Опросный лист для сбора исходных данных о ИСПДн

Цель

Настоящее Положение является развитием комплекса мер, направленных на обеспечение защиты персональных данных, хранящихся у работодателя, посредством планомерных действий по совершенствованию организации труда.

 

Доступ к персональным данным

Персональные данные добровольно передаются сотрудником непосредственно держателю этих данных и потребителям внутри ООО «БашТуристик» исключительно для обработки и использования в работе.

1. Внешний доступ. К числу массовых потребителей персональных данных вне ООО «БашТуристик» можно отнести государственные и негосударственные функциональные структуры:

- налоговые инспекции;
- правоохранительные органы;
- органы статистики;
- страховые агентства;
- военкоматы;
- органы социального страхования;
- пенсионные фонды;
- подразделения муниципальных органов управления.
2. Внутренний доступ. Внутри ООО «БашТуристик» к разряду потребителей персональных данных относятся сотрудники функциональных структурных подразделений, которым эти данные необходимы для выполнения должностных обязанностей:
- все сотрудники отдела кадров;
- все сотрудники бухгалтерии;
- руководители структурных подразделений.

В кадровом секторе хранятся личные карточки сотрудников, работающих в настоящее время. Для этого используются специально оборудованные шкафы или сейфы, которые запираются. Личные карточки располагаются в алфавитном порядке. После увольнения документы по личному составу передаются на хранение.

5. Передача персональных данных

При передаче персональных данных сотрудника работодатель должен соблюдать следующие требования:

1. Передача внешнему потребителю.

- Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.

- При передаче персональных данных сотрудника потребителям (в том числе и в коммерческих целях) за пределы ООО «БашТуристик» работодатель не должен сообщать эти данные третьей стороне без письменного согласия сотрудника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника.

- Ответы на правомерные письменные запросы других фирм, учреждений и организаций даются с разрешения Генерального директора и только в письменной форме и в том объеме, который позволяет не разглашать излишний объем персональных сведений.

- Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.

- Сведения передаются в письменной форме и должны иметь гриф конфиденциальности.

- По возможности персональные данные обезличиваются.

2. Передача внутреннему потребителю.

- Работодатель вправе разрешать доступ к персональным данным сотрудников только специально уполномоченным лицам, перечисленным в п.2 гл.4.

- Потребители персональных данных должны подписать обязательство о неразглашении персональных данных сотрудников. (Приложение №1)

 

 

Защита персональных данных

Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.

1. «Внутренняя защита».

Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документами и базами данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий руководителями и специалистами компании. Для защиты персональных данных сотрудников необходимо соблюдать ряд мер:

- ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют конфиденциальных знаний;
- строгое избирательное и обоснованное распределение документов и информации между сотрудниками;
- рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации;
- знание сотрудниками требований нормативно – методических документов по защите информации и сохранении тайны;
- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
- определение и регламентация состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;
- организация порядка уничтожения информации;
- своевременное выявление нарушения требований разрешительной системы доступа сотрудниками подразделения;
- воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
- не допускается выдача личных дел сотрудников на рабочие места руководителей. Личные дела могут выдаваться на рабочие места только Генеральному директору, и в исключительных случаях, по письменному разрешению Генерального директора, руководителю структурного подразделения;
- персональные компьютеры, на которых содержатся персональные данные, должны быть защищены паролями доступа.

2. «Внешняя защита».

Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности компании, посетители, сотрудники других организационных структур.
Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе персонала.

Для защиты персональных данных сотрудников необходимо соблюдать ряд мер:
- порядок приема, учета и контроля деятельности посетителей;
- пропускной режим компании;
- порядок охраны территории, зданий, помещений, транспортных средств;
- требования к защите информации при интервьюировании и собеседованиях.

 

Опросный лист для сбора исходных данных о ИСПДн

№	Вопрос	Ответ
	Описание ИСПДн
1.1	Название ИСПДн
1.2	Характеристики ИСПДн, включая: - перечень используемых программных и аппаратных средств; - архитектуру ИСПДн; - описание принципов функционирования; - описание информационных потоков в ИСПДн; - ПО рабочих станций и серверов, сетевого оборудования; - тип СУБД; - прочее.	Excel   Ячеистая   Интернет   Облачное хранилище
1.3	Цель обработки ПДн	Для принятия кандидата на работу
1.4	Операции, которые предполагается осуществлять с ПДн в системе и способы их обработки	Хранение, обработка, передача
1.5	Количество субъектов персональных данных, информация о которых будет обрабатываться в системе
1.6	Какая информация о субъектах ПДн обрабатывается в системе?	Паспорт, ИНН, СНИЛС, Мед. Полис, Военый билет
1.7	Какие категории лиц выступают в качестве субъектов ПДн?	Сотрудники
1.8	Время начала, срок хранения и обработки информации о субъектах ПДн в системе, условия прекращения обработки информации о субъектах ПДн	28.09.17-28.09.72
1.9	Структура ИСПДн	- АРМ, объединенные в ИС средствами связи с использованием удаленного доступа
1.10	Осуществляется ли передача ПДн за границу РФ?	- Нет
1.11	Имеет ли сеть, в которой функционирует ИСПДн, сопряжение с внешними, в т.ч. публичными, сетями?	-Да
1.12	Характеристика ИСПДн с точки зрения распределения ролей и полномочий пользователей.	- Многопользовательская с разными правами
1.13	Какие аспекты обеспечения ИБ в отношении ПДн требуется обеспечить	- Конфиденциальность - Целостность - Доступность
1.14	Технические средства, входящие в состав ИСПДн, находятся в границах РФ или за ее пределами (указать где)?	- В границах РФ
1.15	Имеет ли компания лицензию на техническую защиту конфиденциальной информации?	- Да
1.16	Какая организационно-распорядительная и нормативная документация по ИБ (в т.ч. по защите ПДн) уже разработана в Компании?	Лицензии, Средства хранения ПД, Согласие субъектов на обработку ПД
	Материальный состав и расположение компонент ИСПДн
2.1	Количество и наименование объектов, на которых предполагается хранить или обрабатывать ПДн	1 ООО «БашТуристик»
2.2	В состав организации фактически входит одноодно или несколько юридических лиц, в рамках которых осуществляется обработка ПДн?
2.3	Состав и суммарное количество рабочих станций ИСПДн
2.4	Суммарное количество пользователей ИСПДн
2.5	Состав и суммарное количество серверов ИСПДн
2.6	Состав и суммарное количество единиц сетевого оборудования:
2.7	Состав и суммарное количество технических СЗИ:
	Прочее
3.1	Перечень лиц, принимавших участие в заполнении пунктов опросного листа

 

УТВЕРЖДАЮ

Генеральный директор ООО «БашТуристик»

Гребнев Д.В

“28” Сентября 2017 г.

 

План
мероприятий по защите персональных данных
в ООО «БашТуристик»

№ п\п	Наименование мероприятия	Срок выполнения	Ответственный за выполнение	Примечание
1.	Оформление правового основания обработки персональных данных	При вводе информационной системы персональных данных (ИСПДн) в эксплуатацию	Шабаев С.И.	При создании ИСПДн необходимо оформить приказ о вводе ее в эксплуатацию. Приказ оформляется руководителем организации.
2.	Направление в уполномоченный орган (Роскомнадзор) уведомления о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации	При необходимости	Резяпов Р.Р.	Уведомление направляется при вводе в эксплуатацию новых информационных систем персональных данных, либо при внесении изменений в существующие
3.	Документальное регламентирование работы с ПД	При необходимости	Сандаков Р.А.	Разработка положения по обработке и защите персональных данных, регламента специалиста ответственного за безопасность персональных данных, либо внесение изменений в существующие
4.	Получение письменного согласия субъектов ПД (физических лиц) на обработку ПД в случаях, когда этого требует законодательство	Постоянно	Резяпов Р.Р.	Письменное согласие получается при передаче ПД субъектами для обработки в ИСПДн, либо для обработки без использования средств автоматизации. Форма согласия приведена в Положении об обработке и защите ПД.
5.	Пересмотр договора с субъектами ПД в части обработки ПД	При необходимости	Резяпов Р.Р.	(например, в договор может быть включено согласие субъекта на обработку и передачу его ПД). Пересмотр договоров проводится при необходимости и оставляется на усмотрение организации – оператора ПД
6.	Установка сроков обработки ПД и процедуры их уничтожения по окончании срока обработки	При необходимости	Сандаков Р.А.	Для каждой ИСПДн организацией - оператором ПД должны быть установлены сроки обработки ПД, что должно быть документально подтверждено в паспорте на ИСПДн. При пересмотре сроков – необходимые изменения должны быть внесены в паспорт ИСПДн
7.	Ограничение доступа работников к ПД	При необходимости (при создании ИСПДн)	Ахтямов И.И.	В случае создания ИСПДн, а также приведения имеющихся ИСПДн в соответствии с требованиями закона необходимо разграничить доступ к ПД сотрудников организации согласно матрице доступа(сотрудники наделяются минимальными полномочиями доступа, необходимыми для выполнения ими своих обязанностей, например, могут иметь права только на просмотр ПД) Матрица доступа утверждается руководителем организации. При необходимости пересматривается (увольнение, прием новых сотрудников и прочее), подшивается в паспорт ИСПДн
8.	Повышение квалификации сотрудников в области защиты персональных данных	Постоянно	Сандаков Р.А.	Ответственных за выполнение работ – не менее раз в два года, повышение осведомленности сотрудников – постоянно (данное обучение проводит ответственный за выполнение работ по ИБ)
9.	Инвентаризация информационных ресурсов с целью выявления присутствия и обработки в них ПД	Раз в полгода	Козлов С.А. Сандаков Р.А. Гребнев Д.В.
10.	Классификация информационных систем персональных данных (ИСПД)	При необходимости	Ахтямов И.И. Сандаков Р.А.	Классификация проводится при создании ИСПДн, при выявлении в информационных системах ПД, при изменении состава, структуры самой ИСПДн или технических особенностей ее построения (изменилось ПО, топология и прочее)
11.	Выявление угроз безопасности и разработка моделей угроз и нарушителя	При необходимости	Сандаков Р.А.	Разрабатывается при создании системы защиты ИСПДн
12.	Аттестация (сертификация) СЗПД или декларирование соответствия по требованиям безопасности ПД	При необходимости	Резяпов Р.Р.	Проводится совместно с лицензиатами ФСТЭК
13.	Эксплуатация ИСПД и контроль безопасности ПД	Постоянно	Шакирянов Р.Р. Страчиев В.К. Ильенков О.Ю.

 

​ УТВЕРЖДАЮ

Генеральный директор ООО «БашТуристик»

Гребнев Д.В

“28” Сентября 2017 г.

 

ПОЛОЖЕНИЕ
о защите персональных данных

1. Общие положения

Настоящее Положение устанавливает порядок приема, учета, сбора, поиска, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным сотрудников ООО «БашТуристик».

Под сотрудниками подразумеваются лица, имеющие трудовые отношения с ООО «БашТуристик».

Цель

Настоящее Положение является развитием комплекса мер, направленных на обеспечение защиты персональных данных, хранящихся у работодателя, посредством планомерных действий по совершенствованию организации труда.