Приказ (положение) об обеспечении безопасности персональных данных

Приказ (положение) об обеспечении безопасности персональных данных – это внутренний документ вашей организации, содержащий следующее:

  1. Назначение ответственного за организацию обработки персональных данных. Лучшей практикой считается назначение одного из заместителей руководителя организации, поскольку для решения вопросов необходимо принятие управленческих решений, распространяющихся на всю организацию. Возложить на него следующие обязанности:
  • утверждение списка лиц, доступ которых к персональным данным, необходим для выполнения служебных (трудовых) обязанностей, а также изменений к нему;
  • принятие решения о распространении (передаче) персональных данных;
  • проведение разбирательств по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных;
  • приостановку предоставления персональных данных при обнаружении нарушений порядка предоставления;
  • Порядок учета средств защиты информации (в том числе средств антивирусной защиты), эксплуатационной и технической документации к ним.
  1. Назначить специалиста или подразделение, ответственного за обеспечение безопасности персональных данных (т.е. за непосредственное выполнение мероприятий). Возложить на назначенного специалиста или подразделение следующие функции:
  • организация парольной защиты;
  • организация учета средств защиты информации, эксплуатационной и технической документации к ним;
  • администрирование средств и систем защиты персональных данных в информационных системах персональных данных, включая средства антивирусной защиты (за исключением средств криптографической защиты информации);
  • учет лиц, допущенных к работе с персональными данными в информационных системах;
  • учет носителей персональных данных, используемых в информационных системах персональных данных (как с использованием средств автоматизации, так и без их использования);
  • периодическая (не реже одного раза в квартал) проверка электронного журнала обращений пользователей информационных систем к персональным данным;
  • инструктаж пользователей информационных систем персональных данных о порядке и правилах использования средств защиты информации, включая средства антивирусной защиты;
  • контроль за соблюдением условий использования средств защиты информации
  1. Перечень персональных данных, подлежащих защите;
  2. Список лиц, допущенных к работе с ПДн;
  3. Порядок учета лиц, допущенных к работе с ПДн;
  4. Порядок учета, хранения, выдачи носителей ПДн (журналов, форм, машинных носителей информационных систем);
  5. Порядок распространения (передачи) ПДн;
  6. Порядок антивирусной и парольной защиты;
  7. Порядок резервирования и восстановления персональных данных;
  8. Правила охраны помещений, в которых расположены технические средства ИСПДн или хранятся материальные носители ПДн;
  9. Правила допуска лиц в помещения, в которых ведется работа с персональными данными (в том числе посторонних);
  10. Правила размещения технических средств ИСПДн, а также порядок размещения средств отображения и зашторивания окон;
  11. Порядок приостановки предоставления персональных данных в случае обнаружения нарушений порядка их предоставления и порядок разбирательств по фактам, которые могут привести к нарушению конфиденциальности ПДн;

 

Яндекс.Метрика