- •Правовые основы Порядка проведения самооценки обработки и защиты персональных данных в организации
- •Виды проверок обработки и защиты пДн в организации
- •1.Содержание самооценки обработки и защиты персональных данных Понятия
- •Цели самооценки (проверки)
- •Задачи самооценки (проверки)
- •Содержание проведения самооценки обработки и защиты пДн
- •Содержание Программы самооценки (проверки) обработки и защиты пДн
- •Содержание Справки о самооценке (проверке) пункта X.XX. Программы
- •Номер по порядку.
- •Содержание заключения (акта) о результатах самооценки (проверки) обработки и защиты пДн
- •Содержание Плана устранения недостатков, выявленных в ходе самооценки (проверки) обработки и защиты пДн в организации
- •Номер по порядку.
- •2.Содержание результатов самооценки обработки и защиты персональных данных Критерии оценок обработки и защиты пДн
- •Частные показатели обработки и защиты пДн
- •Раздел 3. Ответственность за нарушение законодательства в области зи.
- •1.Общие положения законодательства Российской Федерации об административных правонарушениях Задачи законодательства об административных правонарушениях являются
- •Основные и дополнительные административные наказания
- •2.Административная ответственность за нарушение законодательства в области защиты информации
Лекция 17
Л13 ПОИБ
Основы защиты персональных данных
Правовые основы Порядка проведения самооценки обработки и защиты персональных данных в организации
Вопросы:
-
Содержание самооценки обработки и защиты персональных данных.
-
Содержание результатов самооценки обработки и защиты персональных данных.
Литература:
-
Базовая модель угроз безопасности персональных данных при обработке в информационных системах ПДн.
-
Рекомендации по обеспечению безопасности ПДн при обработке в информационных системах ПДн.
-
Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн.
-
Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн.
Виды проверок обработки и защиты пДн в организации
-
Мониторинг и контроль мер обработки и защиты ПДн.
-
Проведение самооценки обработки и защиты ПДн.
-
Проведение аудита обработки и защиты ПДн. Не можем делать сами, это должна быть внешняя организация.
1.Содержание самооценки обработки и защиты персональных данных Понятия
Самооценка обработки и защиты ПДн – систематический документированный процесс получения свидетельств в деятельности организации по обеспечению защиты ПДн и установления степени выполнения в организации установленных критериев самооценки обработки и защиты ПДн.
Критерии самооценки обработки и защиты ПДн – совокупность требований в области обработки и защиты ПДн, характеризующих некоторый уровень их защиты.
Свидетельства (доказательства) самооценки обработки и защиты ПДн – записи, изложение фактов или другая информация, которые имеют отношение к критериям самооценки обработки и защиты ПДн и могут быть проверены.
Цели самооценки (проверки)
Проверка выполнения обязательных требований в области обработки и защиты ПДн, определённых в нормативных правовых актах Российской Федерации на соответствие установленным критериям.
Задачи самооценки (проверки)
-
Анализ и оценка проведённых работ по выполнению обязательных требований в области защиты ПДн в организации:
-
В информационных системах обработки ПДн (ИСПДн);
-
Обработки ПДн без использования средств автоматизации, в т.ч. биометрических ПДн и ПДн работника.
-
-
Оценка достаточности и эффективности принятых правовых, организационных, технических, криптографических, экономических и морально-этических мер при обработке ПДн и их защите.
-
Подготовка заключения (акта) проведения самооценки (проверки) достаточности выполнения обязательных требований, регламентирующих обработку ПДн и их защиту и её соответствия определённым критериям и мер по совершенствованию.
Содержание проведения самооценки обработки и защиты пДн
-
Уяснение целей и задач самооценки.
-
Определение состава комиссии по проведению самооценки (проверки) обработки и защиты ПДн.
-
Разработка Программы самооценки (проверки) обработки и защиты ПДн.
-
Издание приказа о проведении самооценки (проверки) обработки и защиты ПДн:
-
Состав комиссии;
-
Сроки проведения и представления результатов самооценки;
-
Утверждение Программы самооценки (проверки) обработки и защиты ПДн. Жуков, Шеметов
-
-
Проведение самооценки.
-
Подготовка Заключения (акта) и его утверждение у руководителя организации.
-
Издание приказа о результатах самооценки.
-
Разработка Плана устранения недостатков, выявленных в ходе самооценки.
Содержание Программы самооценки (проверки) обработки и защиты пДн
-
Название: Программа самооценки (проверки) обработки и защиты персональных данных в (наименование организации).
-
Разделы программы:
-
Цели самооценки (проверки).
-
Задачи проверки.
-
Нормативные правовые акты и стандарты, использованные для составления программы самооценки (проверки).
-
Мероприятия самооценки (проверки).
-
Номер по порядку.
-
Наименование мероприятия самооценки (проверки).
-
Требования НПА, стандарта, рекомендаций, методик.
-
Ответственный (-ые).
-
Сроки.
-
Представлено сделано.
-
-
№ п/п |
Наименование мер. |
Треб. НПА |
Ответств. |
Срок |
Пров. (сделано) |
|
|||||
1.1 |
Наличие увед. |
С.22 ФЗ №152 |
Юр. Сп. |
20.12.2011 |
|
1.2 |
|
|
|
|
|
Подпись всех членов комиссии.
-
Раздел – мероприятия самооценки (проверки) целесообразно разделить на:
-
Общие вопросы.
-
Обработка и защита ПДн в ИСПДн.
-
Обработка ПДн без использования средств автоматизации.
-
Обработка биометрических ПДн без использования средств автоматизации.
-
Обработка ПДн работника.
-
Подписывается программа членами комиссии и утверждается приказом и/или руководителем организации.