Как правильно заполнить журнал учета электронных носителей пдн
Как правильно заполнить журнал учета электронных носителей пдн
Запрещается использовать в качестве пароля имя входа в систему, простые пароли типа «123», «111», «qwerty» и им подобные, а так же имена и даты рождения своей личности и своих родственников, клички домашних животных, номера автомобилей, телефонов и другие пароли, которые можно угадать, основываясь на информации о пользователе. Запрещается использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов; Запрещается использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, 1234567 и т.п.); Запрещается выбирать пароли, которые уже использовались ранее.
3.4. Правила ввода пароля: Ввод пароля должен осуществляться с учётом регистра, в котором пароль был задан.
Во время ввода паролей необходимо исключить возможность его подсматривания посторонними лицами или техническими средствами (видеокамеры и др.).
New Media Edu
В этом случае они должны ознакомиться с требованиями к защите и подписать соглашение о неразглашении персональных данных. Мы рекомендуем подготовить документы, подтверждающие, что вы принимаете необходимые правовые, организационные и технические меры для защиты персональных данных.
Некоторые компании и сайты оказывают услуги в их подготовке: , , . А можно скачать шаблоны этих документов.
В любом случае, вы должны проверить внутренние системы защиты персональных данных и подготовить документы: 1. Перечень сведений конфиденциального характера Это документ, в котором будет содержаться информация обо всех категориях и видах персональных данных, которые вы обрабатываете.
ОБ УТВЕРЖДЕНИИ ПОРЯДКА УЧЕТА ЭЛЕКТРОННЫХ НОСИТЕЛЕЙ ДЛЯ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОМИТЕТЕ ИВАНОВСКОЙ ОБЛАСТИ ЗАГС (с изменениями на: 10.06.2014)
Электронные носители информации (далее — ЭНИ), используемые для обработки и хранения персональных данных, эксплуатируемые в комитете Ивановской области ЗАГС, должны быть зарегистрированы в журнале учета электронных носителей комитета ЗАГС.2.2. ПЭВМ, используемые в комитете ЗАГС для обработки и хранения персональных данных, должны быть зарегистрированы в журнале и в книге лицевого учета материальных средств в отделе бухгалтерского учета комитета ЗАГС.2.3.
ПДн. СКЗИ. Перечни, журналы и другие записи в электронной форме
Разработчики же нормативных актов стараются максимально затруднить нам переход в цифровую эпоху: не учитывают нюансы электронного документооборота, используются разные формулировки для требований к документации, что вносит некоторую путаницу и ограничения: · издание оператором документов (152-ФЗ)· утверждение руководителем оператора документ (ПП 1119, ПП 211, приказ ФСБ №378)· перечень … устанавливается оператором (ПП 687)· определить места …, установить перечень .
Рекомендуем прочесть: Категория в военкомате
(ПП 687)· утверждение перечня … (приказ ФСБ №378)· осуществлять поэкземплярный учет … ведением журнала (приказ ФСБ №378)· формирования и утверждения руководителем оператора … (приказ ФСБ №378)· разработку … документации / разработку документов . (приказ ФСТЭК №17)· отражаются в документации / вносятся в документацию (приказ ФСТЭК №17)· результаты оформляются актом .
Как заполнить журнал учета персональных данных
Как правило, чем больше численность штата, тем шире перечень сотрудников, которым требуется доступ к конфиденциальным сведениям для выполнения служебных обязанностей.
Например, при возникновении спорных ситуаций штатный юрист может запросить в отделе персонала трудовой договор с тем или иным работником.
При принятии решения о кадровых перестановках или продвижении работника по службе личное дело работника может быть запрошено руководителем подразделения.Нередко кадровые документы, содержащие конфиденциальную информацию, требуются для проверки выполнения условий коллективного договора.
Обязанность ведения книги движения персональных данных не предусмотрена на законодательном уровне, а значит, не существует четких требований к ее оформлению.
Итак, в книгу учета
Журнал учета носителей информации, используемых в ИСПДН Росреестра (форма)
номер¦ ¦ ¦(или инв.¦работников¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦123ER89YU ¦ ¦ ¦N 45678),¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦пом.
N 11¦ ¦ ¦ ¦ ¦ ¦ ¦ +——+———-+——-+———-+——-+———-+———+———-+——-+—-+—-+——+————+ ¦02пд ¦14.01.2012¦ ¦Флеш- ¦ ¦ ¦Пом.
