Перечень
документов
отрабатываемых оператором
обработки персональных данных
и представляемые ответственным за обеспечение
безопасности персональных данных для контроля
(по состоянию на
01.04.2012 )
1. Уведомление
об обработке персональных данных (ст.22 Федерального закона «О персональных данных» от 27 июля 2006 г. № 152-ФЗ).
2. Положение о порядке организации обработки и обеспечении
безопасности персональных данных. Утверждается приказом или распоряжением (ч.2, ст.18.1 Федерального закона «О персональных данных» от 27 июля 2006 г. №
152-ФЗ, п.8, ст.86 Трудовой кодекс РФ от 30.12.2001).
3. Приказ о
назначении комиссии по классификации информационных систем персональных данных
(и при необходимости утверждения положения этой комиссии) (п.6 Положения, утвержденного Постановлением Правительства РФ от
17.11.2007 № 781).
4. Приказ о
назначении ответственного за организацию обработки персональных данных с определением возлагаемых
обязанностей (ст.22.1 Федерального
закона «О персональных данных» от 27
июля 2006 г. № 152-ФЗ).
5. Приказ о
назначении ответственного должностного лица (или структурного подразделения) за
обеспечение безопасности персональных данных с определением возлагаемых
обязанностей (п.13 Положения,
утвержденного Постановлением Правительства РФ от 17.11.2007 № 781). Как
правило, он же является администратором информационной системы персональных
данных и реализует методы и способы защиты информации от несанкционированного
доступа согласно п.2.1. Положения,
утвержденного приказом ФСТЭК от 5.02.2010 № 58.
6. Акт
классификации информационной системы персональных данных (Приказ ФСТЭК/ФСБ/Мининформсвязи от 13.02.2008 № 55/86/20, п.18.).
7. Список лиц,
допущенных к обработке персональных данных для выполнения служебных (трудовых)
обязанностей (п.14 Положения,
утвержденного Постановлением Правительства РФ от 17.11.2007 № 781).
8. Частная модель
угроз на информационную систему персональных данных (п.12а Положения, утвержденного Постановлением Правительства РФ от
17.11.2007 № 781, п.1.4. Положения, утвержденного приказом ФСТЭК от 5.02.2010 №
58).
9. Описание системы защиты персональных данных (п.12к Положения, утвержденного
Постановлением Правительства РФ от 17.11.2007 № 781):
1) перечень информационных систем персональных данных (отдельный документ
или таблица из частной модели угроз);
2) перечень обрабатываемых персональных данных, подлежащих
защите
(отдельный
документ или таблица
из частной модели угроз);
3) схема физических подключений
информационной вычислительной сети: структура, топология и
размещение оборудования (отдельный документ
или раздел в техническом паспорте);
4) перечень применяемых в информационной
сети персональных данных технических средств и программного
обеспечения: состав основных технических средств и программного обеспечения (отдельный документ
или раздел в техническом паспорте);
5) перечень применяемых технических средств охраны: состав
вспомогательных технических средств и систем (отдельный документ
или раздел в техническом паспорте);
6) перечень применяемых технических средств защиты информации, в том числе выполняющие функции межсетевых экранов, систем обнаружения вторжений и
анализа защищенности:
состав средств защиты информации (отдельный документ
или раздел в техническом паспорте);
7) список лиц имеющих право получения ключей от помещений, в которых обрабатываются
персональные данные (должен находиться на посту охраны).
10. Инструкции в рамках эксплуатации информационных
систем персональных данных (п.2 ч.1 ст.18.1. Федерального закона «О персональных данных» от 27 июля 2006 г. №
152-ФЗ):
1) инструкция пользователю
по защите информации при обработке персональных данных на автоматизированных
рабочих местах;
2) инструкция по
организации антивирусной защите информационных систем персональных данных;
3) инструкция
администратору безопасности информации информационной системы персональных
данных;
4) инструкция по
организации парольной защиты в информационной системе персональных данных.
11. Документы, отрабатываемые в ходе эксплуатации информационной системы
персональных данных:
1) согласие на
обработку персональных данных (п.1 ст.9 Федерального
закона «О персональных данных» от 27
июля 2006 г. № 152-ФЗ);
2) журнал учета
машинных носителей информации (п.5, ч.2,
ст.29 Федерального закона «О
персональных данных» от 27 июля 2006 г. № 152-ФЗ).
12. При контроле также представляются:
1) сертификаты соответствия по требованиям безопасности информации и
знаки соответствия («голографические метки») на применяемые средства защиты
информации, межсетевые экраны (п.3, ч.2, ст.19
Федерального закона «О персональных
данных» от 27 июля 2006 г. № 152-ФЗ);
2) акт уничтожения носителей содержащих сведения персональных данных в случае достижения
цели обработки, окончания их срока хранения, выхода из строя носителя ( ч.4,
ст.21 Федерального закона «О
персональных данных» от 27 июля 2006 г. № 152-ФЗ).
13. Документы, с которыми должны быть ознакомлены
под роспись все сотрудники, обрабатывающие ПД (п.2 ч.4
ст.22.1. Федерального закона «О персональных данных» от 27 июля 2006 г. №
152-ФЗ)
1) Федеральный
закон «О персональных данных» от 27 июля
2006 г. № 152-ФЗ;
2) положение о порядке организации обработки и обеспечении
безопасности персональных данных (п.8, ст.86 Трудовой кодекс РФ от 30.12.2001);
3) список лиц,
допущенных к обработке персональных данных для выполнения служебных (трудовых)
обязанностей (п.14 Положения,
утвержденного Постановлением Правительства РФ от 17.11.2007 № 781, (п.6
Положения, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687).
|