Партнерка на США и Канаду по недвижимости, выплаты в крипто
- 30% recurring commission
- Выплаты в USDT
- Вывод каждую неделю
- Комиссия до 5 лет за каждого referral
4. Журналы, ведомости
Ведение журналов учета и ведомостей осуществляется в соответствии с положениями, инструкциями, должностными обязанностями и иными организационно-распорядительными документами, в которых должны быть определены форма журнала, кем он ведется, кем и когда проверяется, а также указаны средства автоматизированного ведения (формирования) и анализа (мониторинга) журнала.
4.1. Электронный журнал учета обращений (запросов) пользователей ИС учреждения к персональным данным .
Электронный журнал - это своего рода "черный ящик". Знание того, что все действия с защищаемыми ресурсами ИС авторизуются и регистрируются в общем случае способствует созданию у пользователей мотивации к корректной работе и неукоснительному выполнению установленных правил и регламентов.
4.2. Журнал учета мероприятий по обеспечению безопасности информации в учреждении.
В журнале учитываются как плановые, так и ситуационно выполненные мероприятия, учет которых не предусмотрен в других журналах, в частности, контрольные проверки.
4.3. Журнал учета инструктажа сотрудников учреждения по обеспечению режима защиты информации.
В журнале учитываются как индивидуальные, так и коллективные формы инструктажа (занятия, семинары, тренинги, зачеты, допуск к работе и т. д.). В виде отдельного раздела в журнале ведется ведомость ознакомления сотрудников учреждения с документами по защите информации (под подпись).
4.4. Журнал(ы) учета сдачи под охрану и вскрытия служебных помещений.
Одновременно могут вестись несколько журналов - в зависимости от размещения помещений в здании(ях), организации охраны и пропускного режима в учреждении.
4.5. Ведомость учета пациентов, давших и отозвавших согласие на обработку их персональных данных.
4.6. Журнал учета обращений и информирования обучающегося (воспитанника) об обработке их персональных данных в учреждении.
По каждому случаю обращения (запроса) обучающегося (воспитанника) должна быть сделана запись о факте его информирования (ответе). В этом же журнале могут учитываться также обращения органов Роскомнадзора в учреждение за аналогичной информацией об обработке персональных данных.
4.7. Журнал учета обмена электронными сообщениями (документами) по защищенной сети передачи данных.
4.8. Журнал учета записи (копирования) персональных данных на внешние машинные носители.
В журнале должна быть предусмотрена возможность учета записи на внешний носитель и выдачи на руки пациенту под его роспись копий медицинских документов.
4.9. Журнал учета печати документов, содержащих персональные данные.
4.10. Журнал учета случаев нарушения режима (инцидентов) безопасности информации в учреждении.
Порядок ведения и форма журнала должны быть определены в Инструкции по действиям в нештатных ситуациях. По каждому случаю (инциденту) необходимо, кроме всего прочего, указать, как осуществлялось разбирательство, какие сделаны заключения (выводы), приняты меры и выполнены действия. Возможно также ведение учета инцидентов в общем журнале учета мероприятий по защите информации.
4.11. Журнал учета внешних машинных носителей информации.
Должен включать: 1) ведомость всех носителей с указанием их назначения, в том числе носителей данных: а) используемых для обмена данными, б) с резервными копиями; 2) собственно журнал учета выдачи (движения) носителей (кому и когда выдан, принят, где хранится, отметки о стирании информации) с подписью пользователя или ответственного лица; 3) раздел учета проверок наличия носителей. В журнале должно быть предусмотрено также ведение записей об уничтожении и(или) стирании информации с машинного носителя и его снятии с учета (утилизации). Должно быть предусмотрено ведение записей о проверке журнала должностными лицами учреждения.
4.12. Журнал учета резервного копирования и восстановления данных на программно-аппаратном комплексе ИС учреждения.
В журнале ведется учет копирования данных, записанных как на серверах, так и на отдельных рабочих станциях (компьютерах).
4.13. Журнал учета антивирусных проверок на программно-аппаратном комплексе ИС учреждения.
4.14. Журнал учетных записей пользователей информационной системы учреждения.
Форма журнала и порядок его ведения должны быть определены в Инструкции по организации парольной защиты в ИС учреждения.
4.15. Журнал учета мероприятий по техническому обслуживанию программно-технических средств информационной системы учреждения.
При необходимости учет мероприятий по техническому обслуживанию средств защиты информации в тех случаях, когда они выполняются организациями-лицензиатами ФСТЭК и(или) ФСБ, может осуществляться в отдельных (специальных) журналах или оформляться в виде актов о выполнении соответствующих работ.
4.16. Журнал(ы) учета настроек средств(а) защиты информации.
Ведется, если это требуется инструкцией по эксплуатации применяемого средства защиты информации.
4.17. Журнал учета заявок пользователей ИС на техническое обслуживание компьютеров.
В журнале должны учитываться обращения пользователей ИС в службу технической поддержки, в том числе связанных с работой средств защиты информации, заражением вирусами и т. д.
4.18. Журнал учета криптографических средств.
Ведется при использовании в системе сертифицированных ФСБ средств криптографической защиты информации.
4.19. Технический (аппаратный) журнал криптографического средства.
Ведется при использовании в системе сертифицированных ФСБ средств криптографической защиты информации.
4.20. Ведомость нормативно-методических, распорядительных и учетных документов по обеспечению безопасности информации в учреждении.
Ведомость необходима при проведении аттестации ИС на соответствие требованиям безопасности информации, а также при получении лицензии ФСТЭК на деятельность по технической защите информации.
4.21. Ведомость учета средств защиты информации, технической эксплуатационной документации системы защиты информации.
Необходимость учета средств технической защиты информации определена Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (утверждено Постановлением Правительства РФ от 01.01.2001 N 781).
5. Техническая документация
В учреждении необходимо обеспечить учет и иметь полный перечень (ведомость) всех технических (эксплуатационных) документов системы защиты информации. Техническая документация (ТД) должна содержать описание системы защиты информации в учреждении. Разработка комплекта ТД осуществляется в процессе проектирования и реализации (технорабочего проектирования) системы защиты информации в учреждении в соответствии с заданными требованиями к системе защиты.
Техническая документация на систему защиты информации должна включать:
5.1. План-схему контролируемой зоны;
5.2. План-схему инженерных коммуникаций, электроснабжения и заземления с привязкой к границам контролируемой зоны (для систем классов K1, К2);
5.3. План-схему размещения основных технических средств связи (ОТСС) и вспомогательных технических средств и систем (ВТСС) и их кабельных линий с привязкой к границам контролируемой зоны (для ИС ПДн классов K1, K2); входит в состав технического паспорта АС;
5.4. План-схему размещения технических средств информационной системы учреждения с привязкой к границам контролируемой зоны;
5.5. Перечень и спецификации используемых: а) средств вычислительной техники, б) общесистемного и прикладного программного обеспечения (с указанием их размещения (установки) на каждом компьютере/сервере);
5.6. Спецификации средств защиты информации (СЗИ) с указанием серийных (заводских) номеров изделий, реквизитов лицензий и сертификатов соответствия, а также перечней (реквизитов) эксплуатационной (технической) документации в СЗИ;
5.7. Инструкции по использованию аппаратных и программных СЗИ (в инструкции администратору ОБИ и пользователям ИС могут включаться ссылки на эти инструкции, их отдельные разделы и пункты);
5.8. Иную техническую документацию СЗИ (ведомость ЭД, описания, инструкции по установке, настройке и обслуживанию и т. д.);
5.9. Учетные эксплуатационные документы СЗИ (журналы учета настроек СЗИ, учета мероприятий по техническому обслуживанию СЗИ и др.);
5.10. Лицензии и копии сертификатов на используемые СЗИ, акты об их установке и вводе в действие.
Комплект ТД используется при проведении испытаний и оценке соответствия ИС ПДн учреждения установленным требованиям безопасности информации.
СОГЛАСИЕ СУБЪЕКТА НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 ФЗ «О персональных данных».
Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 статьи 6 ФЗ «О персональных данных».
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных (ст. 9 п. 1. ФЗ «О персональных данных»).
Согласие субъекта персональных данных, предусмотренное частью 1 статьи 6, не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
1. фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2. наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3. цель обработки персональных данных;
4. перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6. срок, в течение которого действует согласие, а также порядок его отзыва.
УВЕДОМЛЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Ссылка на форму электронного уведомления - http://www. pd. *****/operatorsregistry/notification/form/
КЛАССИФИКАЦИЯ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ
Категории обрабатываемых в информационной системе персональных данных:
Категория 1
персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни
Категория 2
персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1
Категория 3 персональные данные, позволяющие идентифицировать субъекта персональных данных
Категория 4 обезличенные и (или) общедоступные персональные данные
Объём обрабатываемых персональных данных:
Хнпд = 1
более чем 100000 субъектов персональных данных или персональные данные
субъектов персональных данных в пределах субъекта Российской Федерации
или Российской Федерации в целом
Хнпд = 2
от 1000 до 100000 субъектов персональных данных или персональные данные
субъектов персональных данных, работающих в отрасли экономики Российской
Федерации, в органе государственной власти, проживающих в пределах
Хнпд = 3 менее чем 1000 субъектов персональных данных или персональные данные
субъектов персональных данных в пределах конкретной организации
Xнпд Xпд | 3 | 2 | 1 |
категория 4 | К4 | К4 | К4 |
категория 3 | КЗ | КЗ | К2 |
категория 2 | КЗ | К2 | К1 |
категория 1 | К1 | К1 | К1 |
Итоги классификации информационной системы персональных данных фиксируют в акте.
ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ЗАКОНОДАТЕЛЬСТВА РОССИИ О ПЕРСОНАЛЬНЫХ ДАННЫХ. Извлечение.
статья | нарушение | ответственность |
КоАП | ||
Статья 5.39. Отказ в предоставлении гражданину информации. | Неправомерный отказ в предоставлении гражданину информации об обработке его персональных данных. | Штраф: на должностных лиц - 500 до 1000 руб. |
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) | Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) | Штраф: на должностных лиц - от 500 до 1000 руб.; на юридических лиц - от 5 000 до 10 000 руб. |
Статья 13.12. Нарушение правил защиты Информации | Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации. | Штраф: на должностных лиц - от 1000 до 2000 руб.; на юридических лиц - от 10 000 до 20 000 руб. (с конфискацией несертифицированных средств защиты информации или без таковой) |
Статья 13.14. Разглашение информации с ограниченным доступом | Разглашение персональных данных. | Штраф: на граждан - от 500 до 1000 руб.; на должностных лиц - от 4000 до 5000 руб. |
Статья 19.5. Невыполнение в срок законного предписания Невыполнение в установленный срок законного предписания Роскомнадзора. | Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля, его территориального органа. | Штраф: на должностных лиц - от 1000 до 2000 руб.; на юридических лиц - от 10 000 до 20 000 руб. Штраф: на должностных лиц - от 5000 до 10 000 руб.; на юридических лиц - от до руб. |
Статья 19.7. Непредставление сведений (информации) | Непредставление Уведомления в Управление Роскомнадзора по Челябинской области. | Штраф: на должностных лиц - от 300 до 500 руб.; на юридических лиц - от 3000 до 5000 руб. |
УГОЛОВНЫЙ КОДЕКС | ||
Статья 137. Нарушение неприкосновенности частной жизни
| Незаконное собирание или распространение персональных данных либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. | Штраф до руб., либо обязательные работы от 120 до 180 час., либо исправительные работы до 1 года, либо арест до 4 мес. |
Статья 272. Неправомерный доступ к компьютерной информации | Неправомерный доступ к охраняемой законом компьютерной информации (в т. ч. персональных данных). | Штраф до руб., либо лишение свободы до 2-х лет. |
ТРУДОВОЙ КОДЕКС | ||
Статья 81. Расторжение трудового договора по инициативе работодателя.
| Разглашение персональных данных другого работника. | Расторжение трудового договора по инициативе работодателя. |
Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника. | Нарушение норм, регулирующих получение, обработку и защиту персональных данных. | Дисциплинарная, материальная, административная, уголовная ответственность в соответствии с федеральным законодательством. |
ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ НА ПРЕДПРИЯТИИ
ПРОЕКТ
СПРАВОЧНЫЕ ДАННЫЕ ОРГАНИЗАЦИИ
УТВЕРЖДАЮ
Директор
ПОЛОЖЕНИЕ
Об обработке персональных данных
______________ № ___________
г. Челябинск
1. Общие положения
1.1. Настоящее Положение имеет своей целью закрепление механизмов обеспечения прав субъекта на сохранение конфиденциальности информации о фактах, событиях и обстоятельствах его жизни.
1.2. Настоящее Положение об обработке и защите персональных данных (далее - Положение) определяет порядок сбора, хранения, передачи и любого другого использования персональных данных работников, обучающихся (воспитанников) в соответствии с законодательством Российской Федерации и гарантии конфиденциальности сведений о работнике предоставленных работником работодателю.
1.3. Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации, Федеральным законом от 01.01.2001 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 01.01.2001 N 152-ФЗ "О персональных данных", иными нормативно-правовыми актами, действующими на территории Российской Федерации.
2. Основные понятия
Для целей настоящего Положения используются следующие понятия:
2.1. Оператор персональных данных (далее оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. В рамках настоящего положения оператором является - «Наименование организации";
2.2. Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация о физическом лице.
2.3. Субъект – субъект персональных данных.
2.4. Работник - физическое лицо, состоящее в трудовых отношениях с оператором.
2.5. Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
2.6. Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
2.7. Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
2.8. Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
2.9. Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
2.10. К персональным данным относятся:
2.10.1. Сведения, содержащиеся в основном документе, удостоверяющем личность субъекта.
2.10.2. Информация, содержащаяся в трудовой книжке работника.
2.10.3. Информация, содержащаяся в страховом свидетельстве государственного пенсионного страхования.
2.10.4. Сведения, содержащиеся в документах воинского учета для военнообязанных и лиц, подлежащих призыву на военную службу.
2.10.5. Сведения об образовании, квалификации или наличии специальных знаний или подготовки.
2.10.6. Сведения, содержащиеся в свидетельстве о постановке на учет физического лица в налоговом органе на территории Российской Федерации.
2.10.7. Сведения о семейном положении работника.
2.10.8. Информация медицинского характера, в случаях, предусмотренных законодательством.
2.10.9. Сведения о заработной плате работника.
2.10.10. Сведения о социальных льготах;
2.10.11. Сведения о наличии судимостей;
2.10.12. Место работы или учебы членов семьи;
2.10.13. Содержание трудового договора;
2.10.14. Подлинники и копии приказов по личному составу;
2.10.15. Основания к приказам по личному составу;
2.10.16. Документы, содержащие информацию по повышению квалификации и переподготовке сотрудника, его аттестация, служебное расследование.
2.10.17. Сведения о награждении государственными наградами Российской Федерации, Иркутской области, присвоении почетных, воинских и специальных званий.
3. Обработка персональных данных
3.1. Общие требования при обработке персональных данных.
В целях обеспечения прав и свобод человека и гражданина при обработке персональных данных обязаны соблюдаться следующие требования:
3.1.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативных правовых актов РФ и РТ, содействия субъектам персональных данных в трудоустройстве, продвижении по службе, обучении, контроля количества и качества выполняемой работы, обеспечения личной безопасности субъекта персональных данных и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества оператора.
3.1.2. Персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.
3.1.3. При принятии решений, затрагивающих интересы субъекта персональных данных, нельзя основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 |