N 33¦Персональ-¦Власов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ные данные¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦акционеров¦ ¦ ¦ ¦ ¦ ¦ +——+———-+——-+———-+——-+———-+———+———-+——-+—-+—-+——+————+ +——+———-+——-+———-+——-+———-+———+———-+——-+—-+—-+——+————+ +——+———-+——-+———-+——-+———-+———+———-+——-+—-+—-+——+————+ ——+———-+——-+———-+——-+———-+———+———-+——-+—-+—-+——+————-
Положение о распределении ответственности за обработку и обеспечение безопасности ПДн1.5. План мероприятий по обеспечению безопасности ПДн2.8.
Технический проект на СЗПДн (комплект документов)3. Обеспечение ИБ3.1. Положение об антивирусной защите3.2.
Положение о парольной защите3.3.
Положение о физической безопасности и контроле доступа на территорию3.4. Положение о допустимом использовании ресурсов3.5.
Регламент инструктажа сотрудников3.6. Регламент предоставления и изменения прав доступа к информационным ресурсам3.7.
Регламент реагирования на запросы субъектов ПДн3.8.
Как организовать защиту персональных данных сотрудников
Это сведения о фактах, событиях и обстоятельствах частной жизни человека.
Однако статья 85 Трудового кодекса ограничивает персональные данные только теми сведениями и обстоятельствами, которые характеризуют гражданина как работника.Персональные данные относятся к конфиденциальной информации, то есть к которой нет свободного доступа. Поэтому работодатель обязан получать все персональные данные о работнике только у него самого.
Если по каким-то причинам сделать это невозможно, то запрашивать такие сведения у посторонних лиц работодатель вправе только с письменного согласия работника.
При этом ему нужно сообщить о целях, источниках, способах получения персональных данных, о том, какая именно информация интересует работодателя, а также о последствиях отказа работника дать письменное согласие на получение этих сведений.
Из этого правила есть исключение: работодатель вправе запрашивать информацию,
Журнал учета передачи персональных данных
Стоит отметить, что без письменного разрешения будущего сотрудника обработка его личных данных невозможна и противозаконна. Персональные данные — это необходимая для работодателя информация о сотруднике, регулирующая трудовые отношения между ними.
К персональным данным относится следующая информация:
- информация об образовании будущего сотрудника;
- паспортные данные;
- стаж работы и информация о предыдущих местах работы и т. д.
- семейное положение;
- информация по свидетельству обязательного пенсионного страхования;
Вся эта информация необходима работодателю, чтобы составить трудовой договор и его личное дело на производстве, а также оценить его способности, чтобы использовать их в дальнейшей работе.
Если к Вам пришел Роскомнадзор. Часть3
Для облегчения заполнения формы, РКН опубликовали на сайте методические указания по заполнению уведомления Теперь более подробно по каждому документу (составляли частично сами, но часть инфо брали с Инета).
Положение об обработке персональных данных в организацииО чём документ — Положение является локальным нормативным актом, регламентирующим деятельность Оператора в сфере обработки и защиты персональных данных.Состав:Назначение положения – для чего вообще создали данный документ.
Права и обязанности оператора при обработке ПДн – что делаем, что можем делать и что не можем делать при обработке ПДн.Права субъектов ПДн – права и обязанности тех, кто предоставляет свои ПДнПорядок сборки и обработки ПДн – здесь все по шагам; что собираем, в какой момент собираем, если у различных групп субъектов собираются различные ПДн, не забываем указывать состав ПДн в этих группахДоступ к ПДн — кто имеет
Журнал учета обращений субъектов персональных данных
В силу такую информацию работодатель обязан предоставить в течение трех рабочих дней с момента получения запроса.
Регистрация обращений субъектов ПДН в специальной книге сотрудником отдела кадров позволяет ему отвечать на них более оперативно, чем когда такие заявления регистрируются в общей массе входящих документов, и часто доходят до исполнителя уже с нарушенным сроком рассмотрения.
Наличие специального журнала, во-первых, поможет убедить проверяющих в том, что работа с персональными данными ведется в вашей организации надлежащим образом, а во-вторых, вам не придется демонстрировать инспектору книгу регистрации всей входящей корреспонденции.
Так как такой кондуит не является обязательным документом, работодатель на свое усмотрение определяет его форму и порядок заполнения.
