Обязанности ответственного за защиту персональных данных

Должностная инструкция ответственных за организацию обработку персональных данных в МБОУ ДОД ЦДТ «Содружество» скачать здесь

Должностная инструкция ответственных за организацию обработку персональных данных в МБОУ ДОД ЦДТ «Содружество»

I. Общие положения. Нормативной базой, регламентирующей положения настоящей Инструкции, является статья 24 Конституции Российской Федерации, глава 14 Трудового кодекса Российской Федерации, статья 137 Уголовного кодекса Российской Федерации.

II. К персональным данным работника, необходимым работодателю в связи с трудовыми отношениями относятся: — сведения об образовании; — сведения о предыдущем месте работы, опыте работы и занимаемой должности; — сведения о составе семьи и наличии иждивенцев; — сведения о состоянии здоровья и наличии заболеваний (когда это необходимо в случаях, установленных законом); — сведения об отношении к воинской обязанности;

III. Порядок обработки персональных данных работника.

1. При обработке персональных данных работника то есть их получении, хранении, комбинировании, передаче или любом другом использовании персональных данных работника, сотрудники отдела кадров обязаны соблюдать следующие общие требования:

1.1. Обрабатывать персональные данных работника может исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

1.2. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие;

1.3. Сотрудник отдела кадров не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни, членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев непосредственно связанных с вопросами трудовых отношений с письменного согласия работника, а также случаев предусмотренных федеральным законом;

1.4. Персональную ответственность за соблюдение всеми сотрудниками отдела кадров настоящей Инструкции, а также контроль за ее соблюдением возложен на Начальника отдела кадров (ФИО)

1.5. Все сотрудники отдела кадров должны быть ознакомлены с настоящей Инструкцией под расписку.

IV. Хранение персональных данных работников. Хранения документов содержащих персональные данные работник осуществляется в несгораемых шкафах (сейфах), ключи от которых находятся у Начальника отдела кадров, а в его отсутствие у лица его замещающего. Другие сотрудники отдела кадров могут использовать данные документы только с разрешения вышеназванных лиц.

V. Передача персональных данных работника.

1. При передаче персональных данных работника сотрудник отдела кадров должен соблюдать следующие требования:

1.1. Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом, а также не сообщать соответствующие сведения в коммерческих целях без письменного согласия работника;

1.2. При передаче персональных данных работников предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.

1.3. Сотруднику отдела кадров разрешается доступ только к тем персональным данным работников, которые необходимы для выполнения им его должностных обязанностей;

1.4. Сотрудник отдела кадров не имеет права запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

VI. Ответственность. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

Создание Системы защиты персональных данных (СЗПДн) и приведение процессов обработки и обеспечения безопасности персональных данных (ПДн) в соответствие с положениями Федерального закона № 152-ФЗ «О персональных данных» и требованиями нормативных документов позволяет минимизировать правовые и репутационные риски, связанные с потенциальными утечками ПДн и несоблюдением законодательства РФ. При проведении указанных работ учитываются процессы обработки и защиты ПДн как без использования средств автоматизации (на бумажных носителях), так и в информационных системах персональных данных (ИСПДн).

Для организации эффективной защиты персональных данных в Компании необходимо создать и внедрить комплекс организационных, программно-технических и нормативно-методических мер, которые включают в себя:

  • определение состава обрабатываемых ПДн, угроз безопасности ПДн и требуемого уровня защищенности ПДн (обычно осуществляется на этапе обследования);
  • установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета действий, совершаемых с персональными данными в информационной системе персональных данных;
  • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • применение мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для обеспечения требуемого уровня защищенности ПДн;
  • оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • контроль над принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных;
  • обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
  • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

Создание системы защиты персональных данных

Работы по построению системы защиты персональных данных начинаются с разработки «Технического задания на создание системы защиты ПДн» и внутренних организационно-распорядительных документов, регулирующих процессы обработки и защиты ПДн. Техническое задание на создание системы защиты персональных данных подготавливается с учетом «Модели нарушителя и угроз безопасности ПДн» и требуемого уровня защищенности ПДн, определенного на этапе обследования, и содержит следующие сведения:

  • обоснование необходимости разработки СЗПДн;
  • исходные данные об ИСПДн в техническом, программном, информационном и организационном аспектах;
  • сведения об актуальных угрозах безопасности ПДн и требуемом уровне защищенности ПДн при их обработке в ИСПДн;
  • ссылки на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;
  • перечень необходимых для реализации организационных и технических мер по обеспечению безопасности ПДн, определенный в соответствии с требованиями Приказа ФСТЭК России от 18.02.2013 № 21, путем адаптации, дополнения и уточнения базового набора мер;
  • перечень предполагаемых к использованию сертифицированных средств защиты информации;
  • состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн;
  • требования к составу и содержанию организационно-распорядительной документации и к эксплуатационной документации на СЗПДн.

