Выполнение организационных мер по ФЗ–152.
№
п/п
| Наименование нормативного документа
| Требование нормативного документа
| Рекомендации по возможной реализации требования
|
| ч. 3 ст. 6 ФЗ–152
| Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта
| Наличие договоров (поручений) оператора с третьими лицами на обработку персональных данных
|
| ч. 4 ст. 9 ФЗ–152
| Обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных
| Наличие письменного согласия субъекта персональных данных на обработку персональных данных соответствующего требованиям законодательства Российской Федерации
|
| ст. 10 ФЗ– 152
| Выполнение условий обработки специальных категорий ПДн
| Если ведется обработка, то необходимо:
– наличие письменного согласия субъекта персональных данных на обработку специальных категорий персональных данных;
– документальное подтверждение причин обработки в соответствии со статьей 10
|
| ст. 11 ФЗ– 152
| Выполнение условий обработки биометрических персональных данных
| Если ведется обработка, то необходимо:
– наличие письменного согласия субъекта персональных данных на обработку специальных категорий персональных данных;
Российской Федерации документальное подтверждение причин обработки в соответствии со статьей 11
|
| ст. 12 ФЗ– 152
| Выполнение условий защиты при трансграничной передаче персональных данных
| Если ведется передача, то необходимо:
– наличие письменного согласия субъекта персональных данных на обработку специальных категорий персональных данных;
– документальное подтверждение, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных
|
| ст. 18 ФЗ– 152
| Обязанности оператора при сборе персональных данных
| Наличие "Разъяснения субъекту персональных данных юридических последствий отказа предоставить его персональные данные". Выполнение записи, систематизации, накопления, хранения, уточнения (обновление, изменение), извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации
|
| ст. 18. 1 ФЗ– 152
| Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
| Оператор обязан:
1) назначить ответственного за организацию обработки персональных данных;
2) издать документы:
– определяющие политику оператора в отношении обработки ПДн (опубликовать или иным образом обеспечить неограниченный доступ к документу, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно– телекоммуникационной сети),
Рекомендуемый параметр: документы, определяющие политику в отношении обработки персональных данных, соответствуют "Рекомендациям по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152– ФЗ "О персональных данных" (https://rkn.gov.ru/personal– data/p908/)
– локальные акты по вопросам обработки ПДн, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) осуществлять внутренний контроль и (или) аудит соответствия обработки ПДн законодательству и локальным актам оператора;
4) провести оценку вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых оператором мер;
5) проводить ознакомление работников оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства о ПДн и локальными актами по вопросам обработки ПДн.
|
| ст. 19 ФЗ– 152
| Меры по обеспечению безопасности персональных данных при их обработке
| 1) разработка модели угроз безопасности ПДн при их обработке в информационных системах персональных данных;
2) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
3) проведение оценки эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы персональных данных;
4) ведение учета машинных носителей персональных данных;
5) обнаружение фактов НСД к ПДн и принятие мер;
6) восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (регламент резервного копирования);
7) проведение периодического контроля за принимаемыми мерами по обеспечению безопасности ПДн и проведение оценки уровня защищенности информационных систем ПДн.
|
| п. 4 ст. 21 ФЗ– 152
| Соответствие сроков хранения персональных данных целям их обработки
| Проверка соответствия сроков хранения персональных данных целям их обработки (трудовой договор, договор на оказание услуг, журнал регистрации), порядок уничтожения.
|
| п. 3 ч. 4 ст. 22.1 ФЗ– 152
| Лицо, ответственное за организацию обработки персональных данных, в частности, обязано организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов
| Проверка организации приема и обработки обращений и запросов субъектов персональных данных или их представителей.
|
Выполнение требований Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 № 687 (далее – требования Положения).
№
п/п
| Пункт в требовании Положения
| Требование нормативного документа
| Рекомендации по возможной реализации требования
|
| Пункт 13
| Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ
| Приказ об определении мест хранения ПДн;
Перечень лиц, осуществляющих обработку персональных данных. Документы по организации хранения, наличие и состояние сейфов, порядок закрытия и опечатывания сейфов.
(Проверка соблюдения требований законодательства при обработке персональных данных работника кадровой службой. Ст. 85 – ст. 90 Трудового кодекса Российской Федерации. Указ президента Российской Федерации от 30.05.2005 № 609 "Об утверждении Положения о персональных данных государственного гражданского служащего РФ и ведении его личного дела)"
|
| Пункт 14
| Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях
| Организация раздельного хранения
|
| Пункт 15
| При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором
| Перечень лиц, имеющих доступ к местам хранения ПДн (Проверка наличия охраны помещений, в которых ведется работа с персональными данными (документы по оборудованию помещений средствами защиты))
|
Выполнение требований к защите персональных данных при их обработке в информационных системах персональных данных утвержденных постановлением Правительства Российской Федерации от 01.11.2012 № 1119 (далее – Требования к защите ПДн).
№
п/п
| Пункт в Требованиях к защите ПДн
| Требование нормативного документа
| Рекомендации по возможной реализации требования
|
| Пункты 7,8
| Определение типа угроз безопасности персональных данных, актуальных для информационной системы и уровня защищенности персональных данных
| Акт определения уровня защищенности
|
| Пункты 13, 14, 15, 16
| Выполнение требований пунктов по уровням
| Проведение организационных и технических мероприятий по реализации требований по определенному уровню защищенности
|
| Пункт 17
| Контроль за выполнением требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).
| Организация контроля
| Выполнение требований Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК России) от 18.02.2013 № 21 (далее – приказ ФСТЭК № 21).
№
п/п
| Пункт в Приказе ФСТЭК № 21
| Требование нормативного документа
| Рекомендации по возможной реализации требования
|
| Пункт 4 приказа
| Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия.
| Наличие документов на средства защиты, подтверждающих проведение оценки соответствия
|
| Пункт 6 приказа
| Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года
| Наличие документов по оценке эффективности реализованных в рамках системы защиты ПДн, мер по обеспечению безопасности ПДн. Соблюдение периодичности оценки
|
| Пункт 8.1 приказа
| Реализация меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).
| Реализация данной меры в соответствии с установленным уровнем защищенности (приложение) приказа ФСТЭК № 21
|
| Пункт 8.2 приказа
| Реализация меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил.
| Реализация данной меры в соответствии с установленным уровнем защищенности (приложение) приказа ФСТЭК № 21
|
| Пункт 8.3 приказа
| Реализация меры по ограничению программной среды должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения.
| Реализация данной меры в соответствии с установленным уровнем защищенности (приложение) приказа ФСТЭК № 21
|
| Пункт 8.4 приказа
| Реализация меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных.
| Реализация данной меры в соответствии с установленным уровнем защищенности (приложение) приказа ФСТЭК № 21 и в соответствии с моделью угроз утвержденной в организации
|
| Пункт 8.5 приказа
| Реализация меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.
| Реализация данной меры в соответствии с установленным уровнем защищенности (приложение) приказа ФСТЭК № 21 и в соответствии с моделью угроз утвержденной в организации
|
| Пункт 8.6 приказа
| Реализация меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.
| Реализация данной меры в соответствии с установленным уровнем защищенности (приложение) приказа ФСТЭК № 21 и в соответствии с моделью угроз утвержденной в организации
|
| Пункт 8.7 приказа
| Реализация меры по обнаружению (предотвращению) вторжений должны обеспечивать обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия
| Реализация данной меры в соответствии с установленным уровнем защищенности (приложение) приказа ФСТЭК № 21 и в соответствии с моделью угроз утвержденной в организации
|
| Пункт 8.8 приказа
| Реализация меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных
| Реализация данной меры в соответствии с установленным уровнем защищенности (приложение) приказа ФСТЭК № 21 и в соответствии с моделью угроз утвержденной в организации
|
| Пункт 8.9 приказа
| Реализация меры по обеспечению целостности информационной системы и персональных данных должны обеспечивать обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных.
| Реализация данной меры в соответствии с установленным уровнем защищенности (приложение) приказа ФСТЭК № 21 и в соответствии с моделью угроз утвержденной в организации
|
| Пункт 8.10 приказа
| Реализация меры по обеспечению доступности персональных данных должны обеспечивать авторизованный доступ пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования информационной системы
| Реализация данной меры в соответствии с установленным уровнем защищенности (приложение) приказа ФСТЭК № 21 и в соответствии с моделью угроз утвержденной в организации
|
| Пункт 8.11 приказа
| Реализация меры по защите среды виртуализации должны исключать несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям
| Реализация данной меры в соответствии с установленным уровнем защищенности (приложение) приказа ФСТЭК № 21 и в соответствии с моделью угроз утвержденной в организации
|
| Пункт 8.12 приказа
| Реализация меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее – средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей
| Реализация данной меры в соответствии с установленным уровнем защищенности (приложение) приказа ФСТЭК № 21 и в соответствии с моделью угроз утвержденной в организации
|
| Пункт 8.13 приказа
| Реализация меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно– телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных
| Реализация данной меры в соответствии с установленным уровнем защищенности (приложение) приказа ФСТЭК № 21 и в соответствии с моделью угроз утвержденной в организации
|
| Пункт 8.14 приказа
| Реализация меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов
| Реализация данной меры в соответствии с установленным уровнем защищенности (приложение) приказа ФСТЭК № 21 и в соответствии с моделью угроз утвержденной в организации
|
| Пункт 8.15
приказа
| Реализация меры по управлению конфигурацией информационной системы и системы защиты персональных данных должны обеспечивать управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений
| Реализация данной меры в соответствии с установленным уровнем защищенности (приложение) приказа ФСТЭК № 21 и в соответствии с моделью угроз утвержденной в организации
|
| Пункт 11 приказа
| Реализация дополнительных мер защиты при наличии угроз 1– го и 2– го типов по Постановлению Правительства № 1119
| Реализация данных мер согласно установленным требованиям
|
| Пункт 12 приказа
| Соответствия классов защиты используемых средств защиты и СВТ, уровням защищенности ИСПДн
| Проверка соответствия
|
| Пункт 13 приказа
| При использовании в информационных системах новых информационных технологий и выявлении дополнительных угроз безопасности персональных данных, для которых не определены меры обеспечения их безопасности, должны разрабатываться компенсирующие меры в соответствии с пунктом 10 Приказа ФСТЭК № 21
| Проверка соответствия (при наличии)
|
Выполнение состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденного приказом Федеральной службы безопасности Российской Федерации от 10.07.2014 № 378 рассмотрено в пункте 5.2 раздела "Организация защиты информации с использованием средств криптографической защиты информации".
|