Партнерка на США и Канаду по недвижимости, выплаты в крипто
- 30% recurring commission
- Выплаты в USDT
- Вывод каждую неделю
- Комиссия до 5 лет за каждого referral
|
УТВЕРЖДАЮ |
УТВЕРЖДАЮ | |
|
Директор Департамента внедрения и консалтинга |
Президент НП «НАПФ» | |
|
______________ м. п. |
______________ м. п. | |
|
«___» ________ 2010 г. |
«___» _______ 2010 г. | |
|
Стандарт НАПФ Рекомендации по формированию организационно-распорядительной документации для обеспечения обработки и защиты персональных данных ПРОЕКТ | ||
|
СОГЛАСОВАНО |
СОГЛАСОВАНО | |
|
______________ |
______________ | |
|
«___» ________ 2010 г. |
«___» _________ 2010 г. | |
|
Москва 2010 |
СИСТЕМА СТАНДАРТИЗАЦИИ НАПФ
Рекомендации по формированию организационно-распорядительной документации для обеспечения обработки и защиты персональных данных
(Р НАПФ 4.3–2010)
г. Москва
Предисловие
Настоящий стандарт организации разработан с учетом целей и принципов стандартизации в Некоммерческом партнерстве «Национальная ассоциация негосударственных пенсионных фондов», установленных стандартом СТО НАПФ 1.0–2008 «Система стандартизации НАПФ. Основные положения».
Сведения о стандарте
1. РАЗРАБОТАН И ВНЕСЕН Рабочей группой по разработке стандартов НАПФ «Организация обработки и защиты персональных данных в негосударственных пенсионных фондах».
2. УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Решением Общего собрания НП «НАПФ» «___» _______ 2010 г.
3. ВВЕДЕН ВПЕРВЫЕ.
СОДЕРЖАНИЕ
1. ОБЛАСТЬ ПРИМЕНЕНИЯ.. 6
2. НОРМАТИВНЫЕ ССЫЛКИ.. 7
3. сокращения, ТЕРМИНЫ и определения.. 8
4. Основные принципы формирования организационно-распорядительной документации.. 9
5. Рекомендации по содержанию организационно-распорядительных документов.. 11
6. Библиография.. 18
ПРИЛОЖЕНИЕ А. Типовой образец положения об обработке персональных данных.. 19
ПРИЛОЖЕНИЕ Б. Типовой образец положения по организации и проведению работ по обеспечению безопасности персональных данных.. 30
ПРИЛОЖЕНИЕ в. Типовой образец положения о постоянно действующей экспертной комиссии по информационной безопасности.. 38
типовой перечень персональных данных, обрабатываемых в пенсионнОМ фондЕ.. 44
Приложение д. Форма перечня подразделений и работников, допущенных к обработке персональных данных.. 54
Приложение е. Форма перечня информационных систем персональных данных.. 55
приложение ж. Форма журнала учета обращений субъектов персональных данных.. 56
Приложение з. формА журналА учета мероприятий по защите информации 57
Приложение и. Форма Журнала учета и выдачи машинных носителей персональныХ данныХ.. 58
Приложение к. форма Журнала учета ремонтно-восстановительных работ на основных технических средствах.. 59
Приложение л. форма Журнала учета хранилищ носителей персональных данных.. 60
Приложение м. Форма журнала учета используемых криптосредств, эксплуатационной и технической документации к ним.. 61
Приложение н. Форма акта классификации информационной системы персональных данных.. 62
Приложение о. Форма Акта об уничтожении носителей персональных данных 64
Обязательство о неразглашении сведений конфиденциального характера.. 65
1. ОБЛАСТЬ ПРИМЕНЕНИЯ
1.1. Настоящий стандарт устанавливает основные принципы и требования к формированию организационно-распорядительной документации в области обработки и защиты персональных данных в негосударственных пенсионных фондах, в том числе определяет состав и содержание организационно-распорядительных документов, которые регламентируют деятельность в области:
- обработки персональных данных;
- обеспечения безопасности персональных данных.
1.2. Положения настоящего стандарта рекомендуются для применения пенсионными фондами – членами Некоммерческого партнерства «Национальная ассоциация негосударственных пенсионных фондов».
1.3. Стандарт допускает применение путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних нормативных и методических документах негосударственного пенсионного фонда, договорах и иных документах.
2. НОРМАТИВНЫЕ ССЫЛКИ
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
- СТО НАПФ 1.0–2008. Система стандартизации НАПФ. Основные положения;
- СТО НАПФ 4.1-2010 «Организация обработки и защиты персональных данных в негосударственных пенсионных фондах».
3. сокращения, ТЕРМИНЫ и определения
В настоящем стандарте используются сокращения, термины и определения в соответствии со стандартом СТО НАПФ 4.1-2010 «Организация обработки и защиты персональных данных в негосударственных пенсионных фондах».
4. Основные принципы формирования организационно-распорядительной документации
4.1. Общие положения
4.1.1. При разработке организационно-распорядительной документации, определяющей порядок обработки и защиты персональных данных в пенсионном фонде, рекомендуется применять иерархию документов, представленную на
Рисунке 1.
Рисунок 1. Иерархия организационно-распорядительной документации
4.1.2. Положения – документы, определяющие общие подходы и требования по обработке и защите персональных данных в пенсионном фонде.
4.1.3. Регламенты – документы, устанавливающие порядок проведения мероприятий по обработке и защите персональных данных.
4.1.4. Инструкции – документы, содержащие детализированные правила и указания по осуществлению определенных операций по обработке и защите персональных данных, изложенных в положениях и регламентах.
4.1.5. Учетные документы – документы, содержащие записи о мероприятиях и результатах деятельности по обработке и защите персональных данных. К учетным документам относятся, например:
- журналы;
- реестры;
- перечни;
- протоколы;
- акты;
- листы ознакомления.
4.1.6. С целью унификации форматов документов рекомендуется придерживаться следующей структуры разделов при разработке организационно-распорядительных документов:
- Цель документа – в данном разделе рекомендуется указывать цели и назначение документа;
- Область применения документа – в данном разделе рекомендуется указывать перечень лиц, на которых распространяется действие данного документа;
- Основные положения документа – в данном разделе размещается основная содержательная часть документа;
- Лист регистрации изменений документа – данный раздел предназначен для фиксации любых изменений, вносимых в текст данного документа;
- Лист ознакомления с документом – данный раздел предназначен для регистрации ознакомления пользователей данного документа с его содержанием.
4.1.7. Типовые перечни документов, рекомендуемые для каждого уровня иерархии организационно-распорядительной документации, приведены в пп. 5.1 – 5.4 настоящего стандарта.
4.2. Порядок ввода в действие документации
4.2.1. Все документы, регламентирующие порядок обработки и защиты персональных данных, следует вводить в действие руководящими документами пенсионного фонда.
4.2.2. Каждый работник пенсионного фонда, который допущен к обработке персональных данных, должен быть ознакомлен с организационно-распорядительной документацией, регламентирующей порядок обработки и защиты персональных данных, в части, его касающейся, под подпись.
5. Рекомендации по содержанию организационно-распорядительных документов
5.1. Рекомендации по содержанию документов уровня положений
5.1.1. Документы уровня положений определяют основные требования к обработке и защите персональных данных в пенсионном фонде, а также ответственность и обязанности работников и ответственных лиц пенсионного фонда в части обработки и защиты персональных данных.
5.1.2. В документах уровня положений устанавливаются требования к следующим аспектам организации обработки и обеспечения безопасности персональных данных в пенсионном фонде:
- категории субъектов персональных данных, чьи данные обрабатываются в пенсионном фонде;
- состав обрабатываемых персональных данных, цели, сроки, правовые основания, порядок и условия обработки персональных данных;
- порядок взаимодействия с субъектами персональных данных;
- порядок организации доступа лиц к обработке персональных данных;
- порядок организации обмена персональными данными со сторонними организациями;
- порядок организации учета и хранения носителей персональных данных;
- порядок уничтожения персональных данных после достижения целей обработки;
- порядок организации и меры по обеспечению безопасности персональных данных, обрабатываемых в пенсионном фонде как с использованием средств автоматизации, так и без использования таковых;
- порядок проведения контрольных мероприятий и действий по их результатам;
- порядок реагирования на нарушение правил обработки и (или) обеспечения безопасности персональных данных.
5.1.3. В пенсионном фонде рекомендуется ввести следующий перечень положений:
- Положение об обработке персональных данных (типовой образец приведен в Приложении А);
- Положение об обеспечении безопасности персональных данных (типовой образец приведен в Приложении Б);
- Положение о постоянно действующей экспертной комиссии (типовой образец приведен в Приложении В).
5.2. Рекомендации по содержанию документов уровня регламентов
5.2.1. Документы уровня регламентов содержат описания основных процессов, связанных с реализацией требований, изложенных в документах уровня положений, с указанием ответственных, сроков исполнения, порядка отчетности и контроля.
5.2.2. В пенсионном фонде рекомендуется ввести следующий перечень регламентов:
- Регламент предоставления доступа к персональным данным, определяющий порядок:
· предоставления работникам пенсионного фонда доступа к персональным данным, обрабатываемым в информационных системах пенсионного фонда как с использованием средств автоматизации, так и без использования таковых;
· осуществления контроля со стороны ответственных лиц за предоставленными правами на доступ к персональным данным с целью исключения возможных нарушений;
· отзыва или пересмотра прав доступа работников в случае увольнения или изменения их должности и функциональных обязанностей;
- Регламент реагирования на запросы субъектов персональных данных, определяющий порядок:
· приема, регистрации и учета запросов и обращений субъектов персональных данных (или их законных представителей);
· рассмотрения и обработки запросов или обращений субъектов персональных данных (или их законных представителей) на получение информации, касающейся обработки их персональных данных в пенсионном фонде;
· рассмотрения и обработки запросов или обращений субъектов персональных данных (или их законных представителей) на предоставление доступа к своим персональным данным, обрабатываемым в пенсионном фонде;
· рассмотрения и обработки запросов субъектов персональных данных (или их законных представителей) в случае выявления недостоверных персональных данных, относящихся к соответствующему субъекту;
- Регламент проведения классификации информационных систем персональных данных, определяющий порядок:
· формирования комиссии для классификации информационных систем персональных данных;
· проведения классификации информационных систем персональных данных пенсионного фонда;
· пересмотра классов информационных систем по замечаниям регулирующих органов и (или) при изменении их структуры и особенностей функционирования;
- Регламент организации внутреннего аудита на соответствие требованиям к обработке и защите персональных данных, определяющий порядок:
· организации и управления программой аудита в пенсионном фонде;
· проведения внутренних и внешних аудитов с целью проверки выполнения установленных требований к обработке и обеспечению безопасности персональных данных в пенсионном фонде;
- Регламент учета, хранения и уничтожения носителей персональных данных, определяющий порядок:
· ведения учета электронных и бумажных носителей персональных данных;
· организации хранения носителей персональных данных, включая требования к местам хранения и допуску лиц;
· утилизации и уничтожения электронных и бумажных носителей персональных данных;
- Регламент резервного копирования персональных данных, определяющий порядок:
· определения массивов информации, подлежащих резервному копированию, мест хранения резервных копий и требований по безопасности, а также периодичность создания резервных копий и сроки их хранения;
· восстановления персональных данных из резервных копий;
- Регламент взаимодействия с регулирующими органами в области обработки и защиты персональных данных, определяющий порядок действий работников пенсионного фонда в случаях:
· проведения плановых и внеплановых контрольных мероприятий регулирующими органами;
· обработки отдельных запросов от регулирующих органов;
· проведения мероприятий по итогам проверок или полученных запросов от регулирующих органов;
- Регламент реагирования на инциденты информационной безопасности, определяющий порядок:
· идентификации и классификации инцидентов информационной безопасности;
· реагирования на инциденты информационной безопасности;
· взаимодействия с внешними организациями (в том числе при необходимости контролирующими органами) в рамках реагирования на инциденты информационной безопасности;
· проведения анализа и выявления возможных причин произошедших инцидентов информационной безопасности;
· проведения разбирательств и выполнения последующих действий по итогам инцидентов информационной безопасности;
- Регламент эксплуатации средств криптографической защиты информации[1], определяющий порядок:
· установки, настройки и обслуживания средств криптографической защиты информации, используемых для обеспечения безопасности персональных данных;
· учета средств криптографической защиты информации, технической и эксплуатационной документации к ним;
· учета лиц, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности персональных данных;
· контроля за соблюдением условий использования криптосредств.
5.3. Рекомендации по содержанию документов уровня инструкций
5.3.1. Документы уровня инструкций содержат детальные указания по выполнению отдельных операций или видов деятельности, связанных с обработкой и защитой персональных данных.
5.3.2. В документах уровня инструкций рекомендуется определить:
- единый порядок сбора, систематизации, накопления, хранения, использования, уничтожения и других видов автоматизированной и неавтоматизированной обработки персональных данных для работников пенсионного фонда, непосредственно участвующих в обработке персональных данных;
- основные правила по обеспечению безопасности персональных данных для работников пенсионного фонда, непосредственно участвующих в обработке персональных данных;
- правила установки, администрирования и обслуживания технических средств защиты, используемых для обеспечения безопасности персональных данных;
- дополнительные правила, относящиеся к выполнению определенных действий или решению определенных задач персоналом пенсионного фонда в рамках обработки и защиты персональных данных.
5.3.3. В пенсионном фонде рекомендуется ввести следующий перечень инструкций (или включить дополнительными разделами в должностные инструкции работника):
- Инструкция работнику по правилам обработки и обеспечению безопасности персональных данных, определяющая основные правила, которые необходимо соблюдать работнику пенсионного фонда, участвующему в обработке персональных данных;
- Инструкция администратору по организации антивирусной защиты систем обработки персональных данных, определяющая правила установки, администрирования и обслуживания средств антивирусной защиты в рамках систем обработки персональных данных;
- Инструкция администратору по организации парольной защиты в системах обработки персональных данных, определяющая правила организации парольной защиты в пенсионном фонде, в частности требования к сложности, периодичности обновления, местам хранения паролей для информационных систем персональных данных;
- Дополнительные инструкции, связанные с особенностями обработки и обеспечения безопасности персональных данных в пенсионном фонде (в случае необходимости).
5.4. Требования к документам уровня учетных документов
5.4.1. Документы уровня учетных документов предназначены для фиксации результатов проведенных мероприятий по обработке и защите персональных данных.
5.4.2. Так как документы данного уровня являются свидетельствами выполняемой деятельности, то к их хранению и учету должны предъявляться повышенные требования. Срок и порядок хранения таких документов должны быть утверждены во внутренних документах пенсионного фонда.
5.4.3. В пенсионном фонде рекомендуется как минимум ввести следующий перечень учетных документов:
- Перечень персональных данных, обрабатываемых в пенсионном фонде (Приложение Г настоящего стандарта);
- Перечень подразделений и работников, допущенных к обработке персональных данных (Приложение Д настоящего стандарта);
- Перечень информационных систем персональных данных (Приложение Е настоящего стандарта);
- Журнал учета обращений субъектов персональных данных (Приложение Ж настоящего стандарта);
- Журнал учета мероприятий по защите информации (Приложение З настоящего стандарта);
- Журнал учета и выдачи машинных носителей персональных данных (Приложение И настоящего стандарта);
- Журнал учета ремонтно-восстановительных работ на основных технических средствах (Приложение К настоящего стандарта);
- Журнал учета хранилищ носителей персональных данных (Приложение Л настоящего стандарта);
- Журнал учета используемых криптосредств, эксплуатационной и технической документации к ним (Приложение М настоящего стандарта);
- Акт классификации информационной системы персональных данных (Приложение Н настоящего стандарта);
- Акт об уничтожении носителей персональных данных (Приложение О настоящего стандарта);
- Обязательство о неразглашении сведений конфиденциального характера (Приложение П настоящего стандарта).
6. Библиография
Настоящий стандарт основывается на следующих нормативных документах:
1. Федеральный закон от 01.01.2001 «О персональных данных».
2. Федеральный закон от 01.01.2001 «О негосударственных пенсионных фондах».
3. Постановление Правительства РФ «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
4. Постановление Правительства РФ «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
5. Приказ ФСТЭК России, ФСБ России и Мининформсвязи России /86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных».
6. Приказ Федеральной службы по техническому и экспортному контролю «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».
ПРИЛОЖЕНИЕ А. Типовой образец положения об обработке персональных данных
|
УТВЕРЖДАЮ | ||
|
_________________________ [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] | ||
|
[НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] | ||
|
_______________ [Ф. И.О. РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] | ||
|
« ___ » ___________ 2010 г. |
ПОЛОЖЕНИЕ
об обработке персональных данных в информационных системах персональных данных
[НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА]
Москва 20[ ]
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Назначение документа
1.1.1. Положение об обработке персональных данных в информационных системах персональных данных [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] (далее – Положение) определяет порядок сбора, хранения, передачи и иных видов обработки персональных данных в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
1.1.2. Настоящее Положение разработано в соответствии с Федеральным законом от 01.01.2001 «О персональных данных», Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановлением Правительства РФ , Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства РФ .
1.1.3. Цель Положения – определение особенностей обработки персональных данных субъектов персональных данных в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
1.2. Область действия документа
1.2.1. Действие Положения распространяется на информационные системы персональных данных [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], в которых осуществляется обработка персональных данных как с использованием средств автоматизации, так и без использования таковых.
1.2.2. Все работники [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], допущенные к работе с персональными данными, обрабатываемыми в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], в обязательном порядке должны быть ознакомлены с настоящим Положением под роспись.
1.3. Вступление в силу документа
1.3.1. Настоящее Положение вступает в силу с момента его утверждения [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] и действует бессрочно до замены его новым Положением.
1.3.2. Все изменения в Положение вносятся приказом [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
2. КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ В [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] ПЕРСОНАЛЬНЫХ ДАННЫХ И ЦЕЛИ ИХ ОБРАБОТКИ
2.1. Персональные данные, обрабатываемые в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], относятся к сведениям конфиденциального характера.
2.2. Состав персональных данных, обрабатываемых в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], определен в Перечне персональных данных, обрабатываемых в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], утвержденном Приказом [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], и содержит следующие категории персональных данных (в скобках указаны цели их обработки):
- персональные данные работников (исполнение обязательств по трудовому договору);
- персональные данные клиентов по НПО (исполнение обязательств по договору НПО);
- персональные данные клиентов по ОПС (исполнение обязательств по договору ОПС);
- персональные данные, обрабатываемые при трансферагентской деятельности (регистрация и передача в ПФР в электронном виде заявлений застрахованных лиц).
3. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ В [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА]
3.1. Сбор, хранение и уничтожение персональных данных
3.1.1. Персональные данные поступают в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] непосредственно от субъекта на основании договорных отношений или от третьей стороны в рамках исполнения норм действующего законодательства Российской Федерации, обрабатываются и хранятся в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] не дольше, чем этого требуют цели обработки персональных данных и требования действующего законодательства Российской Федерации.
3.1.2. Если персональные данные работника [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] можно получить только от третьей стороны, то субъект персональных данных уведомляется о факте их получения заранее. При этом получение персональных данных работника от третьих лиц происходит в соответствии с Регламентом обмена (выдачи) информации.
3.1.3. В случае получения персональных данных правопреемника от лица, вступившего с [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] в договорные отношения, ответственность за уведомление правопреемника о факте передачи его персональных данных для обработки в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] возлагается на данное лицо.
3.1.4. Сроки хранения информации, содержащей персональные данные субъектов, определяются Перечнем персональных данных, обрабатываемых в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
3.1.5. Персональные данные субъектов обрабатываются в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] как в электронном виде (автоматизированная обработка), так и на бумажных носителях (обработка без использования средств автоматизации).
3.2. Особенности обработки персональных данных с использованием средств автоматизации
3.2.1. Обработка персональных данных с использованием средств автоматизации осуществляется в рамках информационных систем персональных данных [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА]. Состав информационных систем персональных данных [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] определен Перечнем информационных систем персональных данных в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
3.2.2. Машинные носители данных, предназначенные для обработки персональных данных, подлежат обязательной регистрации и учету в соответствии с [НАИМЕНОВАНИЕ ДОКУМЕНТА, РЕГЛАМЕНТИРУЮЩЕГО ПРАВИЛА УЧЕТА И ХРАНЕНИЯ НОСИТЕЛЕЙ ПЕРСОНАЛЬНЫХ ДАННЫХ].
3.3. Особенности обработки персональных данных без использования средств автоматизации
3.3.1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных носителях.
3.3.2. Не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы. Для обработки каждой категории персональных данных должен использоваться отдельный бумажный носитель.
3.3.3. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна проводиться таким образом, чтобы обеспечивать раздельное хранение персональных данных разных целей обработки.
3.3.4. Уничтожение бумажных носителей персональных данных производится после поступления от начальников отделов, обрабатывающих персональные данные, в постоянно действующую экспертную комиссию перечня (в том числе в электронном виде) подлежащих уничтожению бумажных носителей персональных данных с указанием основания для их уничтожения.
3.3.5. Бумажные носители уничтожаются исполнителем в присутствии членов постоянно действующей экспертной комиссии с оформлением акта (форма акта об уничтожении бумажных носителей представлена в Приложении к настоящему Положению) по следующей процедуре:
- включение каждого отобранного к уничтожению документа (дела) отдельной позицией в акт;
- оформление в акте итоговой записи с указанием количества уничтожаемых документов (дел), подписание итоговой записи членами постоянно действующей экспертной комиссии, составившими акт;
- письменное согласование акта с руководителями структурных подразделений [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], направившими запрос на уничтожение бумажных носителей;
- подписание акта членами постоянно действующей экспертной комиссии;
- утверждение акта [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
3.3.6. Перед непосредственным уничтожением бумажных носителей персональных данных членами постоянно действующей экспертной комиссии должна быть осуществлена сверка носителей с описью, приведенной в акте уничтожения.
3.3.7. Бумажные носители персональных данных уничтожаются в присутствии членов постоянно действующей экспертной комиссии в составе не менее 3 человек, принимавших участие в сверке (проверке) документов и дел, подлежащих уничтожению. После уничтожения документов члены постоянно действующей экспертной комиссии производят запись в акте об уничтожении, заверяют ее своими подписями.
3.3.8. Уничтожение документов производится путем сожжения, дробления, растворения или химического разложения, превращения в бесформенную массу или порошок. Допускается уничтожение документов путем измельчения в кусочки площадью не более 2,5 кв. мм.
3.4. Обеспечение безопасности персональных данных
При обеспечении безопасности персональных данных работники [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] руководствуются настоящим Положением и Положением по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА]
4. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ, ОБРАБАТЫВАЕМЫМ В [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА]
4.1. Доступ работников к персональным данным субъектов персональных данных, обрабатываемым в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА]
4.1.1. Работники [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] получают доступ к персональным данным субъектов персональных данных исключительно в объеме, необходимом для выполнения своих должностных обязанностей.
4.1.2. Список работников [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], имеющих доступ к персональным данным субъектов персональных данных, утвержден Перечнем подразделений и работников, допущенных к работе с персональными данными, обрабатываемыми в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
4.1.3. Перечень подразделений и работников, допущенных к работе с персональными данными, обрабатываемыми в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], разрабатывается и пересматривается по мере необходимости (изменение организационно-штатной структуры, введение новых должностей и т. п.) постоянно действующей экспертной комиссией по информационной безопасности на основании заявок начальников отделов.
4.1.4. Работнику [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], должность которого не включена в Перечень подразделений и работников, допущенных к работе с персональными данными, обрабатываемыми в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], но которому необходим разовый или временный доступ к персональным данным субъектов персональных данных в связи с исполнением должностных обязанностей, приказом [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] может быть предоставлен такой доступ на основании письменного мотивированного запроса непосредственного руководителя работника.
4.1.5. Работник [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] получает доступ к персональным данным субъектов персональных данных после:
- ознакомления и изучения требований настоящего Положения и иных внутренних нормативных документов [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] по защите персональных данных в части, его касающейся;
- прохождения инструктажа о соблюдении правил обработки персональных данных, обрабатываемых в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА];
- ознакомления с видами ответственности за нарушение (невыполнение) норм законодательства РФ в сфере обработки персональных данных.
4.2. Доступ субъектов персональных данных к персональным данным, обрабатываемым в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА]
4.2.1. В процессе основной деятельности [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] непрерывно взаимодействует с субъектами персональных данных в рамках исполнения договорных обязательств, требуя от субъекта поддержания своих персональных данных в актуальном состоянии.
4.2.2. Субъект персональных данных имеет право на получение сведений о наличии в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] его персональных данных, а также на ознакомление с такими персональными данными.
4.2.3. Право субъекта персональных данных на доступ к своим персональным данным может быть ограничено в случае нарушения при таковом доступе конституционных прав и свобод других субъектов персональных данных.
4.2.4. Право на получение информации, касающейся обработки персональных данных, закрепляется за субъектом персональных данных с момента заключения договора с [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] и действует на протяжении всего срока обработки персональных данных (включая хранение), предусмотренного действующим законодательством Российской Федерации.
4.2.5. При реализации [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] своих договорных обязательств в рамках предоставления субъектам персональных данных услуг по пенсионному обеспечению в соответствии с пп. 1 п. 2 ст. 6 Федерального закона от 01.01.2001 «О персональных данных» получение согласия субъекта персональных данных на обработку его персональных данных пенсионным фондом не требуется.
4.2.6. Перед началом обработки персональных данных [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] уведомляет субъекта (лично или посредством направления заказного письма) о целях и способах обработки, невозможности прекращения обработки (блокирования, уничтожения) персональных данных субъекта до истечения предусмотренного действующим законодательством Российской Федерации срока архивного хранения данных.
4.2.7. Субъект персональных данных (или его законный представитель) может ознакомиться с перечнем персональных данных, обрабатываемых в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], на официальном сайте [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] или при направлении письменного запроса в адрес [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
4.2.8. Сведения о каждом работнике [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] (Ф. И.О., должность и рабочий телефон), который имеет доступ к персональным данным субъекта, могут быть получены субъектом исключительно при направлении им письменного запроса в адрес [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
4.2.9. Письменный запрос субъекта должен быть удостоверен следующими документами:
- общегражданским паспортом – в случае непосредственного обращения субъекта персональных данных с запросом в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА];
- электронной цифровой подписью – в случае направления в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] электронного запроса;
- нотариально заверенной подписью – в случае направления в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] почтового запроса;
- документом, подтверждающим полномочия законного представителя субъекта персональных данных, – в случае направления в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] запроса от законного представителя субъекта персональных данных. При этом непосредственно запрос должен быть удостоверен одним из вышеприведенных способов.
4.2.10. При предоставлении в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] в рамках исполнения договорных обязательств персональных данных правопреемников субъект принимает на себя обязательства по уведомлению указанного им правопреемника о целях и способах обработки его персональных данных в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
4.2.11. Правопреемники субъекта персональных данных вправе получить от [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] информацию об обработке и доступ к своим персональным данным, полученным [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] от субъекта персональных данных в соответствии с федеральным законодательством, на основании подлинника или нотариально заверенной копии документа о смерти субъекта персональных данных.
4.2.12. Все поступившие письменные и электронные запросы субъектов персональных данных (или их законных представителей) регистрируются секретариатом с докладом [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА], а затем направляются компетентному работнику для подготовки ответа субъекту не позднее одного рабочего дня с момента их поступления в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
4.2.13. Ответ в письменной форме на запрос субъекта должен быть сформирован компетентным работником, подписан [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] в течение шести рабочих дней с даты поступления в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] запроса от субъекта персональных данных и отправлен секретариатом в срок, не превышающий трех рабочих дней, в адрес субъекта через отделение почтовой связи заказным письмом с уведомлением о вручении или курьером (непосредственно в руки адресату под роспись).
4.3. Доступ третьих лиц к персональным данным субъектов персональных данных, обрабатываемым в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА]
4.3.1. В соответствии со ст. 15 Федерального закона от 01.01.2001 «О негосударственных пенсионных фондах» список третьих лиц, с которыми пенсионный фонд имеет право осуществлять обмен персональными данным, строго ограничен следующим перечнем:
- правопреемники участников и застрахованных лиц;
- организации, которые в соответствии с договором осуществляют ведение пенсионных счетов, если указание на такие организации содержится в правилах пенсионного фонда.
4.3.2. Третьи лица, заключившие с [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] договор об обработке персональных данных клиентов [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], получают доступ к персональным данным субъектов в соответствии с Регламентом обмена/выдачи информации.
5. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы с персональными данными работодатель вправе применять предусмотренные Трудовым кодексом Российской Федерации дисциплинарные взыскания.
5.2. В случае нарушения установленного федеральным законодательством порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) предусмотрены административные штрафы.
ПРИЛОЖЕНИЕ Б. Типовой образец положения по организации и проведению работ по обеспечению безопасности персональных данных
|
УТВЕРЖДАЮ | ||
|
[НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] | ||
|
[НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] | ||
|
______________ [Ф. И.О. РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] | ||
|
«____» ___________ 2010 г. |
ПОЛОЖЕНИЕ
по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных
[НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА]
Москва 20[ ]
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Назначение документа
1.1.1. Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее – Положение) определяет содержание и порядок осуществления мероприятий по защите персональных данных в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
1.1.2. Настоящее Положение разработано в соответствии с Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановлением Правительства РФ , и Положением об обработке персональных данных в информационных системах персональных данных [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
1.1.3. Цель Положения – регулирование работ по защите персональных данных и обеспечение функционирования информационных систем персональных данных [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] в соответствии с требованиями действующего федерального законодательства в области информационной безопасности.
1.2. Область действия документа
1.2.1. Действие Положения распространяется на информационные системы персональных данных [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], в которых осуществляется обработка персональных данных как с использованием средств автоматизации, так и без использования таковых.
1.2.2. Все работники [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], допущенные к работе с персональными данными, обрабатываемыми в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], в обязательном порядке должны быть ознакомлены с настоящим Положением под подпись.
1.3. Вступление в силу документа
1.3.1. Настоящее Положение вступает в силу с момента его утверждения [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] и действует бессрочно до замены его новым Положением.
1.3.2. Все изменения в Положение вносятся приказом [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
2. ОРГАНИЗАЦИЯ И ПРОВЕДЕНИЕ РАБОТ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА]
2.1. Планирование работ по обеспечению безопасности персональных данных
2.1.1. В целях исполнения настоящего Положения и на основании Положения о постоянно действующей экспертной комиссии по информационной безопасности (далее – ПДЭК) ПДЭК ежегодно составляет и утверждает у [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] план работ по обеспечению безопасности персональных данных, обрабатываемых в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
2.1.2. Проводимые в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] мероприятия по обеспечению безопасности персональных данных учитываются в Журнале учета мероприятий по защите персональных данных в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
2.2. Выполнение работ по обеспечению безопасности персональных данных
2.2.1. В целях организации и проведения работ по обеспечению безопасности персональных данных в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] Приказом [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] назначаются:
- уполномоченное лицо, ответственное за проведение мероприятий по обеспечению безопасности персональных данных и поддержание необходимого уровня информационной безопасности;
- администратор (-ы) информационной безопасности, ответственный (-ые) за установку, настройку и обслуживание средств защиты информации, применяемых в пенсионном фонде для обеспечения безопасности персональных данных, а также за организацию и проведение инструктажа работников по основам информационной безопасности при работе с персональными данными.
2.2.2. Указанные лица ответственны за проведение следующих мероприятий по обеспечению безопасности персональных данных:
- определение и описание информационных систем персональных данных;
- классификацию информационных систем персональных данных;
- определение актуальных угроз безопасности персональных данных;
- проектирование системы защиты персональных данных, включающей организационные, физические и технические меры и средства защиты;
- закупку, установку и настройку технических средств защиты информации;
- внедрение организационных мер и разработку соответствующих регламентов и положений;
- инструктаж и обучение лиц, которые будут использовать средства защиты информации.
2.2.3. Начальники отделов, в которых происходит обработка персональных данных, являются лицами, ответственными за соблюдение требований Положения об обработке персональных данных и других установленных в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] требований.
2.2.4. Для обеспечения безопасности персональных данных в пенсионном фонде применяются следующие меры безопасности:
- организационные меры безопасности:
· инструктаж работников по правилам обеспечения безопасности обрабатываемых персональных данных;
· учет и хранение съемных носителей информации и порядок их обращения, исключающие хищение, подмену и уничтожение;
· мониторинг и реагирование на инциденты информационной безопасности, связанные с персональными данными, включая проведение внутренних проверок, разбирательств и составление заключений;
· постоянный контроль за соблюдением требований по обеспечению безопасности персональных данных (реализуется путем внутренних аудитов);
- меры физической безопасности:
· ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации. Приказом [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] устанавливается контролируемая зона [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], вводятся в действие Список помещений с ограниченным доступом и Список лиц, имеющих право посещать помещения [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] с ограниченным доступом. Лица, не указанные в Списке, в том числе обеспечивающие техническое и бытовое обслуживание (уборку, ремонт оборудования и технических средств), при наличии необходимости могут посещать помещения с ограниченным доступом в сопровождении ответственных лиц;
· размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
· организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
- технические меры безопасности:
· разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
· регистрация действий пользователей и обслуживающего персонала, контроль доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
· резервирование технических средств, дублирование массивов и носителей информации;
· использование защищенных каналов связи;
· предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.
2.2.5. Ремонтно-восстановительные работы технических средств обработки информации проводятся под контролем администратора безопасности с привлечением работников [НАИМЕНОВАНИЕ ИТ-ПОДРАЗДЕЛЕНИЯ]. В случае необходимости ремонт технических средств может быть проведен с привлечением сторонних специалистов на договорной основе с составлением актов выполненных работ.
2.3. Контроль выполнения работ по обеспечению безопасности персональных данных
2.3.1. Контроль выполнения работ по обеспечению безопасности персональных данных в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] (далее – Контроль) осуществляется путем проведения периодических контрольных мероприятий (в рамках внутренних аудитов) и внутренних проверок по фактам произошедших инцидентов информационной безопасности.
2.3.2. В рамках проведения контрольных мероприятий выполняются:
- проверка наличия и актуальности планов, регистрационных журналов, актов, договоров, отчетов, протоколов и других свидетельств выполнения мероприятий по обеспечению безопасности персональных данных за истекший период;
- проверка осведомленности и соблюдения персоналом требований к обеспечению безопасности персональных данных;
- проверка соответствия перечня лиц, которым предоставлен доступ к персональным данным, фактическому состоянию;
- проверка наличия и исправности функционирования технических средств защиты информации, используемых для обеспечения безопасности персональных данных, в соответствии с требованиями эксплуатационной и технической документации;
- инструментальная проверка соответствия настроек технических средств защиты информации требованиям к обеспечению безопасности персональных данных (при необходимости);
- проверка соответствия моделей угроз для информационных систем персональных данных условиям функционирования данных систем;
- проверка соответствия организационно-распорядительной документации по обеспечению безопасности персональным данных действующим требованиям законодательства РФ, руководящих документов ФСБ России, ФСТЭК России.
2.3.3. Все собранные в ходе проведения контрольных мероприятий свидетельства и сделанные по их результатам заключения должны быть зафиксированы документально.
2.3.4. Контрольные мероприятия проводятся как периодически в соответствии с планом и программой аудита, так и непланово по решению [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] и в случае возникновения инцидентов информационной безопасности.
2.3.5. Внутренние проверки в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] в обязательном порядке проводятся в случае выявления следующих фактов:
- нарушение конфиденциальности, целостности, доступности персональных данных;
- халатность и несоблюдение требований к обеспечению безопасности персональных данных;
- несоблюдение условий хранения носителей персональных данных;
- использование средств защиты информации, которые могут привести к нарушению заданного уровня безопасности (конфиденциальность/ целостность/доступность) персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных.
2.3.6. Задачами внутренней проверки являются:
- установление обстоятельств нарушения, в том числе времени, места и способа его совершения;
- установление лиц, непосредственно виновных в данном нарушении;
- выявление причин и условий, способствовавших нарушению.
2.4. Совершенствование системы защиты персональных данных
2.4.1. Ежегодно ПДЭК направляет [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] отчет о проделанных мероприятиях по выполнению плана работ по обеспечению безопасности персональных данных, обрабатываемых в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], вместе с перечнем предложений по совершенствованию системы защиты персональных данных.
2.4.2. Необходимость реализации мероприятий по совершенствованию системы защиты персональных данных может быть обусловлена:
- результатами проведенных аудитов и контрольных мероприятий;
- изменениями федерального законодательства в области персональных данных;
- изменениями структуры процессов обработки персональных данных в пенсионном фонде;
- результатами анализа инцидентов информационной безопасности;
- результатами мероприятий по контролю и надзору за обработкой персональных данных, проводимых уполномоченным органом;
- жалоб и запросов субъектов персональных данных.
2.4.3. На основании решения, принятого [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] по результатам рассмотрения ежегодного отчета и предложений по совершенствованию системы защиты персональных данных, ПДЭК составляет план работ по обеспечению безопасности персональных данных, обрабатываемых в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], на следующий год.
ПРИЛОЖЕНИЕ в. Типовой образец положения о постоянно действующей экспертной комиссии по информационной безопасности
|
УТВЕРЖДАЮ | ||
|
[НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] | ||
|
[НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] | ||
|
______________ [Ф. И.О. РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] | ||
|
«___» ___________ 2010 г. |
ПОЛОЖЕНИЕ
о постоянно действующей экспертной комиссии по информационной безопасности
[НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА]
Москва 20[ ]
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Назначение документа
1.1.1. Положение о постоянно действующей экспертной комиссии по информационной безопасности (далее – Положение) определяет назначение, состав, полномочия и порядок работы постоянно действующей экспертной комиссии по информационной безопасности [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] (далее – Комиссии).
1.1.2. Настоящее Положение разработано в соответствии с Положением по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
1.2. Область действия документа
1.2.1. Все работники [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], назначенные приказом [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] в состав Комиссии, в обязательном порядке должны быть ознакомлены с настоящим Положением под подпись.
1.3. Вступление в силу документа
1.3.1. Настоящее Положение вступает в силу с момента его утверждения [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] и действует бессрочно до замены его новым Положением.
1.3.2. Все изменения в Положение вносятся приказом [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
2. СОСТАВ И ПОРЯДОК РАБОТЫ КОМИССИИ
2.1. Состав Комиссии и ее председатель назначаются приказом [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА]. В состав Комиссии могут быть включены работники [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], имеющие доступ к сведениям конфиденциального характера.
2.2. Председатель Комиссии несет ответственность за планирование и организацию работы комиссии.
2.3. Структура, численность и персональный состав Комиссии определяются приказом [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
2.4. Из членов Комиссии назначаются заместитель председателя комиссии и его секретарь.
2.5. Секретарь Комиссии отвечает за подготовку заседаний комиссии, оформляет протоколы ее заседаний, контролирует выполнение решений Комиссии, готовит отчеты о работе Комиссии.
2.6. Деятельность Комиссии организуется и проводится в соответствии с перспективными и текущими планами работы комиссии, в которые включаются мероприятия, предусматривающие следующие основные направления деятельности:
- анализ деятельности пенсионного фонда по вопросам обработки и обеспечения безопасности персональных данных за отчетный период;
- общий контроль организации защиты информационных систем персональных данных пенсионного фонда;
- подготовка рекомендаций, направленных на обеспечение установленного режима безопасности при обработке персональных данных.
2.7. Планы работы Комиссии формируются под руководством председателя или заместителя председателя Комиссии и утверждаются [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА]. При необходимости вопросы, не нашедшие отражения в планах работы Комиссии, могут быть внесены на рассмотрение Комиссии во внеплановом порядке.
2.8. Заседания Комиссии проводятся не реже одного раза в год.
2.9. При необходимости на заседания Комиссии могут приглашаться компетентные специалисты и эксперты по предметным областям.
2.10. Рассмотрение вопросов, выносимых на заседание Комиссии, не должно приводить к необоснованному расширению круга лиц, допускаемых к сведениям по рассматриваемой тематике. Доступ приглашенных компетентных специалистов и экспертов к таким сведениям осуществляется в соответствии с распоряжением [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], а их присутствие на заседаниях Комиссии ограничивается рассмотрением вопросов, для обсуждения которых они приглашены.
2.11. Материалы к обсуждению на заседаниях Комиссии готовятся секретарем или по его поручению иными соответствующими специалистами или консультантами.
2.12. По результатам обсуждения на заседании запланированных вопросов Комиссия принимает решения большинством голосов.
2.13. По результатам заседаний Комиссии оформляются протоколы, которые подписываются председателем (заместителем председателя) и другими членами Комиссии.
3. ОСНОВНЫЕ ФУНКЦИИ КОМИССИИ
3.1. К основным функциям комиссии относятся:
- согласование организационно-распорядительной документации по обеспечению безопасности персональных данных, обрабатываемых в пенсионном фонде;
- принятие решения о возможной квалифицированной поддержке у других организаций в части оказания услуг по технической защите конфиденциальной информации;
- координирование деятельности по обеспечению безопасности персональных данных в пенсионном фонде;
- проведение анализа обстоятельств и причин нарушения конфиденциальности персональных данных, определения актуальности информации и ущерба для [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] от ее утраты (разглашения);
- организация и проведение работ по проверке наличия носителей конфиденциальной информации, условий их хранения и уничтожению;
- подготовка предложений по совершенствованию действующей в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] системы защиты персональных данных.
3.2. Комиссия участвует в разработке проектов основных направлений работ по комплексной защите информации, целевых программ и соответствующих разделов планов работ в этой области.
4. ПОЛНОМОЧИЯ КОМИССИИ
Комиссия имеет право:
- знакомиться с документами и материалами, необходимыми для выполнения возложенных на нее задач;
- привлекать в установленном порядке специалистов, имеющих непосредственное отношение к рассматриваемым проблемам, для более детального изучения отдельных вопросов, возникающих в процессе работы комиссии, и выработки обоснованных рекомендаций и заключений;
- вносить руководителям отделов [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] предложения о приостановлении действий, противоречащих законодательству и другим нормативным актам, по направлениям, отнесенным к компетенции комиссии в соответствии с п. 3.1 настоящего Положения.
5. КОНТРОЛЬ ЗА РАБОТОЙ КОМИССИИ
5.1. Комиссия подотчетна [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА]. Председатель комиссии периодически, но не реже одного раза в год, должен представлять отчет [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] об итогах работы комиссии и реализации ее предложений и рекомендаций.
5.2. Отчет об итогах работы комиссии за истекший год должен быть предоставлен на рассмотрение Исполнительному директору [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] не позднее трех месяцев после окончания календарного года.
типовой перечень персональных данных, обрабатываемых в пенсионнОМ фондЕ
ПЕРЕЧЕНЬ
персональных данных, обрабатываемых в
«_______________________»
Таблица 1. Перечень персональных данных
|
№ п/п |
Группа ПДн |
Содержание ПДн |
Цели обработки ПДн |
|
1. Обработка персональных данных клиентов по НПО | |||
|
1.1 |
Сведения об Участнике Фонда |
1.1.1. Фамилия, имя, отчество 1.1.2. Дата рождения (число/месяц/год) 1.1.3. Пол 1.1.4. Паспортные данные (серия/номер/дата выдачи/кем выдан) 1.1.5. Фактический адрес проживания 1.1.6. Адрес по прописке/регистрации 1.1.7. Контактная информация 1.1.8. Сведения о доходах 1.1.9. Код участника 1.1.10. ИНН 1.1.11. Номер лицевого банковского счета 1.1.12. СНИЛС (номер страхового свидетельства ПФР) 1.1.13. ИПС Участника 1.1.14. Данные об инвалидности Участника / ребенка Участника 1.1.15. Сумма пенсионных взносов в пользу Участника 1.1.16. Сведения о предоставлении и размере налоговых вычетов, на которые имеет право Участник 1.1.17. Размер негосударственной пенсии 1.1.18. Размер выкупной суммы, причитающейся Участнику |
Исполнение обязательств по договору НПО |
|
1.2 |
Сведения об умершем Участнике Фонда |
1.2.1. Фамилия, имя, отчество 1.2.2. Дата смерти (число/год/месяц) 1.2.3. Наименование и входящий номер документа, содержащего достоверные сведения о смерти Участника 1.2.4. Доля распределения между правопреемниками согласно заявлению о назначении правопреемников |
Прекращение договора НПО. Исполнение обязательств перед правопреемником Участника |
|
1.3 |
Сведения о правопреемнике Участника |
1.3.1. Фамилия, имя, отчество 1.3.2. Дата рождения (число/месяц/год) 1.3.3. Адрес места жительства 1.3.4. Паспортные данные (серия/номер/дата выдачи/кем выдан) 1.3.5. СНИЛС 1.3.6. Номер банковского счета 1.3.7. Степень родства с Участником 1.3.8. Размер выкупной суммы, причитающейся правопреемнику 1.3.9. Контактные данные 1.3.10. ИНН |
Исполнение обязательств по договору НПО. Исполнение обязательств по выплате сумм правопреемникам Участника |
|
2. Обработка персональных данных клиентов по ОПС | |||
|
2.1 |
Сведения о застрахованном лице |
2.1.1. Фамилия, имя, отчество 2.1.2. Фамилия, имя, отчество при рождении 2.1.3. СНИЛС 2.1.4. Номер и дата договора ОПС 2.1.5. Дата рождения (число/месяц/год) 2.1.6. Место рождения 2.1.7. Пол 2.1.8. ИНН 2.1.9. Адрес места жительства 2.1.10. Адрес регистрации 2.1.11. Паспортные данные (серия/номер/дата выдачи/кем выдан) 2.1.12. Контактная информация 2.1.13. Информация о движении средств СПН на ПС |
Исполнение обязательств по договору ОПС |
|
2.2 |
Сведения об умершем застрахованном лице |
2.2.1. Фамилия, имя, отчество 2.2.2. Дата смерти (число/месяц/год) 2.2.3. Наименование и входящий номер документа, содержащего достоверные сведения о смерти застрахованного лица 2.2.4. Доля распределения между правопреемниками согласно заявлению о распределении СПН |
Исполнение обязательств по договору ОПС |
|
2.3 |
Сведения о правопреемнике застрахованного лица |
2.3.1. Фамилия, имя, отчество 2.3.2. Пол 2.3.3. Дата рождения (число/месяц/год) 2.3.4. Место рождения 2.3.5. Адрес места жительства 2.3.6. Адрес регистрации 2.3.7. Паспортные данные (серия/номер/дата выдачи/кем выдан) 2.3.8. ИНН 2.3.9. СНИЛС 2.3.10. Контактная информация 2.3.11. Банковские реквизиты 2.3.12. Сумма СПН, начисленная к выплате |
Исполнение обязательств по договору ОПС. Выплата СПН правопреемникам застрахованного лица |
|
3. Обработка персональных данных при трансферагентской деятельности | |||
|
3.1 |
Сведения, обрабатываемые при трансферагентской деятельности |
3.1.1. Фамилия, имя, отчество 3.1.2. Пол 3.1.3. Дата рождения (число/месяц/год) 3.1.4. СНИЛС 3.1.5. Адрес места жительства |
Регистрация и передача в ПФР в электронном виде заявлений застрахованных лиц |
|
4. Обработка персональных данных работников пенсионного фонда | |||
|
4.1 |
Общие сведения о работнике |
4.1.1. Фамилия, имя, отчество 4.1.2. Паспортные данные (серия/номер/дата/кем выдан) 4.1.3. Пол 4.1.4. Дата рождения (число/месяц/год) 4.1.5. Место рождения 4.1.6. Адрес проживания (прописки) 4.1.7. Состояние в браке 4.1.8. Состав семьи 4.1.9. Место работы 4.1.10. ИНН 4.1.11. Номер страхового свидетельства ПФР 4.1.12. Номер ИПС 4.1.13. Уровень образования 4.1.14. Наименование учебного заведения 4.1.15. Год окончания 4.1.16. Номер диплома 4.1.17. Специальность по диплому 4.1.18. Квалификация по диплому 4.1.19. Данные о повышении квалификации 4.1.20. Форма профессионального послевузовского образования 4.1.21. Наименование образовательного/научного подразделения 4.1.22. Номер и дата выдачи удостоверения о дополнительном образовании 4.1.23. Специальность 4.1.24. Ученая степень 4.1.25. Ученое звание 4.1.26. Даты присвоения ученого звания/степени 4.1.27. Общий трудовой стаж 4.1.28. Сведения о социальных льготах 4.1.29. Сведения о поощрениях и наградах 4.1.30. Табельный номер работника 4.1.31. Должность работника 4.1.32. Структурное подразделение 4.1.33. Данные по отпускам 4.1.34. Статус военнообязанного 4.1.35. Сведения об организациях, в которых работник является собственником ценных бумаг (долей в уставном капитале) или имеет иную заинтересованность в изменении рыночной цены ценных бумаг этих организаций |
Ведение кадрового делопроизводства. Начисление заработной платы. Предотвращение конфликтов интересов |
|
4.2 |
Финансовые сведения по работнику |
4.2.1. Тарифная ставка (оклад) 4.2.2. Лицевой расчетный счет 4.2.3. Надбавка 4.2.4. Данные о начисленных суммах (заработной платы и иных) 4.2.5. Тип и сумма налогового вычета 4.2.6. Данные о суммах удержаний и перечислений из заработной платы работника согласно его заявлению или исполнительному листу |
Начисление заработной платы. Выплата заработной платы |
|
4.3 |
Сведения о родственниках работника |
4.3.1. Фамилия, имя, отчество 4.3.2. Место работы и занимаемая должность 4.3.3. Сведения об организациях, в которых родственник работника является собственником ценных бумаг (долей в уставном капитале) или имеет иную заинтересованность в изменении рыночной цены ценных бумаг этих организаций |
Предотвращение конфликтов интересов |
Таблица 2. Основание обработки персональных данных и сроки хранения
|
№ п/п |
Группа ПДн |
Основание для обработки ПДн |
Срок хранения, основание для прекращения обработки ПДн |
|
1. Обработка персональных данных клиентов по НПО | |||
|
1.1 |
Сведения об Участнике Фонда |
Осуществление деятельности по НПО (п. 2. ст. 2 Федерального закона «О негосударственных пенсионных фондах»). Пенсионные правила ННПФ. Договор НПО между Вкладчиком и Фондом |
Дело клиента по НПО хранится 75 лет. Заявление участника о расторжении договора НПО хранится 75 лет. Копия уведомления Участника о расторжении договора хранится 75 лет. Приказ о расторжении договора НПО и расчете выкупной суммы хранится 10 лет. Ведомость на выплату выкупных сумм по расторгаемым договорам хранится 5 лет. Справки по итогам года хранятся 5 лет. Журнал регистрации заявлений контрагентов хранится 3 года. Извещения о состоянии ИПС хранятся 75 лет. Реестры и ведомости на выплату пенсий Участникам хранятся 10 лет. Реестры пенсионных взносов хранятся 5 лет. Сведения о распределении пенсионных взносов по ИПС Участников хранятся 10 лет. Все остальные документы, не указанные в списке, хранятся в деле клиента 75 лет. Основания для прекращения обработки – прекращение действия договора НПО, исполнение обязательств по договору |
|
1.2 |
Сведения об умершем Участнике Фонда |
Осуществление деятельности по НПО (п. 2. ст. 2 Федерального закона «О негосударственных пенсионных фондах»). Пенсионные правила ННПФ. Договор НПО между Вкладчиком и Фондом. Документ, содержащий достоверные сведения о смерти Участника |
Решение о выплате выкупной суммы правопреемникам хранится 75 лет. Приказ о зачислении в страховой резерв Фонда не востребованных/не полученных правопреемниками умерших Участников выкупных сумм хранится 10 лет. Приказ о зачислении в РППО не выплаченных правопреемникам Участников Фонда выкупных сумм хранится 10 лет. Журнал регистрации смерти Участников хранится 3 года. Журнал решений о выплате выкупных сумм правопреемникам умерших Участников хранится 5 лет. Решение ННПФ об отказе в выплате выкупной суммы из средств, отраженных на ИПС умершего Участника, хранится 75 лет. Ведомость выплат выкупных сумм правопреемникам хранится 5 лет. Решение ННПФ о выплате выкупной суммы правопреемникам умершего Участника хранится 75 лет. Все остальные документы, не указанные в списке, хранятся в деле клиента 75 лет. Основания для прекращения обработки – прекращение действия договора НПО, исполнение обязательств по договору |
|
1.3 |
Сведения о правопреемнике Участника |
Осуществление деятельности по НПО (п. 2. ст. 2 Федерального закона «О негосударственных пенсионных фондах»). Пенсионные правила ННПФ. Договор НПО между Вкладчиком и Фондом. Заявление Участника о назначении правопреемника (-ов). Заявление правопреемника о выплате выкупной суммы | |
|
2. Обработка персональных данных клиентов по ОПС | |||
|
2.1 |
Сведения о застрахованном лице |
Осуществление деятельности по ОПС (п. 2 ст. 2 Федерального закона «О негосударственных пенсионных фондах»). Страховые правила ННПФ. Договор ОПС между застрахованным лицом и Фондом |
Дело клиента по ОПС хранится постоянно с даты заключения договора ОПС. Журнал регистрации заявлений контрагентов хранится 3 года. Ведомости на выплату накопительной части трудовой пенсии хранятся 10 лет. Все остальные документы, не указанные в списке, хранятся в деле клиента 75 лет. Основания для прекращения обработки – прекращение действия договора ОПС и исполнение обязательств по нему |
|
2.2 |
Сведения об умершем застрахованном лице |
Осуществление деятельности по ОПС (п. 2 ст. 2 Федерального закона «О негосударственных пенсионных фондах»). Страховые правила ННПФ. Договор ОПС между застрахованным лицом и Фондом. Документ, содержащий достоверные сведения о смерти застрахованного лица |
Сведения из ПФР о смерти застрахованного лица хранятся 5 лет. Все остальные документы, не указанные в списке, хранятся в деле клиента 75 лет. Основания для прекращения обработки – исполнение обязательств по договору ОПС |
|
2.3 |
Сведения о правопреемнике застрахованного лица |
Осуществление деятельности по ОПС (п. 2 ст. 2 Федерального закона «О негосударственных пенсионных фондах»). Страховые правила ННПФ. Договор ОПС между застрахованным лицом и Фондом. Заявление о распределении СПН. Заявление правопреемника о выплате / об отказе в получении СПН |
Ведомости на выплату СПН правопреемникам застрахованного лица хранятся 5 лет. Все остальные документы, не указанные в списке, хранятся в деле клиента 75 лет. Основания для прекращения обработки – выплата (в том числе дополнительная выплата) СПН правопреемникам умерших застрахованных лиц, прекращение действия договора |
|
3. Обработка персональных данных при трансферагентской деятельности | |||
|
3.1 |
Сведения, обрабатываемые при трансферагентской деятельности |
Ст. 36.7, 36.8, 36.11 Федерального закона «О негосударственных пенсионных фондах». Приказ Минфина России н «Об утверждении типовой формы соглашения о взаимном удостоверении подписей». Соглашение о взаимном удостоверении подписей |
Все документы хранятся 6 лет (в бумажном виде). Основание для прекращения обработки – передача в ПФР соответствующих заявлений застрахованных лиц в электронном виде |
|
4. Обработка персональных данных работников пенсионного фонда | |||
|
4.1 |
Общие сведения о работнике |
Трудовые отношения между работником и Фондом (ст. 16 ТК РФ). Трудовой договор с работником. Ст. 36.24 Федерального закона «О негосударственных пенсионных фондах» |
Документы о работнике хранятся 75 лет. Сведения о руководящем составе организации, работниках, имеющих государственные награды или иные звания и награды, хранятся 75 лет. Подлинные личные документы (трудовые книжки, дипломы, удостоверения и т. п.) хранятся до востребования (не востребованные – не менее 50 лет). Основание для прекращения обработки – увольнение работника |
|
4.2 |
Финансовые сведения по работнику |
Трудовые отношения между работником и Фондом (ст. 16 ТК РФ). Трудовой договор с работником |
Отчеты по перечислению денежных сумм по страхованию – 75 лет. Лицевые счета работников – 4 года. Документы на получение заработной платы, материальной помощи и др. – 5 лет. Сведения и справки о совокупном доходе работника за год и уплате налогов – 4 года. Сведения о задолженности в заработной плате, удержании из заработной платы, выплате отпускных и выходных пособий – 5 лет. Сумма пенсионных взносов – 5 лет. Основание для прекращения обработки – увольнение работника |
|
4.3 |
Сведения о родственниках работника |
Ст. 36.24 Федерального закона «О негосударственных пенсионных фондах». Трудовой договор с работником |
Хранятся 75 лет. Основание для прекращения обработки – увольнение работника |
Приложение д. Форма перечня подразделений и работников, допущенных к обработке персональных данных
ПЕРЕЧЕНЬ
подразделений и работников, допущенных к обработке персональных данных в
«_______________________»
|
№ п/п |
Структурное подразделение / Должность |
Перечень персональных данных, к которым имеет доступ работник[2] |
Приложение е. Форма перечня информационных систем персональных данных
|
№ п/п |
Наименование ИСПДн |
Территориальное размещение компонентов ИСПДн[3] |
Исходные данные ИСПДн |
Класс ИСПДн | |
|
Категория обрабатываемых ПДн: | |||||
|
Объем обрабатываемых ПДн: | |||||
|
Заданные характеристики безопасности ПДн: | |||||
|
Структура ИСПДн: | |||||
|
Наличие подключений к ССОП и СМИО (Интернет): | |||||
|
Местонахождение технических средств: | |||||
|
Категория обрабатываемых ПДн: | |||||
|
Объем обрабатываемых ПДн: | |||||
|
Заданные характеристики безопасности ПДн: | |||||
|
Структура ИСПДн: | |||||
|
Наличие подключений к ССОП и СМИО (Интернет): | |||||
|
Местонахождение технических средств: |
приложение ж. Форма журнала учета обращений субъектов персональных данных
|
№ п/п |
Дата обращения |
Номер входящего документа (заявление субъекта) |
Цель обращения |
Ф. И.О. работника, |
Действия по результатам обращения |
Примечание |
Приложение з. формА журналА учета мероприятий по защите информации
|
№ п/п |
Наименование мероприятия |
Краткое описание |
Дата проведения мероприятия |
Ф. И. О. лица, проводившего мероприятие |
Подпись лица, проводившего мероприятие |
Примечание |
Приложение и. Форма Журнала учета и выдачи машинных носителей персональныХ данныХ
|
№ п/п |
Ф. И.О. работника, получившего машинный носитель |
Подпись работника, получившего машинный носитель |
Структурное подразделение работника |
Идентификационный номер машинного носителя |
Ф. И. О. работника, выдавшего машинный носитель |
Подпись работника, выдавшего машинный носитель |
Отметка об уничтожении машинного носителя |
Дата |
Примечание |
Приложение к. форма Журнала учета ремонтно-восстановительных работ на основных технических средствах
|
№ п/п |
Наименование технического средства |
Инвентарный (заводской) номер техсредства |
Краткое описание ремонтных работ |
Ф. И. О. специалиста, проводившего работы |
Подпись специалиста, проводившего работы |
Подпись лица, принимавшего технику после ремонта |
Дата ремонта |
Примечание |
Приложение л. форма Журнала учета хранилищ носителей персональных данных
|
Дата |
Наименование хранилища (сейф, металлический шкаф) |
Инвентарный номер |
Местонахождение (подразделение, номер комнаты) |
Что находится (документы, изделия) |
Ф. И.О. ответственного за сейф (шкаф) |
Кол-во комплектов ключей и их номера |
Подпись ответственного за хранилище о выдаче ключа и дата |
Подпись, подтверждающая получение ключа, и дата |
Приложение м. Форма журнала учета используемых криптосредств, эксплуатационной и технической документации к ним
|
№ п/п |
Наименование криптосредства, эксплуатационной и технической документации к ним, ключевых документов |
Регистрационные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов |
Номера экземпляров (криптографические номера) ключевых документов |
Отметка о получении |
Отметка о выдаче | ||
|
От кого получены |
Дата и номер сопроводительного письма |
Ф. И.О. пользователя криптосредств |
Дата и расписка в получении | ||||
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
|
Отметка о подключении (установке) СКЗИ |
Отметка об изъятии СКЗИ из аппаратных средств, уничтожении ключевых документов |
Примечание | ||||
|
Ф. И.О. пользователя криптосредств, производившего подключение (установку) |
Дата подключения (установки) и подписи лиц, произведших подключение (установку) |
Номера аппаратных средств, в которые установлены или к которым подключены криптосредства |
Дата изъятия (уничтожения) |
Ф. И.О. пользователя СКЗИ, производившего изъятие (уничтожение) |
Номер акта или расписка об уничтожении | |
|
9 |
10 |
11 |
12 |
13 |
14 |
15 |
Приложение н. Форма акта классификации информационной системы персональных данных
А К Т № ______
классификации информационной системы персональных данных «_______________________________»
от «_____»________________2010 г.
Комиссия в составе:
Председатель:
_________________________
Члены комиссии:
_________________________
_________________________
_________________________
рассмотрела следующие исходные данные информационной системы персональных данных «______________________»:
________________________________________________________________________
________________________________________________________________________
________________________________________________________________________
________________________________________________________________________
________________________________________________________________________
На основании и в соответствии с Порядком проведения классификации информационных систем персональных данных (утв. совместным Приказом ФСТЭК России, ФСБ России и Мининформсвязи России /86/20), а также в результате анализа исходных данных и проведенного анализа и оценки угроз безопасности персональных данных с учетом особенностей данной информационной системы (результаты анализа закреплены в Модели угроз безопасности «_____________» от «___» ________ 20__ г. № ___) комиссия
РЕШИЛА:
1. Отнести информационную систему персональных данных «_________________» к специальным информационным системам, для которых нарушение заданных характеристик безопасности персональных данных, обрабатываемых в них, может привести к _________ последствиям для субъектов персональных данных.
2. Установить информационной системе персональных данных «____________» класс ______.
|
Председатель комиссии |
_____________________ |
_____________________ |
|
Члены комиссии |
_____________________ |
_____________________ |
|
_____________________ |
_____________________ | |
|
_____________________ |
_____________________ | |
|
_____________________ |
_____________________ |
Приложение о. Форма Акта об уничтожении носителей персональных данных
А К Т № ______
об уничтожении носителей, содержащих персональные данные
от «_____»________________20__ г.
Комиссия в составе:
< – должность;>
< – должность.>
составила настоящий акт о том, что произведено уничтожение носителей персональных данных в составе:
|
№ п/п |
Тип носителя |
Учетный номер носителя |
Категория информации |
Носители уничтожены путем сжигания/размагничивания/физического уничтожения/иного способа.
|
Члены комиссии | ||
|
_____________________ |
_____________________ | |
|
_____________________ |
_____________________ |
Обязательство о неразглашении сведений конфиденциального характера
ОБЯЗАТЕЛЬСТВО
о неразглашении сведений конфиденциального характера
Я, ___________________________________________________________________
(фамилия, имя, отчество, адрес, документ, удостоверяющий личность)
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________,
работник негосударственного пенсионного фонда «___________»,
обязуюсь:
а) не разглашать, не тиражировать и не передавать третьим лицам сведения конфиденциального характера, которые будут получены мною в рамках исполнения моих служебных обязанностей;
б) выполнять требования законодательства Российской Федерации к работе с конфиденциальной информацией;
в) в случае попытки посторонних лиц получить от меня конфиденциальную информацию, полученную мною в негосударственном пенсионном фонде «_______________», сообщить об этом в службу безопасности негосударственного пенсионного фонда «___________________».
Я предупрежден, что за разглашение сведений конфиденциального характера могу быть привлечен к ответственности в соответствии с действующим законодательством.
«____»_____________200__г. ________________________
(подпись)
Проинструктировал:
«____»_____________200__г. ________________________
(подпись)
[1] В случае использования в пенсионном фонде средств криптографической защиты информации для обеспечения безопасности персональных данных.
[2] Согласно перечню персональных данных, утвержденному в пенсионном фонде.
[3] С указанием физических адресов размещения.
