для государственных и муниципальных учреждений в в соответствии с Постановлением №211 от 21 марта. В рамках внутреннего контроля проводится мониторинг состояния защищённости ПДн. Периодичность устанавливается юрлицом, Роскомнадзор рекомендует проводить не реже раза в год.
Пользовательское соглашение
Или договор оферты – в зависимости от организации. Определяет порядок взаимодействия пользователя с сайтом компании. Здесь же — соглашение о cookie.
Политика конфиденциальности
Положение об обработке и защите ПДн для сайта
Определяет порядок защиты персональных данных на сайте.
Отдельная группа документов по работе с СКЗИ
Инструкция — Приказ ФАПСИ от 13.06.2001 N 152. Утвержается положение о работе с СКЗИ, кто к ним допущен, перечень помещений, журнал учёта и т.д.
Приказ «О проведении работ по защите персональных данных»
Приказ вводит в действие документы по защите ПДн, приведенные выше.
В каждой организации – свой документооборот, и она может формировать приказы в соответствии с ним. Например, бывает так, что все вышеприведённые ОРД утверждаются одним приказом.
Я, когда была ответственной за обработку, делала несколько приказов:
– Первый связан с людьми, так как он чаще всего меняется в связи с увольнением/принятием сотрудников.
– Приказы по обработке ПДн, которые меняются редко, например, положение об обработке, инструкции, антивирусная политика – второй приказ.
– Третий приказ – про неавтоматизированную обработку.
– Четвёртый – для тех, кто работает с криптографией.
Соответственно, все вышеприведённые документы “сортировала” по 4 группам, и для каждой был отдельный приказ
– Вероника Нечаева, ДИБ CORTEL
Важно отметить, что приведённый перечень не является универсальным и требует корректировки в зависимости от размера, внутренней структуры, рода и особенностей деятельности организации.
Надеемся, материал был полезен. Если вам интересна тема работы с персональными данными — есть ещё перечень материалов о нюансах, требованиях и ответственности:
Ответственность за несоблюдение требований по ПДн
Всё о проверках Роскомнадзора, ФСТЭК, ФСБ
Отличие соглашения о поручении на обработку от передачи ПДн
Трансграничная передача ПДн: шпаргалка
Обработка и защита ПДн: кто ответственный?
«Сайт на Тильде. Что делать с ПДн?»
Защита персональных данных: актуальные требования, способы защиты
Как выполнить требования к уровню защищённости ИСПДн
Всё об аттестации ИС по требованиям ФСТЭК
Чек-лист по выполнению требований 152-ФЗ