Журнал регистрации попыток несанкционированного доступа к базам данных органов и организаций Роспотребнадзора в субъектах Российской Федерации

Видео:Проверка Роспотребнадзора. Что делать?Скачать

Чек-лист. Какие документы по персональным данным должны быть у юридического лица для успешного прохождения проверки Роскомнадзора?

В последнее время скандалы, связанные с утечкой персональных данных, приобрели невиданный прежде масштаб. Подобные инциденты происходят все чаще. Финансовый и репутационный ущерб от их реализации становится все более ощутимым для компаний, а практика показывает, что даже у корпоративных гигантов отсутствует 100% уверенность в защищенности своей конфиденциальной информации.

Тем не менее, угроза эта касается не только крупных коммерческих организаций. Оператором персональных данных согласно российскому законодательству является любое юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных.

При этом исчерпывающего списка, что же является персональными данным, нет, но мы можем выделить самые важные из них:

ФИО;

дата рождения;

паспортные данные;

адрес места регистрации и/или проживания;

контактная информация;

номер ИНН;

номер СНИЛС;

номер банковской карты и/или лицевого счета.

Исходя из списка выше, можно понять, что в качестве оператора персональных данных может выступать любая организация, которая обрабатывает данные своих сотрудников. Следовательно, под проверку Роскомнадзора может попасть каждая организация.

Что первым проверит Роскомнадзор?

Роскомнадзор, конечно, не будет следить круглосуточно за вашей организацией. Первое, на что обратит внимание регулятор во время проверки, — наличие и актуальность документов, регламентирующих порядок сбора, хранения, обработки и уничтожения персональных данных граждан.

Эта организационно-распорядительная документация является фундаментом успешной и эффективной системы защиты информации, и потому очень важна.

ОРД определяет ответственных лиц, их обязанности, порядок работы с данными, уровень доступа, алгоритмы реагирования в случае возникновения инцидентов и другие важные нюансы.

Весь перечень документации, регламентирующей деятельность оператора ПДн, содержится более чем в 30 нормативно-правовых актах. Чтобы разобраться в них и выделить главное – понадобится большое количество времени.

Для вашего удобства мы собрали весь список, требуемых законодательством документов по персональным данным, в единый чек-лист.

Данный список поможет вам определить уровень готовности вашего пакета ОРД к проверкам регулятора.

Чек-лист готовности пакета документов к проверке Роскомнадзора для юридических лиц и индивидуальных предпринимателей.

1. 1. Акт установления уровня защищенности информационных систем персональных данных.
   2. Акт классификации государственной информационной системы или муниципальной информационной системы.
   3. Журнал регистрации письменных запросов граждан на доступ к своим персональным данным.

   4. Журнал регистрации обращений граждан для получения доступа к своим персональным данным.
   5. Журнал регистрации инцидентов информационной безопасности.
   6. Заключение об оценке вреда субъектам персональных данных.
   7. Инструкция об осуществлении контроля выполнения требования по защите персональных данных.

   8. Инструкция по допуску лиц в помещения, в которых ведется обработка персональных данных.
   9. Инструкция по учёту машинных носителей и регистрации их выдачи.
   10. Модель угроз.
   11. Отзыв согласия субъекта персональных данных.
   12. Перечень информационных систем персональных данных.
   13. Перечень мероприятий по защите персональных данных.

   14. План внутренних проверок состояния защиты персональных данных.
   15. Политика обработки персональных данных.
   16. Положение об ответственном за организацию обработки персональных данных.
   17. Положение о порядке обработки персональных данных.
   18. Положение по работе с инцидентами информационной безопасности.

   19. Приказ «О ведении журнала ознакомления работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и обучения указанных сотрудников.
   20. Приказ «О журнале учета посетителей».
   21. Приказ «О журнале регистрации инцидентов информационной безопасности».
   22. Приказ «О журнале учёта проверок юридического лица, индивидуального предпринимателя, проводимых органами государственного контроля (надзора), органами муниципального контроля».
   23. Приказ «О назначении ответственного за организацию обработки персональных данных».
   24. Приказ «О назначении комиссии по работе с инцидентами информационной безопасности».
   25. Приказ «О создании комиссии по установлению уровня защищенности персональных данных в информационных системах персональных данных».
   26. Приказ «Об организации мероприятий по защите персональных данных».
   27. Приказ «Об ответственности за обработку и защиту персональных данных».
   28. Приказ «Об установлении границ контролируемой зоны объектов информатизации».
   29. Приказ «Об утверждении мест хранения материальных носителей персональных данных».
   30. Приказ «Об утверждении перечня лиц, имеющих право доступа в помещения, где размещены используемые средства криптографической защиты информации (СКЗИ), хранятся СКЗИ и (или) носители ключевой и аутентифицирующей и парольной информации СКЗИ».
   31. Приказ «Об утверждении типового обязательства работника о неразглашении персональных данных субъектов персональных данных».
   32. Приказ «Об утверждении типовой формы разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные».
   33. Приказ «Об утверждении форм актов уничтожения персональных данных».
   34. Приказ «Об утверждении форм согласий на обработку персональных данных».
   35. Приказ «Об утверждении типовой формы поручения обработки персональных данных».
   36. Типовая форма поручения обработки персональных данных.
   37. Уведомление об обработке персональных данных.

Что делать, если ваш пакет ОРД неполный или ненадлежащего качества?

Естественно, организационно-распорядительную документацию необходимо привести в порядок – дополнить недостающими документами и актуализировать имеющиеся. Но разрабатывать документацию вручную — трудоемкий и длительный процесс. Автоматизируйте его! Воспользуйтесь системой DocShell. Узнайте, как она работает.

https://www.youtube.com/watch?v=tMqBBkMfvt8

Оставьте заявку на подключение бесплатного тестового доступа к системе по бесплатному номеру телефона 8-800-770-01-31.

Видео:Как подготовиться к проверке Роспотребнадзора?Скачать

Об обеспечении информационной безопасности при работе с базами данных органов и организаций Роспотребнадзора, Приказ Роспотребнадзора от 11 февраля 2008 года №42

В целях совершенствования политики информационной безопасности при работе с информационными фондами социально-гигиенического мониторинга, базами данных и в соответствии с решением коллегии Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека от 21 декабря 2007 года «О совершенствовании работы по организации и ведению социально-гигиенического мониторинга»

приказываю:

1. Утвердить «Положение об обеспечении информационной безопасности при работе с базами данных органов и организаций Роспотребнадзора в субъектах Российской Федерации» (приложение).

2. Руководителям территориальных органов и организаций Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека обеспечить реализацию мероприятий, предусмотренных «Положением об обеспечении информационной безопасности при работе с базами данных органов и организаций Роспотребнадзора в субъектах Российской Федерации».

3. Контроль за исполнением приказа возложить на заместителя руководителя Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека Н.В.Шестопалова.

РуководительГ.Г.Онищенко

Приложение. Положение об обеспечении информационной безопасности при работе с базами данных органов и организаций Роспотребнадзора в субъектах Российской Федерации

Приложение

УТВЕРЖДЕНОприказом Роспотребнадзора

от 11 февраля 2008 года N 42

1. Общие положения

1.

Положение об обеспечении информационной безопасности при работе с Базами данных (далее — Положение) предназначено для обеспечения эффективной организации и управления доступом пользователей к информации, хранящейся в Базах данных (далее — БД), и содержит требования по обеспечению информационной безопасности в части выполнения операций по организации и управлению доступом к Базам данных.

2. Работу системного администратора в области защиты информации определяет комплекс организационно-технических мероприятий по обеспечению безопасности информации, хранящейся в Базах данных и обрабатываемой средствами вычислительной техники в локальной вычислительной сети.

3. Требования Положения обязательны для выполнения всеми пользователями. Ответственность за выполнение требований Положения несут пользователь БД и начальник отдела, в котором работает данный пользователь. Пользователь, впервые начинающий работать с базами данных, обязан ознакомиться с данным Положением.

4. Все пункты Положения, упоминающие подключение к БД, распространяются также и на подключение к информационной системе с использованием БД (далее — ИСБД), если иное не оговорено явно в тексте Положения.

В настоящем Положении использованы следующие термины и определения:

1. База данных — централизованное хранилище информации, оптимизированное для многопользовательского доступа и работающее под управлением системы управления базами данных (далее — СУБД) (приложение N 5).

2. Системный администратор — должностное лицо, уполномоченное для выполнения административных функций при работе с локальной и территориальной сетью и обеспечивающее функционирование БД и ее безопасность.

3. Несанкционированный доступ (НСД) — определяется как доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

4. Информационная система с использованием БД — система или приложение, использующее непосредственный доступ к БД.

5. Пользователи — должностные лица, а также все другие лица и организации, использующие базы данных органов и управлений либо обращающиеся к ним.

6. ЛВС — локальная вычислительная сеть.

7.

Политика информационной безопасности — комплекс организационно-технических мероприятий, правил и условий использования информационных систем в органах и организациях Роспотребнадзора, определяющих нормальное функционирование этих систем и обеспечение безопасности информации, обрабатываемой в них, оформленных в виде нормативных документов.

Настоящее Положение устанавливает цели, задачи, порядок проведения мероприятий по обеспечению безопасности при работе с базами данных.

2. Цели и задачи проведения мероприятий по безопасности

Целью проведения мероприятий по обеспечению безопасности при работе с БД является предотвращение вывода из строя системы управления базы данных, предотвращение НСД к БД, находящейся на электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети.

3. Порядок проведения мероприятий по обеспечению работы с БД

3.1. Требования к серверному помещению:

Для обеспечения безопасности базы данных и бесперебойной работы системы сервер и компьютер управления БД размещается в отдельном помещении.

Требования к помещению:

— Расчет общей площади серверного помещения при проектировании рабочих мест выполняется по рекомендованной норме площади на одно рабочее место: сотрудник — 4,5 м; программист — 6 м; персонал по обслуживанию вычислительной техники — 6 м.

— Оконный блок со стеклопакетами, подвесной потолок с панелями из негорючего шумопоглощающего материала, стены — панели из негорючего шумопоглощающего материала, шкафчик с 2 автоматами защиты (УЗО) на 10А, блок розеток: Электро — 4, LAN — 1, Phone — 1, пол — линолеум, оборудовать дренаж (для эвакуации воды при аварийном затоплении), металлическая дверь с уплотнителем, оборудование — компьютерный стол (металлический каркас), кресло, несгораемый шкаф (для хранения дисков аварийного восстановления), коммуникации — 2 однофазных шлейфа, подключаемых к различным фазам распределительного электрощита и к разным автоматам УЗО, уложенных в короб, кабель LAN и кабель ADSL — каждый в своем коробе, сигнализация — датчик возгорания — 1 шт., датчики затопления — 2 шт., датчики проникновения: на входной двери — 2 шт., на окне (если будет открываться) — 2 шт., на каждом стеклопакете оконного блока — по 1 шт., датчик разрушения стены — на кирпичной перегородке, сплит-система с поддержанием заданных параметров температуры и влажности, и с фильтрованием наружного воздуха.

Приказом по органу или организации Роспотребнадзора определяется и фиксируется круг лиц, имеющих доступ в помещение, где находится сервер и компьютер управления БД. Для исключения возможности несанкционированного доступа к серверу БД обеспечивается механическая защита помещения сервера с системой контроля доступа.

В целях предотвращения НСД к серверу БД систематически проводит обновление программных средств.

3.2. Требования к автоматизированному рабочему месту системного администратора:

Серверная оборудуется автоматизированным рабочим местом для работы системного администратора.

Рабочее место системного администратора должно быть обеспечено доступом в Интернет, телефонной связью с выходом на междугородную линию. Для создания резервных копий ОС и БД компьютер администратора укомплектовывается внешними носителями информации.

Для бесперебойной работы сервера БД и предотвращения потери информации рабочие станции и сервера укомплектовываются блоками бесперебойного питания.

4. Порядок работы по защите информации при работе с БД

4.1. Порядок работы пользователя по защите информации при работе с БД.

4.1.1. Порядок работы пользователя по защите информации при работе с БД определяется комплексом организационно-технических мероприятий по обеспечению безопасности информации, хранящейся в БД и обрабатываемой с помощью средств вычислительной техники в ЛВС органа или организации Роспотребнадзора.

4.1.2. Решение задач, связанных с организацией и управлением доступа должностных лиц органа или организации Роспотребнадзора к БД, осуществляется системным администратором.

При возникновении ситуаций, не описываемых в данном Положении, решение принимает системный администратор, руководствуясь порядком работы системного администратора по защите информации при работе с БД органов и организаций Роспотребнадзора.

4.1.3. Ответственность за сохранность и правильное использование информации, полученной из БД, несут пользователь, имеющий доступ к БД, и начальник (заведующий) структурного подразделения, в составе которого работает пользователь. Ответственность наступает с момента поступления информации на рабочую станцию пользователя.

4.1.4. Для обеспечения доступа пользователей к БД на их рабочих станциях должно быть установлено специальное программное обеспечение, обеспечивающее доступ и выполнение операций с информацией в БД.

4.1.5. Пользователям запрещается самостоятельно устанавливать другое программное обеспечение (или менять параметры конфигурации ранее установленных программных средств) для доступа и манипулирования данными в БД. Запрещается копирование специального ПО и файлов БД на личные съемные носители.

4.1.6. Запрещается использовать для передачи БД не предназначенные для этого средства и каналы связи.

4.1.7. Доступ к БД предоставляется исключительно пользователям, прошедшим инструктаж согласно политике информационной безопасности.

4.1.8. Список лиц, имеющих доступ к БД, определяется приказом руководителя (главного врача) органов и организаций Роспотребнадзора в субъектах Российской Федерации.

4.1.9. Для каждого из пользователей, которым необходим доступ к БД, создается учетная запись о пользователе БД, состоящая из имени пользователя и пароля. Не допускается использование простых паролей. Срок действия активной учетной записи пользователя БД ограничен сроком действия служебного контракта.

Первоначальное значение пароля устанавливается системным администратором. Периодичность, порядок и технология изменения пароля доводится системным администратором до пользователей.

Пользователю запрещается использовать пароль, предоставленный системным администратором для первоначального доступа к БД, в качестве постоянного рабочего пароля.

4.1.10. Не допускается использование различными пользователями одной и той же учетной записи. Это правило действует и в тех случаях, когда пользователи имеют одинаковые полномочия по доступу к БД. Для ИСБД данные требования могут не применяться, если в технологической схеме есть прямое указание на возможность коллективного использования одной учетной записи.

💡 Видео

Заполнение журнала регистрации НС и ПВСкачать

Какие должны быть журналы регистрации и как их прошить - Елена А. ПономареваСкачать

Как заполнить журнал регистрации вводного инструктажаСкачать

Проверка клиники Роспотребнадзора. Что делать?Скачать

Когда гражданин не обязан предоставлять копию своего паспорта, даже если в организации ее требуютСкачать

Заполнение журнала регистрации инструктажа на рабочем местеСкачать

Отчетная документация при проведении проверки РоспотребнадзоромСкачать

Порядок проверки Роспотребнадзора: советы адвокатаСкачать

Журналы регистрации кадровых документов - Елена А. ПономареваСкачать

Что теперь будет, если не жить по месту своей регистрации: возможные последствияСкачать

С работы уволили, денег нет, а до пенсии еще несколько лет: как получить выплату от государстваСкачать

Константа // Начальник отдела защиты прав потребителей Роспотребнадзора РХ Вера УрмацкихСкачать

Не заключал договор, нет квитанций, не прописан: отвечаю на главные вопросы о плате за вывоз мусораСкачать

ОФОРМИЛИ РЕГИСТРАЦИЮ – НО ЕЕ НЕТ В БАЗЕ: почему такое происходит и что делать?Скачать

Журнал – график проведения генеральных уборок (общественное питание)Скачать

Ведение журнала регистрации вводного инструктажа и внесение исправлений.Скачать

1С:Архив – новое решение для хранения и поддержания электронных документов - 8.11.2022Скачать

Вебинар: Обеспечение безопасности критической информационной инфраструктурыСкачать