Бесплатная консультация юриста
Круглосуточно
Звоните сейчас!
+7 (499) 322-26-53

Ответственный за обработку пдн

Настоящий порядок определяет действия персонала ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн.

2.1. Допуск пользователей для работы на компьютерах ИСПДн осуществляется на основании приказа, который издается руководителем ЛПУ (далее руководитель), и в соответствии со списком лиц, допущенных к работе в ИСПДн. С целью обеспечения ответственности за нормальное функционирование и контроль работы средств защиты информации в ИСПДн руководителем назначается администратор информационной безопасности; с целью контроля выполнения необходимых мероприятий по обеспечению безопасности назначается ответственный за обеспечение безопасности персональных данных при их обработке в ИСПДн.

2.2. Пользователь имеет право в отведенное ему время решать поставленные задачи в соответствии с полномочиями доступа к ресурсам ИСПДн. Полномочия пользователей к информационным ресурсам определяются в матрице доступа, которая создается ответственным за обеспечение безопасности персональных данных при их обработке в ИСПДн и утверждается руководителем организации. При этом для хранения информации, содержащей ПДн, разрешается использовать только машинные носители информации, учтенные в Журнале учета машинных носителей.

2.3. Пользователь несет ответственность за правильность включения и выключения средств вычислительной техники (СВТ), входа в систему и все действия при работе в ИСПДн.

2.4. Вход пользователя в систему может осуществляться по выдаваемому ему электронному идентификатору или по персональному паролю.

2.5. Запись информации, содержащей ПДн, может, осуществляется пользователем на съемные машинные носители информации, соответствующим образом учтенные в Журнале учета машинных носителей.

2.6. При работе со съемными машинными носителями информации пользователь каждый раз перед началом работы обязан проверить их на отсутствие вирусов с использованием штатных антивирусных программ, установленных на компьютерах ИСПДн. В случае обнаружения вирусов пользователь обязан немедленно прекратить их использование и действовать в соответствии с требованиями данного Положения.

2.7. Каждый сотрудник, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки ПДн и имеющий доступ в помещение, в котором производится обработка ПДн, аппаратным средствам, программному обеспечению и данным ИСПДн, несет персональную ответственность за свои действия и обязан:

— строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами ИСПДн;

— знать и строго выполнять правила работы со средствами защиты информации, установленными на компьютерах ИСПДн;

— хранить в тайне свой пароль (пароли) и с установленной периодичностью менять свой пароль (пароли);

— хранить в установленном порядке свое индивидуальное устройство идентификации (ключ) и другие реквизиты в сейфе, или ящике, закрывающемся на ключ;

— выполнять требования Положения по организации антивирусной защиты в полном объеме.

Немедленно известить ответственного за обеспечение безопасности персональных данных при их обработке в ИСПДн и (или) администратора информационной безопасности в случае утери индивидуального устройства идентификации (ключа) или при подозрении компрометации личных ключей и паролей, а также при обнаружении:

— нарушений целостности пломб (наклеек, нарушении или несоответствии номеров печатей) на составляющих узлах и блоках СВТ или иных фактов совершения в его отсутствие попыток несанкционированного доступа (далее — НСД) к данным защищаемым СВТ;

— несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств ИСПДн;

— отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию СВТ, выхода из строя или неустойчивого функционирования узлов СВТ или периферийных устройств (сканера, принтера и т.п.), а также перебоев в системе электроснабжения;

— некорректного функционирования установленных на компьютеры технических средств защиты;

— непредусмотренных отводов кабелей и подключенных устройств.

2.8. Пользователю категорически запрещается:

— использовать компоненты программного и аппаратного обеспечения персонального компьютера в неслужебных целях;

Читайте также:  Недозор елена николаевна тольятти

— вносить какие-либо изменения в конфигурацию аппаратных средств ИСПДн или устанавливать дополнительно любые программные и аппаратные средства, не предусмотренные архивом дистрибутивов установленного программного обеспечения;

— осуществлять обработку ПДн в присутствии посторонних (не допущенных к данной информации) лиц;

— записывать и хранить конфиденциальную информацию (содержащую сведения ограниченного распространения) на неучтенных машинных носителях информации (гибких магнитных дисках и т.п.);

— оставлять включенным без присмотра компьютер, не активизировав средства защиты от НСД (временную блокировку экрана и клавиатуры);

— оставлять без личного присмотра свое персональное устройство идентификации, машинные носители и распечатки, содержащие защищаемую информацию (сведения ограниченного распространения);

— умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации;

— размещать средства ИСПДн так, чтобы существовала возможность визуального считывания информации.

2.9. Лица, ответственные за защиту персональных данных в ЛПУ.

Ответственный за обработку ПДн — штатный сотрудник определяющий уровень доступа и ответственность лиц участвующих в обработке ПДн. Назначается приказом по учреждению.

Ответственный за обеспечение безопасности персональных данных – штатный сотрудник (или подразделение) отвечающий за проведение мероприятий, связанных с защитой ПДн (организационных и технических), а также осуществляющий контроль соблюдения требований по защите ПДн в подразделениях. Назначается приказом по учреждению.

Администратор информационной безопасности – штатный сотрудник, ответственный за защиту автоматизированной системы (АС) от несанкционированного доступа (НСД) к информации. Назначается приказом по учреждению.

2.10. Администратор информационной безопасности (при его отсутствии ответственный за обеспечение безопасности персональных данных при их обработке в ИСПДн) обязан:

— знать состав основных и вспомогательных технических систем и средств (далее — ОТСС и ВТСС) установленных и смонтированных в ИСПДн, перечень используемого программного обеспечения (далее — ПО) в ИСПДн;

— контролировать целостность печатей (пломб, защитных наклеек) на периферийном оборудовании, защищенных СВТ и других устройствах;

— производить необходимые настройки подсистемы управления доступом установленных в ИСПДн СЗИ от НСД и сопровождать их в процессе эксплуатации, при этом:

· реализовывать полномочия доступа (чтение, запись) для каждого пользователя к элементам защищаемых информационных ресурсов (файлам, каталогам, принтеру и т.д.);

· вводить описания пользователей ИСПДн в информационную базу СЗИ от НСД;

· своевременно удалять описания пользователей из базы данных СЗИ при изменении списка допущенных к работе лиц;

· контролировать доступ лиц в помещение в соответствии со списком сотрудников, допущенных к работе в ИСПДн;

· проводить инструктаж сотрудников — пользователей компьютеров по правилам работы с используемыми техническими средствами и системами защиты информации;

· контролировать своевременное (не реже чем один раз в течение 60 дней) проведение смены паролей для доступа пользователей к компьютерам и ресурсам ИСПДн;

· обеспечивать постоянный контроль выполнения сотрудниками установленного комплекса мероприятий по обеспечению безопасности информации в ИСПДн;

· осуществлять контроль порядка создания, учета, хранения и использования резервных и архивных копий массивов данных;

· настраивать и сопровождать подсистемы регистрации и учета действий пользователей при работе в ИСПДн;

· вводить в базу данных СЗИ от несанкционированного доступа описания событий, подлежащих регистрации в системном журнале;

· проводить анализ системного журнала для выявления попыток несанкционированного доступа к защищаемым ресурсам не реже одного раза в месяц;

· организовывать печать файлов пользователей на принтере и осуществлять контроль соблюдения установленных правил и параметров регистрации и учета бумажных носителей информации;

· сопровождать подсистемы обеспечения целостности информации в ИСПДн;

Читайте также:  Контролер сварочных работ еткс

· периодически тестировать функции СЗИ от НСД, особенно при изменении программной среды и полномочий исполнителей;

· восстанавливать программную среду, программные средства и настройки СЗИ при сбоях совместно с лицами, ответственными за техническое обеспечение.

· вести две копии программных средств СЗИ от НСД и контролировать их работоспособность;

· контролировать отсутствие на магнитных носителях остаточной информации по окончании работы пользователей;

· периодически обновлять антивирусные средства (базы данных), контролировать соблюдение пользователями порядок и правила проведения антивирусного тестирования:

· проводить работу по выявлению возможных каналов вмешательства в процесс функционирования ИСПДн и осуществления несанкционированного доступа к информации и техническим средствам вычислительной техники;

· сопровождать подсистему защиты информации от утечки за счет побочных электромагнитных излучений и наводок, контролировать соблюдение требований по размещению и использованию технических средств ИСПДн;

· контролировать соответствие документально утвержденного состава аппаратной и программной части ИСПДн реальным конфигурациям ИСПДн, вести учет изменений аппаратно-программной конфигурации;

· обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации технического обслуживания ИСПДн и отправке его в ремонт (контролировать затирание конфиденциальной информации на магнитных носителях с составлением соответствующего акта);

· присутствовать (участвовать) в работах по внесению изменений в аппаратно-программную конфигурацию ИСПДн;

· вести журнал учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн;

· поддерживать установленный порядок проведения антивирусного контроля согласно требованиям настоящего Положения;

· в случае отказа средств и систем защиты информации принимать меры по их восстановлению;

· докладывать ответственному за обработку персональных данных о неправомерных действиях пользователей, приводящих к нарушению требований по защите информации;

· вести документацию на ИСПДн в соответствии с требованиями нормативных документов.

2.11.Администратор информационной безопасности и ответственный за обеспечение безопасности персональных данных при их обработке в ИСПДн имеют право:

— требовать от сотрудников — пользователей ИСПДн соблюдения установленной технологии обработки информации и выполнения инструкций по обеспечению безопасности и защите информации в ИСПДн;

— инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения защиты, несанкционированного доступа, утраты, модификации, порчи защищаемой информации и технических компонентов ИСПДн;

— требовать прекращения обработки информации в случае нарушения установленного порядка работ или нарушения функционирования средств и систем защиты информации;

— участвовать в анализе ситуаций, касающихся функционирования средств защиты информации и расследования фактов несанкционированного доступа.

Общие условия выбора системы дренажа: Система дренажа выбирается в зависимости от характера защищаемого.

Организация стока поверхностных вод: Наибольшее количество влаги на земном шаре испаряется с поверхности морей и океанов (88‰).

Поперечные профили набережных и береговой полосы: На городских территориях берегоукрепление проектируют с учетом технических и экономических требований, но особое значение придают эстетическим.

Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

В теории назначается любой сотрудник организации. Главное эти функции вписать в его должностные обязанности.

На практике: обычно тема ПДн закрепляется за ИБ (техн. защита, орг. вопросы), реже на кадровиков и юристов. В больших конторах для этих целей могут выделить целое подразделение, руководитель которого является искомым лицом. (кстати в Русском Стандарте сейчас открыты вакансии специалистов по защите ПДн, осенью их будут проверять =))

Читайте также:  Назначение подвала жилого дома

В конторах поменьше, где ПДн прикреплялось к ИБ, лицом назначается тот, кто лучше всех шарит в законе, подзаконных актах и защите информации. Так было со мной =).

Роль такого человека в организации — по сути Project Manager. Гоняет и ИТ, и юристов, и кадровиков, формирует и поддерживает внутреннюю нормативную документацию по ПДн, проводит внутренние аудиты на соответствие требованиях закона, и прочее
Забот много.

С учетом того, что в ст.22.1 фигурируют слова «организовывать» и «осуществлять контроль», я бы подумал о назначении на эту роль руководителя отдела ИБ или кадров. Среди руководства не такая большая текучка, как среди рядового персонала, да и подписи им ставить как-то привычнее.

В небольших организациях все зависит от места безопасника в структуре — если он специалист скорее технический, то я бы всю эту бюрократию спихнул на кадры или канцелярию (ибо обращения). Если же ИБшник на все руки мастер и нагрузка позволяет, то можно и на него.

Соблюдать требования Закона «О персональных данных» должны все компании и ИП, у которых есть работники (п. 2 ст. 3 Закона от 27.07.2006 N 152-ФЗ ). Ведь даже при приеме на работу сотрудник предоставляет своему новому работодателю личную информацию о себе: паспортные данные, сведения об образовании, воинской обязанности и т.д. И в дальнейшем работодатель тоже постоянно работает с персональными данными своих работников (со сведениями об их доходах, о состоянии здоровья и т.п.).

В связи с этим у каждого работодателя должен быть внутренний документ, определяющий политику в сфере обработки и защиты персональных данных работников (п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 N 152-ФЗ , ст. 87 ТК РФ). Это может быть, к примеру, Положение о персональных данных, которое должно быть утверждено приказом руководителя. С положением работников необходимо ознакомить под роспись (ч. 1 ст. 18, ч. 7 ст. 14 Закона от 27.07.2006 N 152-ФЗ , п. 8 ст. 86, ст. 88 ТК РФ).

В Положении о персональных данных указывается: какие именно сведения подлежат обработке, цели обработки, возможные действия с данными (накопление, хранение, уточнение и т.д.), права и обязанности работников касательно персональных данных, порядок обработки данных. Кроме того, в организации должен быть работник, ответственный за получение, обработку и хранение персональных данных, лицо, которое при исполнении своих служебных обязанностей всегда имеет к ним доступ без дополнительного разрешения.

Кто из работников может быть назначен ответственным за обработку персональных данных

В каждой организации должен быть работник, ответственный за персональные данные (у ИП-работодателя такого сотрудника может не быть). Какие-либо требования к квалификации или образованию ответственного работника законодательно не установлены, поэтому, в общем-то, для выполнения функций по обработке персональных данных подойдет любой сотрудник: специалист отдела кадров, бухгалтер, секретарь.

Приказ о назначении ответственного за организацию обработки персональных данных составляется в произвольной форме. В нем указывается сам ответственный работник и распоряжение о том, чтобы сведения о вменяемых ему обязанностях были внесены в его должностную инструкцию. Поскольку за нарушение требований к обработке и защите персональных данных возможно привлечение к дисциплинарной, материальной, административной и даже уголовной ответственности (ст. 90 ТК РФ, ч. 1 ст. 24 Закона от 27.07.2006 N 152-ФЗ ), сотрудник, работающий с личными данными, должен быть предупрежден об этом.

Ссылка на основную публикацию
Займ на карту
close slider

Adblock detector