Проверка роскомнадзора по защите персональных данных: как подготовиться
Есть восемь моментов, на которые обращает внимание Роскомнадзор.
1. Ознакомление работников
Все сотрудники организации должны быть под подпись ознакомлены с документами, регламентирующими порядок обработки их ПДн, а также устанавливающими их права и обязанности в этой области. В число таких документов входят:
- Политика в отношении обработки персональных данных;
- Положение об обработке персональных данных;
- Положение об обработке персональных данных без использования средств автоматизации.
2. Обучение работников в области защиты персональных данных
Сотрудники, непосредственно занимающиеся обработкой ПДн, кроме вышеуказанных локальных актов должны быть под подпись ознакомлены с:
- приказом о допуске к обработке ПДн;
- Положением о порядке доступа в помещения, в которых ведется обработка ПДн;
- планом проведения внутреннего контроля;
- приказом об утверждении перечня помещений, в которых ведется обработка;
- инструкциями: по учету и хранению съемных носителей ПДн; по организации резервного копирования и восстановления в ИСПДн; по учету лиц, допущенных к обработке; по антивирусной защите; по проведению инструктажа лиц, допущенных к работе с ПДн; по проведению внутреннего контроля; по порядку уничтожения и обезличивания ПДн; пользователя ИСПДн; пользователя при возникновении нештатной ситуации.
Убедитесь в том, что персональные данные в вашей компании защищены
Узнать больше
3. Актуализация уведомления в Роскомнадзор об обработке ПДн
При изменении данных об организации или об обработке ПДн оператор обязан в течение 10 дней с момента таких изменений уведомить об этом Роскомнадзор.
В связи с нововведениями в законе «О персональных данных» с 1 сентября 2015 года оператор теперь обязан уведомлять Роскомнадзор о месте нахождения баз данных ПДн граждан РФ.
С 2021 года Роскомнадзор ужесточит проверки местонахождения ПДн. При проверке оператор будет обязан предъявить договор с российским дата-центром или документы, подтверждающие наличие собственного дата-центра (сервера, компьютера) на территории России.
4. Согласие субъектов на обработку ПДн
В отдельных случаях оператор обязан иметь письменное согласие субъекта на обработку его ПДн. Самые распространенные из них:
- обработка специальных категорий ПДн (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни);
- обработка биометрических ПДн (нюанс: фотография в личном деле сотрудника не считается биометрией, а используемая в системе пропускного режима — считается);
- составление общедоступных справочников внутри организации, адресных книг и т п.
При обработке ПДн несовершеннолетних письменное согласие должны давать их родители (законные представители). Форма письменного согласия должна содержать:
- ФИО, адрес, паспортные данные субъекта ПДн;
- ФИО, адрес, паспортные данные представителя субъекта ПДн (например, одного из родителей), реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;
- наименование (ФИО) и адрес оператора;
- цель обработки ПДн;
- перечень ПДн, на обработку которых дается согласие;
- наименование или ФИО и адрес оператора, которому ПДн будут переданы для обработки по поручению;
- перечень действий, осуществляемых с ПДн (он не должен включать «распространение»);
- срок, в течение которого действует согласие субъекта ПДн;
- подпись субъекта ПДн.
5. Поручение обработки третьему лицу
В тех случаях, когда компания передает ПДн другой организации, оказывающей, например, бухгалтерские услуги или услуги ведения кадрового делопроизводства, это должно сопровождаться поручением оператора на обработку ПДн.
Условия по поручению обработки могут быть включены в основной договор с другой организацией либо оформлены дополнительным соглашением к договору.
Поручение оператора содержит:
- перечень действий с ПДн;
- цели обработки ПДн;
- обязанность соблюдения конфиденциальности ПДн;
- обязанность обеспечения безопасности ПДн;
- требования к защите ПДн.
При передаче ПДн в банк в рамках зарплатного проекта в договоре компании с банком как минимум должно содержаться требование обеспечения конфиденциальности ПДн. Все остальные условия, как правило, содержатся во внутренних локальных актах кредитной организации.
6. Обработка ПДн на бумажных носителях
Бумажные носители ПДн также должны отвечать ряду требований законодательства:
- в типовой форме документа или положении/инструкции по его заполнению должны содержаться сведения о цели обработки ПДн, ФИО (наименовании) и адресе оператора, ФИО и адресе субъекта ПДн, источнике получения ПДн, сроке обработки ПДн, перечне действий с ПДн, общее описание используемых оператором способов обработки ПДн;
- в Положении по неавтоматизированной обработке необходимо перечислить абсолютно все документы, которые создаются в организации и содержат ПДн, с их полными названиями;
- для всех документов должны быть указаны сроки их хранения;
- в отношении каждой категории ПДн указываются точные места хранения и перечень должностных лиц, имеющих к ним доступ;
- если помимо основного офиса у оператора есть филиалы, обособленные подразделения, другие места, в которых обрабатываются ПДн, адреса этих мест четко определяются с указанием перечня лиц, имеющих к ним доступ;
- материальные носители с ПДн, обрабатываемыми в разных целях, должны храниться в разных местах.
Специалисты Роскомнадзора проверяют и соблюдение сроков хранения документов. Особо внимательно нужно отнестись к ПДн уволенных сотрудников. Если цель обработки ПДн достигнута и нет законных оснований для дальнейшего хранения ПДн, материальные носители ПДн должны быть уничтожены с составлением Акта об уничтожении ПДн. Одним актом можно оформить уничтожение сразу нескольких носителей ПДн.
Отвечая на распространенный вопрос о том, где должны храниться бумажные носители ПДн, стоит отметить, что это могут быть как закрывающиеся на ключ ящики, так и обычные шкафы.
7. Избыточность обрабатываемых персональных данных
Обработка ПДн или копий документов, избыточных к заявленным целям, — это нарушение. Например, в ТК РФ есть исчерпывающий перечень документов, которые поступающий на работу предъявляет работодателю.
8. Публикация Политики
Оператор должен опубликовать Политику в отношении обработки ПДн в общедоступном месте. Если оператор собирает ПДн через свой сайт, то на нем также должен быть размещен этот документ.
Анастасия Успенская, эксперт продукта Контур.Персональные данные компании СКБ Контур
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Образец журнала учета и регламента использования в организации ЭЦП
Организации обязаны выполнять требования по обеспечению безопасности хранения, обработки и передачи средств криптографической защиты информации. Требования к хранению и учету электронной подписи и ее средств прописаны в отдельном приказе, а за его невыполнение юридическое лицо может понести наказание вплоть до уголовной ответственности.
Требования по обеспечению безопасности хранения ЭЦП
Требования к журналу учета ЭЦП, а также к документам по информационной безопасности указаны в Приказе от 13.06.2001 г. под номером 152, опубликованном Федеральным агентством правительственной связи и информации (ФАПСИ). Приказ прописывает определения средств криптографической защиты информации, ключевой информации, а также правила по хранению, обработке, передаче данных.
Приказ ФАПСИ от 13 июня 2001 г N 152
Согласно приказу, электронная подпись в организации должна ставиться на учет, и ее движение (выдача, формирование, передача, установка или уничтожение) также должны быть отслежены документально. Для этой цели и создан журнал учета средств электронной подписи.
Нормативные документы
Помимо приказа ФАПСИ организации должны придерживаться в своей работе с электронной подписью следующий документов:
Все внутренние положения, регламенты и инструкции по использованию средств электронной цифровой подписи должны строиться на этих управляющих документах и отвечать их требованиям.
Общие положения регламента использования ЭЦП в организации
Документ должен включать все принципы использования ЭЦП в организации и содержать следующие разделы:
- термины и определения;
- нормативные ссылки;
- основные положения;
- требования к использованию ЭЦП;
- организация работы с носителями ключевой информации;
- правила получения сертификата ключа ЭЦП;
- правила предоставления данных о статусе сертификата ЭЦП;
- порядок использования ЭЦП;
- условия признания юридической силы ЭЦП;
- порядок отзыва сертификата ключа ЭЦП;
- процедура восстановления работы ранее приостановленного сертификата ЭЦП.
Дополнительно к документу указываются ссылки на положения по электронному документообороту, а также на приложения в виде журнала учета электронной подписи, акта уничтожения ключевых носителей и т.д.
Организация работы с носителями ключевой информации
Пользователи, имеющие доступ к средствам электронной подписи, несут ответственность за ее сохранность согласно ФЗ-63. Список лиц, имеющих доступ к носителям ключевой информации, должен быть составлен руководством организации и зафиксирован в журнале учета выдачи электронной подписи.
Руководство организации также обязано назначить сотрудника, ответственного за осуществление электронных взаимодействий со сторонними агентами, и наделить его правом устанавливать электронную подпись соответствующим приказом.
Директор отдела информационной безопасности по согласованию с руководителем организации назначает ответственных за установку на рабочих местах средств для работы с ЭЦП. Контроль за использованием средств электронной подписи, а также за хранение и безопасность ЭЦП ложится на сотрудников компании.
Правила хранения и использования ЭЦП
Носитель электронной цифровой подписи изготавливается в удостоверяющем центре и обслуживается сторонней организацией.
Генерация ключей и их запись на токен (ключевой носитель) происходит на специальном сертифицированном оборудовании с использованием регламентированных технологических процессов.
Формирование ключей ЭЦП, а также их маркировка учитывается в обязательном порядке в журнале учета ЭЦП организации. ЭЦП выдается сотруднику под роспись.
Установка на рабочее место ПО АРМ от КриптоПро призвано гарантировать безопасность ключевой информации. Для возможности восстановления сертификата ключевой подписи в случае поломки носителя создается его копия на персональном компьютере.
Безопасность информации во время копирования информации обеспечивается переносом данных только при помощи ПО «АРМ Генерация ключей». Носители ЭЦП маркируются специальными этикетками с номерами, соответствующими записи в журнале выдачи ЭЦП.
Каждому пользователю выдается личный носитель сертификата ЭЦП, содержащий закрытый ключ электронной подписи. Пользователь обязан хранить носители ЭЦП в месте, недоступной сторонним лицам.
Рекомендации по обеспечению безопасности при работе с ЭЦП
На ПК должно быть установлено только лицензионное ПО последней версии. Обновление программного обеспечения обязательное условие безопасного использования средств ЭЦП.
Также на ПК устанавливается антивирусное программное обеспечение с регулярным обновлением, а все съемные носители и файлы, запускаемые из сети, должны проверяться антивирусом перед открытием.
Рекомендуется использовать ограничение IP-диапазона, блокировку сетевых атак и средства фильтрации трафика.
Пример заполнения журнала использования ЭЦП в организации
Работа с электронной подписью должна проводиться с отдельной учетной записи. Аутентификация и идентификация пользователя происходит при помощи логина-пароля.
Все пароли должны быть уникальными и не совпадать с паролями от входа в систему. Плановая смена паролей происходит раз в 60-70 дней, а внеплановая — при выявлении нарушения в использовании носителей ключевой информации.Для обеспечения информационной безопасности своего рабочего места пользователю запрещается:
- сообщать пароль третьим лицам от своей учетной записи;
- оставлять пароль, записанный на бумажном носителе, в общественном месте;
- выводить пароль на внешние устройства (дисплей, телефон);
- использовать пароль от учетной записи в интернет-кафе;
- использовать опцию сохранения пароля от учетной записи в памяти системы ПК.
Ключи шифрования ЭЦП должны храниться только на флэш-носителе. Для работы с ЭЦП флэш-носитель подключают к ПК, а после использования — закрывают программу, вынимают носитель и убирают его в шкаф или сейф. Оставлять носитель ЭЦП на столе во время отсутствия на рабочем месте запрещено.
Если есть подозрение на компрометацию ключа ЭЦП, необходимо срочно обратиться в удостоверяющий центр для приостановки действия сертификата или его отзыва.
Образцы документов
Регламент, а также положение по использованию и хранению электронной цифровой подписи составляются юридическим и IT-отделом исходя из требований приказа ФАПСИ № 152.
Образец для скачивания журнала учета ЭЦП в организации.
Пример регламента использования ЭЦП в организации.
Образец положения по использованию и хранению ЭЦП.
Для всех юридических лиц являются обязательными к выполнению требования Приказа ФАПСИ № 152 по обеспечению безопасности использования электронной цифровой подписи.
Каждая организация должна вести журнал учета ЭЦП в организации по образцу, а также иметь регламент и положение по использованию, обеспечению сохранности и уничтожению ЭЦП.
Документы должны содержать такие разделы, как требования к ЭЦП, организация хранения подписи и правила использования подписи, порядок отзыва сертификата и процедура восстановления ранее приостановленного. Составляются документы юридическим отделом и отделом информационной безопасности исходя из рекомендаций и требования ФАПСИ.