Зафиксированные в Техническом задании меры по обеспечению безопасности должны обеспечивать как требуемый уровень защищенности персональных данных, так и нейтрализацию актуальных угроз безопасности.

До внедрения средств защиты информации по желанию Заказчика могут быть проведены их макетирование и стендовые испытания с учетом исходных данных, полученных на этапе обследования, а также требований, определенных Техническим заданием на СЗПДн. В рамках макетирования проводится анализ применимости, совместимости и внедряемости СЗИ в ИСПДн организации. В результате определяется состав технических средств защиты информации, удовлетворяющий требованиям по защите ПДн, а также позволяющий реализовать мероприятия по созданию СЗПДн. Проводятся стендовые испытания СЗИ. При необходимости производится уточнение Технического задания на создание СЗПДн.

Следующий рекомендуемый шаг – разработка Технического проекта системы защиты персональных данных, который содержит детальное описание конкретных программно-технических решений для создания СЗПДн, осуществляется на основе Технического задания и результатов стендовых испытаний средств защиты информации.

Более подробную информацию о проектировании систем защиты информации можно получить на странице «Разработка проектной документации на системы защиты информации».

Разработка организационно-распорядительных документов

Как правило, параллельно с разработкой Технического задания на создание СЗПДн осуществляется разработка комплекта внутренних нормативных актов, регулирующих процессы обработки и защиты ПДн. Разрабатываемый комплект документов направлен на реализацию мер по защите, предусмотренных Техническим заданием, а также на выполнение прочих обязанностей Операторов ПДн, предусмотренных законодательством РФ.

На основании опыта выполнения проектов экспертами ЗАО «ДиалогНаука» сформирован и поддерживается в актуальном состоянии типовой комплект организационно-распорядительной документации Операторов ПДн.

Рекомендуемый минимальный состав такого комплекта приведен в таблице (.pdf).

При разработке организационно-распорядительной документации эксперты нашей Компании рекомендуют придерживаться приведенной структуры с адаптацией под процессы обработки ПДн Заказчика. В то же время эта структура не является обязательной, возможно как увеличение, так и уменьшение перечня документов с учетом выполнения обязательных требований законодательства, а также внутренних требований Заказчика к построению системы защиты информации, к иерархии и составу организационно-распорядительных документов.

Внедрение средств защиты и оценка эффективности

Поставка и внедрение технических средств защиты информации осуществляется согласно результатам предыдущих этапов работ, в частности решений, определенных Техническим проектом СЗПДн. После завершения поставки производится установка и настройка СЗИ.

После внедрения СЗПДн целесообразно провести оценку эффективности реализованных мер защиты, подробное описание процедур приведено на странице.

Кроме того, ЗАО «ДиалогНаука» предлагает услуги по сопровождению систем защиты персональных данных и сопровождению при проверках со стороны регулирующих органов.

В случае появления вопросов или интереса к описанной услуге, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или через форму обратной связи, адресовав вопрос в «Коммерческий отдел».

Современное предприятие располагает большими объемами информации, необходимой для устойчивой и эффективной работы. Основную ценность составляют технологические данные, ноу-хау, собственные разработки или приобретенные методики. Кроме этого, в компаниях хранятся сведения о финансовых операциях, кредитах.

Одним из важных аспектов деятельности службы информационной безопасности (ИБ-службы) становится техническая защита информации. Вне зависимости от размеров и специализации предприятия, информационные ресурсы интересуют конкурентов и заставляют их предпринимать враждебные действия. Методы злоумышленников разнообразны, поэтому ИБ-служба должна вести постоянный поиск каналов утечки информации, отслеживать цели и действия преступников.

Степень опасности. Оценка рисков

Для создания надежной системы защиты конфиденциальной информации необходимо рассортировать имеющиеся данные по специфике и уровню ценности.

Как правило, на предприятии хранятся массивы информации следующих категорий:

  • партнерские и клиентские базы данных;
  • документация в электронном или бумажном виде;
  • информация о технологиях, специфике производственного процесса, составе оборудования;
  • финансовые сведения, составляющие коммерческую тайну.

Нередко основная опасность исходит не столько от внешних источников, сколько от сотрудников компании и даже от ее руководства. Первые имеют доступ к ценной информации, которую при определенных условиях способны предоставить посторонним лицам или злоумышленникам. Вторые не обращают должного внимания на системы обеспечения информационной безопасности, считая угрозу несущественной или мнимой.

Если организовать контроль за действиями сотрудников относительно просто, то убедить руководство в необходимости технической защиты информации крайне сложно. Создание систем защиты данных – трудоемкое и затратное мероприятие. Многие владельцы или руководители, не имея печального опыта потери данных, склонны относиться к охране сведений слишком легкомысленно. Подобное отношение следует считать наиболее опасной угрозой для информации. Осознание важности охраны данных приходит только после потери сведений, когда приходится в срочном порядке восстанавливать нормальную работу предприятия.

Оценка информационных рисков предприятий является базисом, на котором строятся системы технической защиты информации. К наиболее проблемным направлениям следует отнести:

  • попытки несанкционированного доступа к защищаемой информации;
  • преступные действия с данными (копирование, изменение, уничтожение), влекущие репутационные или финансовые потери;
  • попытки доступа к технологиям, ноу-хау и собственным разработкам.

Пристального внимания требуют и действия работников предприятия. Основной ошибкой службы безопасности является разделение на «своих» и «чужих». Иногда считается, что сотрудники не представляют угрозы для конфиденциальной информации, а все проблемы могут прийти только извне. Важно понимать, что в случае с информационной безопасностью делить людей следует только на авторизованных (доверенных) и неавторизованных пользователей.

Выделять подозрительных и опасных сотрудников из общего числа помогает поведенческий анализ. Например, автоматизированный профайлинг составляет психологические портреты на основе анализа рабочей переписки персонала. Как это работает.

Вероятные источники угроз

Для организации максимально эффективных систем технической защиты информации необходимо четко представлять себе наиболее вероятные источники опасности.

В список актуальных угроз входят:

  • аппаратные сбои систем обработки, передачи или хранения информации;
  • мошеннические действия с целью завладения данными;
  • искажение информации, совершаемое для нанесения ущерба репутации предприятия или для извлечения преступного дохода;
  • хищение, преступное изменение баз данных с помощью технических средств или программного обеспечения, в том числе с помощью устройств, использующих электромагнитное излучение, визуальное или акустическое наблюдение.

Перечисленные угрозы могут исходить как от посторонних лиц, так и от персонала. Нередко для получения нужных сведений конкуренты используют сотрудников, имеющих доступ к информации конфиденциального характера.

Наиболее распространенным способом является копирование сведений с последующей их передачей заинтересованным лицам. Для исключения подобных действий следует тщательно контролировать носители информации, находящиеся в пользовании сотрудников. Чем выше уровень допуска, тем интенсивнее должен быть контроль, вплоть до полного запрета использовать флешки или внешние накопители.

Отдельного внимания требуют мобильные телефоны. Современные модели обладают широкими возможностями передачи данных. Недобросовестный сотрудник может сфотографировать документы, скопировать данные в память своего гаджета и отправить файл заинтересованным лицам. Для сотрудников, работающих с конфиденциальной информацией, необходим запрет на использование мобильных телефонов внутри здания.

Посторонние лица для получения информации чаще всего используют программные средства. Среди них наиболее распространены следующие:

  • сообщения с вредоносным содержимым, отправленные на электронную почту;
  • вирусное ПО;
  • троянские или шпионские приложения;
  • игры со встроенными участками кода, выполняющего шпионские функции.

Для создания эффективных систем технической защиты информации необходимо учитывать все существующие риски и методы злоумышленников. Потребуются как аппаратные, так и программные средства, использование комплексных систем обнаружения и предотвращения доступа злоумышленников в информационные системы.

Примеры преступных действий

Действия злоумышленников могут иметь различные формы. Наиболее распространенные схемы неправомерного использования информации:

  • если злоумышленникам удается заполучить клиентскую базу банка, они могут располагать сведениями о номерах счета, реквизитах карт. Возникает возможность подделки документов и хищения средств с чужих счетов;
  • располагая электронными копиями документов, мошенник может подделать их и оформить кредит на имя другого человека;
  • в процессе оплаты товаров в интернет-магазине, изменив реквизиты при помощи специального ПО, преступник может перенаправить деньги на свой счет;
  • вторжение в каналы связи позволит злоумышленнику получить доступ к ценной информации. Он может использовать ее в своих целях или, прерывая передачу, подменить правильные данные измененными сведениями. В результате база данных оказывается поврежденной, несущей ложные сведения, что наносит значительный ущерб работе предприятия.

В любом случае для совершения преступления злоумышленникам надо получить доступ к информации. Учитывая это условие, необходимо усилить систему безопасности предприятия с помощью следующих мер:

  • ограничение доступа пользователей к исполнительным модулям (в данном контексте это все устройства, несущие информацию и позволяющие скопировать, обработать или уничтожить ее разными методами). Вводится система допусков, разделяющая сотрудников по уровню доверия и ответственности за использование данных;
  • тестирование и сертификация ПО, используемого подразделениями предприятия;
  • немедленное исправление или удаление обнаруженных ошибок или сомнительных функций программного обеспечения;
  • усиление методов аутентификации и идентификации клиентов, совершенствование защиты удаленного доступа клиента от вторжений посторонних лиц;
  • полное уничтожение информационного мусора предприятия, как физического (отработавшие документы), так и электронного;
  • защита от хакерских атак.

Приведенный перечень мер по усилению технической защиты информации нельзя назвать исчерпывающим, поскольку злоумышленники используют новые технические средства и методики. Мероприятия, проводимые для обеспечения безопасности данных, должны соответствовать уровню технической и теоретической оснащенности мошенников. Необходимо регулярное обновление технической базы, оборудования и ПО. Допускать отставание в этих направлениях нельзя, поскольку это равноценно отсутствию технической защиты информации на предприятии.

Организация технической защиты информации на предприятии

Для создания эффективной системы защиты конфиденциальной информации необходимо действовать продуманно и последовательно. Процесс состоит из нескольких этапов:

  1. Всесторонний анализ имеющихся информационных ресурсов.
  2. Выбор концепции информационной безопасности, соответствующей специфике и особенностям используемых данных.
  3. Внедрение средств защиты.
  4. Разработка организационных мер защиты данных, соответствующих специфике компании.

Все принимаемые меры должны соответствовать действующим законодательным нормам, иначе возникнут конфликты правового характера. В этом отношении сотрудникам ИБ-службы необходимо постоянно сверяться с нормами и требованиями ФСТЭК и статей закона ФЗ-149, чтобы не допустить нарушений и не втянуть предприятие в судебные разбирательства. Правовая основа должна быть базой, на которой строится вся система защиты информации на предприятии.

Важным этапом является изучение рисков и определение источников опасности. От этого зависит эффективность системы защиты информации. Если все возможные угрозы правильно определены, опасность утечки данных снижается до минимальных значений. Необходимо выполнить следующие действия:

  • составить перечень всех устройств, содержащих конфиденциальную информацию. Кроме этого, учесть все действующие и резервные каналы связи, как проводные, так и сетевые;
  • определить наиболее ответственные участки, разграничить доступ в помещения, установить систему контроля за перемещением сотрудников и посторонних лиц;
  • используя результаты анализа, рассчитать величину ущерба, определить последствия несанкционированного доступа и мошеннического использования информации;
  • составить перечень документов и информационных массивов, подлежащих первоочередной защите. Установить уровень допуска и составить списки доверенных пользователей;
  • создать службу информационной безопасности, которая является отдельным подразделением и, помимо специалистов по безопасности, включает системных администраторов и программистов.

Если у компании нет ресурсов и времени для создания собственной ИБ-службы, можно передать ее задачи на аутсорсинг. Что это такое?

Основными задачами ИБ-службы являются:

  • общая техническая защита информации;
  • исключение доступа и несанкционированного использования конфиденциальных данных;
  • обеспечение целостности информационных массивов, в том числе при возникновении чрезвычайных ситуаций (пожары, стихийные бедствия).

Методы, используемые для технической защиты информации, должны соответствовать специфике предприятия. Среди них можно выделить наиболее эффективные мероприятия:

  • криптографическая защита информации (шифрование);
  • использование электронной подписи для подтверждения авторства доверенного пользователя;
  • резервное копирование баз данных и операционных систем;
  • создание системы паролей для идентификации и аутентификации сотрудников;
  • контроль событий, происходящих в информационной системе. Фиксация попыток входа и выхода, действий с файлами;
  • применение смарт-карт, электронных ключей в рамках системы допусков и ограничения перемещений работников;
  • установка и использование на компьютерах межсетевых экранов (файрволов).

Кроме этих мер необходимо ввести процедуру проверки и тестирования сотрудников с высоким уровнем допуска. Рекомендуется присутствие ИБ-сотрудника в помещениях, где производится обработка конфиденциальных данных.

Привлечение сторонних организаций для создания систем информационной безопасности

Самостоятельная разработка и внедрение систем защиты информации доступны не всем предприятиям. Существуют специализированные организации, которые оказывают помощь в создании комплексных охранных систем. Необходимо создать специальную группу, которая проводит аудит и оценивает риски. Определить наиболее опасные источники угроз, разработать план действий. Он обсуждается с руководством предприятия, после чего следует приступить к созданию (или реорганизации) подразделения информационной безопасности.

Провести инструктаж всех сотрудников, по необходимости организовать обучающие занятия по информационной безопасности и использованию массивов данных. Все организационные мероприятия следует производить в соответствии со спецификой предприятия. Основной упор нужно сделать на опасные каналы утечки данных, проинформировать сотрудников об ответственности за преднамеренные несанкционированные действия с информацией. В течение первых месяцев работы потребуется консультационное сопровождение деятельности ИБ-службы, отработка важных методик и приемов работы.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *