Список документов по защите ИСПДн
Добавлено: 13 окт 2014, 15:51
Добрый день! Попытался систематизировать документы необходимые для защиты ИСПДн.
Если в чем, то не прав поправите.
P.S. Пытаюсь привести документы в учреждении в соответствии с новыми требованиями
Ниже приведен список документов.
1. Приказ о назначении ответственного за обработку персональных данных
Ответственный осуществляет: контроль соблюдения сотрудниками, обрабатывающими персональные данные, правил обработки и обеспечения безопасности персональных данных.
2. Приказ о назначении администратора безопасности информационных систем персональных данных
Основная задача администратора безопасности - обеспечение защищенности персональных данных в организации. Администраторов безопасности может быть несколько.
3. Приказ «О проведении работ по защите персональных данных»
Приказ вводит в действие документы по защите персональных данных.
4. Политика информационной безопасности
Документ определяет основные требования к персоналу ИСПДн, степень ответственности персонала, структуру и необходимый уровень защищенности, статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в ИСПДн.
5. Положение по защите персональных данных
Определяет основные цели и задачи, а также общую стратегию построения системы защиты персональных данных
6. Положение об обработке персональных данных работников
Определяет порядок обработки персональных данных работников; права и обязанности организации и работников, связанные с обработкой персональных; защиту персональных данных работников. Все работники должны быть ознакомлены с ним под роспись.
7. План мероприятий по обеспечению безопасности персональных данных
Определяет какие мероприятия должны быть исполнены и в какой срок. Большинство мероприятий реализуются утверждением документов, входящих в состав настоящего пакета. Если какие то мероприятие нет возможности выполнить в обозримом будущем, то их нужно либо удалить из Плана, либо указать в сроке исполнения «далекую» дату.
8. Перечень персональных данных
Определяет какие персональные данные обрабатываются в организации, правовые основания их обработки. Кроме того в перечне указаны сроки и места хранения информации, содержащей персональные данные.
9. Согласие на обработку персональных данных
Согласие пациента на обработку его персональных данных
10. Перечень информационных систем персональных данных
Перечень ИСПДн требуется в соответствии с Постановлением №211 от 21 марта "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных"
11. Инструкция по обработке персональных данных без использования средств автоматизации
В инструкции приведены особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации, а также меры по обеспечению их безопасности.
12. Приказ о создании комиссии для определения уровня защищенности
Данным приказом назначается комиссия для определения уровня защищенности информационных систем персональных данных организации.
13. Акт определения уровня защищенности ИСПДн "Пациенты"
Составляется комиссией. Комиссия назначается отдельным приказом руководителя из числа штатных сотрудников.
14. Акт определения уровня защищенности ИСПДН "Сотрудники"
Составляется комиссией. Комиссия назначается отдельным приказом руководителя из числа штатных сотрудников.
15. Положение о разграничении прав доступа к персональным данным
В данном документе представлен список лиц, ответственных за обработку персональных данных в информационных системах персональных данных, а так же их уровень прав доступа к обрабатываемым персональным данным.
16. Инструкция по работе с обращениями субъектов персональных данных
Определяет порядок реагирования на обращения субъектов персональных данных.
17. Инструкция администратора безопасности информационной системы персональных данных
Определяет обязанности и полномочия администратора информационной безопасности
18. Инструкция пользователя информационной системы персональных данных
Определяет обязанности и полномочия пользователей ИСПДн
19. Инструкция по обеспечению безопасности рабочих мест обработки персональных данных
Определяет требования по защите рабочих мест ИСПДн, на которых ведется обработка и хранение персональных данных
20. Порядок резервирования и восстановления работоспособности
Определяет меры и средства поддержания непрерывности работы и восстановления работоспособности ИСПДн
21. Инструкция по работе со съемными носителями, содержащими персональные данные
Определяет порядок работы со съемными носителями персональных данных
22. Инструкция о порядке физической охраны помещений, содержащих носители персональных данных
Определяет обязанности должностных лиц и порядок взаимодействия между структурными подразделениями Оператора по обеспечению безопасности носителей персональных данных
23. Инструкция о порядке проведения разбирательств по фактам нарушений
Инструкция определяет порядок проведения разбирательств по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных
24. Описание технологического процесса обработки персональных данных
Описывает порядок обработки персональных данных в организации.
25. Журнал антивирусных проверок
Журнал заполняется администратором безопасности по результатам каждой антивирусной проверки серверов и рабочих мест информационной системы.
26. Журнал учета логинов
Журнал заполняется администратором безопасности. В нем указываются логины, присвоенные каждому сотруднику, имеющему доступ к информационной системе.
27. Журнал учета обращений субъектов
В журнале фиксируются все обращения субъектов персональных данных, а также ответы на них.
28. Журнал учета СЗИ
Журнал заполняется администратором безопасности. В нем фиксируются все средства защиты информации, установленные в организации. Указывается место установки и учетные номера средств защиты.
29. Журнал учета съемных носителей
Журнал заполняется администратором безопасности. В журнале указываются учетные номера всех съемных носителей, содержащих персональные данные.
30. Приказ о контролируемой зоне
Контролируемая зона - это пространство, в котором исключено неконтролируемое пребывание сотрудников и посетителей оператора и посторонних транспортных, технических и иных материальных средств. Все элементы ИСПДн должны располагаться в пределах контролируемой зоны.
31. Перечень помещений, предназначенных для обработки персональных данных
Документ определяет перечень помещений, в которых производится обработка (в том числе и хранение) персональных данных. За каждым помещением закрепляется ответственный.
32. Порядок уничтожения носителей персональных данных
Определяет как правильно уничтожать носители персональных данных.
33. Приказ об утверждении перечня сотрудников, допущенных к обработке персональных данных
Утверждает перечень сотрудников, допущенных к обработке персональных данных, как в ИСПДн, так и без использования средств автоматизации.
34. Дополнения в договоры с работниками, обрабатывающими персональные данные
Рекомендуется внести предлагаемые дополнения в трудовые договоры (должностные инструкции) с работниками, обрабатывающими персональные данные
35. Обязательство о неразглашении информации, содержащей персональные данные
Оформляется в случае если обязательства о неразглашении персональных данных не прописаны в трудовом договоре с работниками, допущенными к обработке.
36. Инструкция по работе с обезличенными персональными данными
Инструкция требуется только для государственных и муниципальных учреждений в в соответствии с Постановлением №211 от 21 марта "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных".
37. Согласие на обработку персональных данных
Шаблон согласия сотрудника на обработку его персональных данных
38. Отзыв согласия на обработку персональных данных
Шаблон отзыва согласия на обработку персональных данных
39. Инструкция осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
Инструкция требуется только для государственных и муниципальных учреждений в в соответствии с Постановлением №211 от 21 марта "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных".
Если в чем, то не прав поправите.
P.S. Пытаюсь привести документы в учреждении в соответствии с новыми требованиями
Ниже приведен список документов.
1. Приказ о назначении ответственного за обработку персональных данных
Ответственный осуществляет: контроль соблюдения сотрудниками, обрабатывающими персональные данные, правил обработки и обеспечения безопасности персональных данных.
2. Приказ о назначении администратора безопасности информационных систем персональных данных
Основная задача администратора безопасности - обеспечение защищенности персональных данных в организации. Администраторов безопасности может быть несколько.
3. Приказ «О проведении работ по защите персональных данных»
Приказ вводит в действие документы по защите персональных данных.
4. Политика информационной безопасности
Документ определяет основные требования к персоналу ИСПДн, степень ответственности персонала, структуру и необходимый уровень защищенности, статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в ИСПДн.
5. Положение по защите персональных данных
Определяет основные цели и задачи, а также общую стратегию построения системы защиты персональных данных
6. Положение об обработке персональных данных работников
Определяет порядок обработки персональных данных работников; права и обязанности организации и работников, связанные с обработкой персональных; защиту персональных данных работников. Все работники должны быть ознакомлены с ним под роспись.
7. План мероприятий по обеспечению безопасности персональных данных
Определяет какие мероприятия должны быть исполнены и в какой срок. Большинство мероприятий реализуются утверждением документов, входящих в состав настоящего пакета. Если какие то мероприятие нет возможности выполнить в обозримом будущем, то их нужно либо удалить из Плана, либо указать в сроке исполнения «далекую» дату.
8. Перечень персональных данных
Определяет какие персональные данные обрабатываются в организации, правовые основания их обработки. Кроме того в перечне указаны сроки и места хранения информации, содержащей персональные данные.
9. Согласие на обработку персональных данных
Согласие пациента на обработку его персональных данных
10. Перечень информационных систем персональных данных
Перечень ИСПДн требуется в соответствии с Постановлением №211 от 21 марта "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных"
11. Инструкция по обработке персональных данных без использования средств автоматизации
В инструкции приведены особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации, а также меры по обеспечению их безопасности.
12. Приказ о создании комиссии для определения уровня защищенности
Данным приказом назначается комиссия для определения уровня защищенности информационных систем персональных данных организации.
13. Акт определения уровня защищенности ИСПДн "Пациенты"
Составляется комиссией. Комиссия назначается отдельным приказом руководителя из числа штатных сотрудников.
14. Акт определения уровня защищенности ИСПДН "Сотрудники"
Составляется комиссией. Комиссия назначается отдельным приказом руководителя из числа штатных сотрудников.
15. Положение о разграничении прав доступа к персональным данным
В данном документе представлен список лиц, ответственных за обработку персональных данных в информационных системах персональных данных, а так же их уровень прав доступа к обрабатываемым персональным данным.
16. Инструкция по работе с обращениями субъектов персональных данных
Определяет порядок реагирования на обращения субъектов персональных данных.
17. Инструкция администратора безопасности информационной системы персональных данных
Определяет обязанности и полномочия администратора информационной безопасности
18. Инструкция пользователя информационной системы персональных данных
Определяет обязанности и полномочия пользователей ИСПДн
19. Инструкция по обеспечению безопасности рабочих мест обработки персональных данных
Определяет требования по защите рабочих мест ИСПДн, на которых ведется обработка и хранение персональных данных
20. Порядок резервирования и восстановления работоспособности
Определяет меры и средства поддержания непрерывности работы и восстановления работоспособности ИСПДн
21. Инструкция по работе со съемными носителями, содержащими персональные данные
Определяет порядок работы со съемными носителями персональных данных
22. Инструкция о порядке физической охраны помещений, содержащих носители персональных данных
Определяет обязанности должностных лиц и порядок взаимодействия между структурными подразделениями Оператора по обеспечению безопасности носителей персональных данных
23. Инструкция о порядке проведения разбирательств по фактам нарушений
Инструкция определяет порядок проведения разбирательств по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных
24. Описание технологического процесса обработки персональных данных
Описывает порядок обработки персональных данных в организации.
25. Журнал антивирусных проверок
Журнал заполняется администратором безопасности по результатам каждой антивирусной проверки серверов и рабочих мест информационной системы.
26. Журнал учета логинов
Журнал заполняется администратором безопасности. В нем указываются логины, присвоенные каждому сотруднику, имеющему доступ к информационной системе.
27. Журнал учета обращений субъектов
В журнале фиксируются все обращения субъектов персональных данных, а также ответы на них.
28. Журнал учета СЗИ
Журнал заполняется администратором безопасности. В нем фиксируются все средства защиты информации, установленные в организации. Указывается место установки и учетные номера средств защиты.
29. Журнал учета съемных носителей
Журнал заполняется администратором безопасности. В журнале указываются учетные номера всех съемных носителей, содержащих персональные данные.
30. Приказ о контролируемой зоне
Контролируемая зона - это пространство, в котором исключено неконтролируемое пребывание сотрудников и посетителей оператора и посторонних транспортных, технических и иных материальных средств. Все элементы ИСПДн должны располагаться в пределах контролируемой зоны.
31. Перечень помещений, предназначенных для обработки персональных данных
Документ определяет перечень помещений, в которых производится обработка (в том числе и хранение) персональных данных. За каждым помещением закрепляется ответственный.
32. Порядок уничтожения носителей персональных данных
Определяет как правильно уничтожать носители персональных данных.
33. Приказ об утверждении перечня сотрудников, допущенных к обработке персональных данных
Утверждает перечень сотрудников, допущенных к обработке персональных данных, как в ИСПДн, так и без использования средств автоматизации.
34. Дополнения в договоры с работниками, обрабатывающими персональные данные
Рекомендуется внести предлагаемые дополнения в трудовые договоры (должностные инструкции) с работниками, обрабатывающими персональные данные
35. Обязательство о неразглашении информации, содержащей персональные данные
Оформляется в случае если обязательства о неразглашении персональных данных не прописаны в трудовом договоре с работниками, допущенными к обработке.
36. Инструкция по работе с обезличенными персональными данными
Инструкция требуется только для государственных и муниципальных учреждений в в соответствии с Постановлением №211 от 21 марта "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных".
37. Согласие на обработку персональных данных
Шаблон согласия сотрудника на обработку его персональных данных
38. Отзыв согласия на обработку персональных данных
Шаблон отзыва согласия на обработку персональных данных
39. Инструкция осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
Инструкция требуется только для государственных и муниципальных учреждений в в соответствии с Постановлением №211 от 21 марта "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных".