Пакет документов по защите персональных данных
Содержание
Практически каждая компания собирает, обрабатывает и хранит данные о сотрудниках, клиентах, поставщиках, партнерах и других физлицах. При работе с конфиденциальной информацией не обойтись без комплекта документов по защите персональных данных.
Из чего состоит пакет документов по защите персональных данных
Различают организационные, технологические и методические документы. Организационные фиксируют задачи, функции и ответственность служб, отвечающих за защиту персональных данных работников. К ним относятся положения, должностные инструкции, акты, приказы, уведомления, письма.
Технологические инструктивные документы по защите персональных данных в организации отражают систему защиты конфиденциальных сведений о работниках. К ним относят: перечни, инструкции по обработке и защите ПДн.
Методические документы детализируют процессы защиты персональных данных работников, устанавливают порядок работы с документами, содержащими конфиденциальную информацию о сотрудниках, в типовых ситуациях. К ним относят правила работы с персональными данными.
Комплект документов по защите персональных данных утверждает руководитель организации. На каждом бланке ставятся визы согласования с заинтересованными лицами. С некоторыми документами субъекты персональных данных должны ознакомиться под роспись.
Весь список документов по хранению персональных данных
Продолжаем разъяснять требования законодательства о персональных данных к тем, у кого есть свой сайт.
Помимо документов для размещения на сайте вам необходимо подготовить документы, которые будут храниться непосредственно у вас. Согласно закону «О персональных данных», вы как оператор персональных данных обязаны принимать меры, необходимые и достаточные для выполнения обязанностей, предусмотренных законом. Состав и перечень этих мер определяется самостоятельно оператором (то есть вы сами определяете, что и как будете делать, для того чтобы защитить персональные данные), и к ним могут относиться (п. 1 ст.18.1 Закона «О персональных данных»):
- Назначение оператором-юрлицом ответственного за организацию обработки персональных данных;
- Издание оператором–юрлицом документов, определяющих его политику в отношении персональных данных, локальных актов по обработке персональных данных, локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений, устранение последствий нарушений;
- Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
- Осуществление внутреннего контроля и аудита соответствия обработки персональных данных закону, требованиям к защите, политике оператора и локальным актам;
- Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона;
- Ознакомление работников оператора, которые осуществляют обработку персональных данных, с требованиями к защите персональных данных, документами и локальными актами.
Не все из этого может быть реализовано владельцами сайтов – физлицами (например, это касается ознакомления работников с документами), но это не значит, что доступ посторонних лиц (даже родственников и друзей) к персональным данным может быть неограничен. В этом случае они должны ознакомиться с требованиями к защите и подписать соглашение о неразглашении персональных данных.
Мы рекомендуем подготовить документы, подтверждающие, что вы принимаете необходимые правовые, организационные и технические меры для защиты персональных данных. В ст. 19 закона «О персональных данных» перечислены необходимые действия оператора.
Список мер обеспечения безопасности внушительный, и для успешного прохождения проверки Роскомнадзора нужно подготовить немало документов. Чтобы все это понять, требуется техническая подготовка. Для новичка это не так просто, но лучше обезопасить себя.
Некоторые компании и сайты оказывают услуги в их подготовке: Контур, Б-152, FreshDoc. А вот здесь можно скачать шаблоны этих документов.
В любом случае, вы должны проверить внутренние системы защиты персональных данных и подготовить документы:
1. Перечень сведений конфиденциального характера
Это документ, в котором будет содержаться информация обо всех категориях и видах персональных данных, которые вы обрабатываете. Укажите, что Перечень разработан в соответствии с законом «О персональных данных» и Уставом организации (если вы представляете юрлицо), четко обозначьте ВСЕ виды категории персональных данных. Это можно сделать в виде таблицы. В этом же документе советуем указать цели и сроки обработки персональных данных. Пример.
2. Инструкция администратора информационной безопасности
Администратор информационной системы персональных данных назначается приказом руководителя. В Инструкции перечисляем должностные обязанности, такие, например, как «знать и выполнять требования всех регулирующих документов, которые регламентируют порядок по защите информации», «обеспечивать установку, настройку и обновление информационной системы персональных данных», «обеспечивать функционирование средств защиты системы», «обеспечивать выполнение требований по обеспечению безопасности информации» и пр. Примеры: первый, второй.
3. Приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных (для организаций).
4. Перечень персональных данных, подлежащих защите в информационных системах. Пример.
Рекомендации Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»
5. Приказ об утверждении мест хранения персональных данных.
Если вы храните персональные данные на материальных носителях, необходимо утвердить места хранения. Пример.
6. Перечень помещений, в которых ведется обработка персональных данных.
7. Инструкция пользователей информационной системы персональных данных.
Этот документ определяет должностные обязанности всех, кто работает с персональными данными (осуществляет обработку и пр.). Пример.
8. Приказ о назначении комиссии по уничтожению персональных данных.
Уничтожению персональных данных придается особое значение. После того, как цели обработки выполнены, персональные данные должны быть уничтожены. Подробнее про уничтожение персональных данных написано здесь. Пример Приказа.
9. Проект системы защиты информационной системы персональных данных. Пример.
10. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации. Пример.
11. План внутренних проверок режима защиты персональных данных.
План можно сделать в виде таблицы, там укажите, с какой периодичностью будут осуществляться проверки режима и оборудования. Пример.
12. Приказ о вводе в эксплуатацию информационной системы персональных данных, заключение о вводе в эксплуатацию информационной системы персональных данных. Пример.
13. Журнал учета носителей информации информационной системы персональных данных.
14. Журнал учета мероприятий по контролю обеспечения защиты персональных данных.
Журнал можно сделать в виде таблицы и записывать туда проводимые мероприятия. Пример.
15. План проведения внутренних проверок состояния защиты ПД.
Образец документа можно найти здесь и здесь.
16. Журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав.
Сюда запишите всех, кто обращается за информацией о своих персональных данных. Пример.
17. Правила обработки персональных данных без использования средств автоматизации. О регулировании здесь.
18. Положение о разграничении прав доступа к обрабатываемым персональным данным. Пример.
19. Акт классификации информационной системы персональных данных.
Информационная система – «совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств» (Закон РФ «Об информации, информатизации и защите информации»). Примером информационной системы может быть база данных, содержащая персональные данные, используемая в вашей организации. Даже если вы просто владелец сайта, то говорить об информационной системе мы можем тогда, когда собранные на сайте персональные данные заносятся в базу и потом обрабатываются.
В Акте укажите: кем используется система, категории персональных данных, объем обрабатываемых данных, тип информационной системы, структуру информационной системы, режим обработки персональных данных, наличие подключений к другим сетям связи, местонахождение технических средств. Про информационные системы и классификацию можно прочитать здесь. Пример и еще один.
20. Инструкция по проведения антивирусного контроля в информационной системе персональных данных. Пример.
21. Инструкция по организации парольной защиты.
22. Журнал периодического тестирования средств защиты информации.
23. Форма акта уничтожения документов, содержащих персональные данные.
Если вы владелец сайта, обязательно создайте список, в котором вы будете фиксировать уничтожение персональных данных (что было сделано и когда). Пример и ещё.
24. Журнал учета средств защиты информации(перечень технических средств). Пример.
25. Журнал проведения инструктажа по информационной безопасности (для организаций).
26. Инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций.
27. Приказ о перечне лиц, допущенных к обработке персональных данных.
28. Положение о защите персональных данных.
Цель этого документа – защитить персональные данные от несанкционированного доступа. В Положении можно прописать следующее: понятия из законодательства, цели и основания для обработки, права и обязанности оператора и субъектов персональных данных.
Опишите, как регламентируется внутренний доступ к персональным данным, кто имеет право доступа, каким образом ограничивается доступ, какие меры внутренней и внешней защиты применяются (пароли, регламентация состава работников, имеющих доступ к работе с персональными данными, обеспечение безопасности хранения персональных данных от посторонних), обязательно укажите ответственность за разглашение (для сотрудников).
29. Соглашение о неразглашении персональных данных.
Это соглашение подписывает каждый, кто имеет доступ к персональным данным. Перечислите все сведения, не подлежащие разглашению, объясните, почему и зачем это делается («я понимаю, что мне приходится заниматься сбором, хранением, обработкой персональных данных, обязуюсь соблюдать все требования, описанные в «Положении о защите персональных данных»»). Пример.
30. План мероприятий по обеспечению безопасности персональных данных.
В этом документе укажите мероприятия, сроки и исполнителя: установку антивирусной программы, установку паролей, внедрение доработок и обновлений и пр. Пример.
31. Модель угроз безопасности в информационной системе персональных данных.
Угрозы безопасности – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
В соответствии со статьей 19 закона «О персональных данных» персональные данные должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Подробнее.
Смысл этого документа – определить возможные угрозы безопасности системы персональных данных и описать, какие способы защиты будут использоваться при их возникновении. Пример.
32. Форма ответа на запрос субъекта персональных данных. Пример.
Не забывайте заполнять и обновлять эти документы!
Эта статья посвящена различного рода сервисам автоматической генерации комплекта внутренних документов организации по защите персональных данных на основе некоторой вводимой пользователем информации. Скажу честно, изначально это был гневный пост. Раздражение вызвала полученная по личным каналам информация о том, что представители одного из таких сервисов заходят к главным врачам лечебных учреждений города, в котором я проживаю, и пугают прокуратурой и наказанием за нарушение закона «О персональных данных» в случае отказа от подписки на такой сервис. Но вмешался случай — в процессе написания статьи возникли неотложные дела. И вся готовая на тот момент писанина была отправлена в черновики на неделю. За это время пар немного выпустился и сейчас я постараюсь спокойно объяснить почему такие сервисы не обеспечат надлежащее качество внутренней документации по защите персональных данных, расскажу о других проблемах таких порталов и в конце дам ссылку на некоторую сборную солянку тех же самых документов.
Проблема №1. Введение клиента в заблуждение Вранье
Тут, наверное, сразу стоит начать с примеров.
На одном из сайтов на первой же странице написано, что максимальный штраф за нарушение правил обработки персональных данных — 300 000 рублей. Это неправда. На данный момент статья КоАП РФ 13.11 предусматривает максимальный штраф для юридических лиц — 10 тысяч рублей. Тут, видимо, речь идет о законопроекте № 683952-6, который предусматривает расширение статьи 13.11 КоАП и действительно увеличивает максимальный штраф до 300 000 рублей, но законопроект как прошел первое чтение осенью прошлого года, так и подвис. И будет ли принят окончательно — неизвестно. Вывод: авторы сайта либо не в курсе ситуации, либо намеренно пытаются эксплуатировать чувство страха перед огромными штрафами, что тоже не есть хорошо.
Второй пример: другой сервис торжественно обещает успешное прохождение любой проверки любых контролирующих органов в сфере защиты персональных данных с их документами. Во-первых, сервис не генерирует такой важный документ как «Модель угроз», который требует показать даже Роскомнадзор и без его наличия успешно не пройти даже документарную проверку. Во-вторых, ФСТЭК и ФСБ проверяют далеко не только бумажки. В-третьих, я уже писал в своей старой статье о том, что в некоторых регионах (не во всех) действует палочная система и успешно пройти проверку не представляется возможным, как бы качественно мы к ней ни готовились.
Проблема № 2. Отсутствие индивидуализации
Само собой, практически все сервисы по подготовке комплекта документов вам расскажут о гибкой персонализации комплекта документов сугубо под вас, но это утверждение вполне можно было бы привести как третий пример проблемы № 1.
Честно говоря, в свое время сам написал на Java подобный «заполнятор» шаблонов, но в работе как-то не прижилось, максимум что можно сделать это автоматом вписать название организации и прочие часто повторяющиеся вещи в документах. И вот почему — если цель стоит написать качественную документацию, то ее придется писать руками с учетом всех особенностей как бизнес-процессов организации, так и особенностей IT-платформы, на которой построена информационная система персональных данных. У меня на работе, как правило, именно такая задача, а кому нужно «отмазаться от проверки» мы даем приведенный ниже комплект шаблонов. Бесплатно. Но здесь нужно помнить, что регуляторы тоже не стоят на месте и пройти проверку с набором шаблонных, не адаптированных документов семилетней давности становится все сложнее и сложнее.
Поясню, почему при разработке полноценного и полезного комплекта документов «заполняторы» шаблонов не помогут. Возьмем, например, важный и полезный документ «Инструкция администратора безопасности». Конечно, когда документ делается для галочки, в нем пишется много воды и совсем немного конкретики. В случае, если мы делаем полноценный документ, нам необходимо описать все обязанности и действия администратора безопасности в зависимости от условий функционирования информационной системы персональных данных. И тут оказывается, что на содержание документа влияет огромное количество факторов:
— используется ли виртуализация?
— используются мобильные средства?
— резервное копирование, какими средствами оно производится, с какой периодичностью, где хранятся резервные копии?
— и т.д. и т.п.
Конечно, можно попробовать все это учесть и в шаблоне, но тогда пользователям сервисов придется собирать и вводить огромное количество количество данных, что противоречит принципу «просто и легко, только платите деньги».
Все что может сносно сделать «заполнятор» шаблонов это различные приказы о назначении ответственных лиц или каких-либо комиссий. Как только начинаются вопросы, связанные с бизнес-процессами или особенностями IT-инфраструктуры, начинаются проблемы.
Проблема № 3. Сомнительное качество самих документов
Отчасти проблема перекликается с предыдущей, но если в проблеме №2 речь больше шла об особенностях автоматизированного заполнения, то тут речь о том тексте шаблонов, который не подвергается изменению. Накосячить умудряются в самых простых инструкциях.
Пример. Обычно в информационной системе назначается два ответственных по защите персональных данных — ответственный за организацию персональных данных (больше по орг вопросам) и администратор безопасности информации (по техническим вопросам — настройка средств защиты и т.д.). Соответственно сокращаются эти роли обычно как — «Ответственный» и «Администратор». Так вот, один из сервисов обозвал этих двух друзей как «ответственный за организацию обработки персональных данных» и «ответственный за обеспечение безопасности персональных данных», сократили их, как вы уже наверное догадались как «Ответственный» и (внезапно!) «Ответственный». В приказе о назначении этих ответственных никакого подвоха не чувствуется, жесть начинается, когда авторы документов начинают описывать взаимодействие этих двух разных людей, получается что-то типа «Ответственный на Ответственном и Ответственным погоняет».
Проблема № 4. Безопасность
Как ни странно, сервисы, которые призваны повысить информационную безопасность, сами вызывают ряд вопросов, начиная от банального отсутствия шифрования при отправке форм с конфиденциальными данными, заканчивая как эти данные хранятся на сервисе, как организован физический доступ к серверам и многое другое. При этом мы помним, что пока что сервисы работают по принципу «легко и просто» и не собирают большого количества информации, но могут и «усовершенствоваться». Но тем не менее, как минимум персональные данные ответственных и членов различных комиссий, а также базовые данные по информационной системе придется предоставить.