- •Правовые основы Порядка проведения самооценки обработки и защиты персональных данных в организации
- •Виды проверок обработки и защиты пДн в организации
- •1.Содержание самооценки обработки и защиты персональных данных Понятия
- •Цели самооценки (проверки)
- •Задачи самооценки (проверки)
- •Содержание проведения самооценки обработки и защиты пДн
- •Содержание Программы самооценки (проверки) обработки и защиты пДн
- •Содержание Справки о самооценке (проверке) пункта X.XX. Программы
- •Номер по порядку.
- •Содержание заключения (акта) о результатах самооценки (проверки) обработки и защиты пДн
- •Содержание Плана устранения недостатков, выявленных в ходе самооценки (проверки) обработки и защиты пДн в организации
- •Номер по порядку.
- •2.Содержание результатов самооценки обработки и защиты персональных данных Критерии оценок обработки и защиты пДн
- •Частные показатели обработки и защиты пДн
- •Раздел 3. Ответственность за нарушение законодательства в области зи.
- •1.Общие положения законодательства Российской Федерации об административных правонарушениях Задачи законодательства об административных правонарушениях являются
- •Основные и дополнительные административные наказания
- •2.Административная ответственность за нарушение законодательства в области защиты информации
Содержание Справки о самооценке (проверке) пункта X.XX. Программы
-
Наименование мероприятия самооценки (проверки) Программы:
-
Содержание оцениваемого (проверяемого) требования НПА, стандарта, рекомендаций:
-
Место проведения самооценки (проверки): (наименование комнаты (помещения), рабочего места):
-
Самооценка (проверка):
-
Номер по порядку.
-
Последовательность действий и содержание самооценки (проверки) пункта Программы.
-
Используемые технические средства (оборудование) (название, номер), программное обеспечение (название), используемые протоколы (название) и т.п.
-
Наличие сертификатов соответствия (название, номер, дата).
-
Результаты самооценки (проверки).
-
-
Выводы.
-
Предложения.
Подпись, инициалы и Фамилия (соответствующего должностного лица (лиц), проводившего (-их) самооценку.
Содержание заключения (акта) о результатах самооценки (проверки) обработки и защиты пДн
Разделы заключения
-
Результаты работы комиссии по каждому пункту Программы.
-
Выводы комиссии.
-
Предложения комиссии по результатам самооценки (проверки).
Подписи всех членов комиссии.
Заключение, как правило, утверждается руководителем организации.
Содержание Плана устранения недостатков, выявленных в ходе самооценки (проверки) обработки и защиты пДн в организации
-
Название: Плана.
-
Разделы Плана:
-
Цели.
-
Задачи.
-
Мероприятия.
-
Номер по порядку.
-
Наименование недостатка.
-
Мероприятия по устранению.
-
Ответственный (-ые) исполнитель (-ли).
-
Сроки устранения.
-
Отметка о выполнении.
-
-
Подписи членов комиссии.
План, как правило, утверждается руководителем организации.
Итого, документы:
-
Приказ о составе комиссии.
-
Программа самооценки.
-
Справка.
-
Заключение.
-
Приказ о результатах.
-
План устранения недостатков.
2.Содержание результатов самооценки обработки и защиты персональных данных Критерии оценок обработки и защиты пДн
Максимальная оценка |
Критерии |
0 |
Обязательные требования НПА не установлены во внутренних организацонно-распорядительных документах (ОРД) и не выполняются |
0 |
Обязательные требования НПА частично установлены во внутренних ОРД, но не выполняются |
0.25 |
Обязательные требования НПА полностью установлены во внутренних ОРД, но не выполняются |
0.25 |
Обязательные требования НПА не установлены во внутренних ОРД и выполняются в неполном объёме |
0.25 |
Обязательные требования НПА частично установлены во внутренних ОРД и выполняются в неполном объёме |
0.5 |
Обязательные требования НПА полностью установлены во внутренних ОРД и выполняются в неполном объёме |
0.5 |
Обязательные требования НПА не установлены во внутренних ОРД, но выполняются в полном объёме |
0.75 |
Обязательные требования НПА частично установлены во внутренних ОРД, но выполняются в полном объёме |
1 |
Обязательные требования НПА полностью установлены во внутренних ОРД и выполняются в полном объёме |
Их нужно утвердить у руководителя организации, или обозначить их в приказе, чтобы они имели в организации какую-то силу.
Частные показатели обработки и защиты пДн
-
Определены ли в организации, зафиксированы ли документально и утверждены ли руководством организации цели обработки ПДн?
-
Определена ли в организации необходимость направления уведомления в Уполномоченный орган по защите прав субъектов ПДн об обработке ПДн?
-
Определены ли в организации для каждой цели обработки ПДн, зафиксированы ли документально и утверждены ли руководством организации:
-
Объём и содержание ПДн;
-
Сроки обработки, в т.ч. сроки хранения ПДн;
-
Необходимость получения согласия субъектов ПДн?
Проводится ли в организации классификация персональных данных в соответствии со степенью тяжести последствий потери свойств безопасности ПДн для субъекта ПДн?
Выделяется ли при проведении классификации ПДн следующие категории:
-
Специальные категории ПДн;
-
Биометрические ПДн;
-
Общедоступные или обезличенные ПДн;
-
Геномные ПДн;
-
Общие ПДн?
Осуществляется ли организацией передача ПДн третьему лицу с согласия СПДн? В том случае, если организация поручает обработку ПДн третьему лицу на основании договора – включается ли в такой договор обязанность обеспечения третьим лицом конфиденциальности ПДн и безопасности ПДн при их обработке?
Прекращается ли в организации обработка ПДн и уничтожаются ли собранные ПДн в следующих случаях и в сроки, установленные законодательством РФ:
-
По достижении целей обработки или при утрате необходимости в их достижении;
-
По требованию субъекта ПДн или Уполномоченного органа по защите прав субъектов ПДн – если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
-
При отзыве субъектом ПДн согласия на обработку своих ПДн, если такое согласие требуется в соответствии с законодательством РФ;
-
При невозможности устранения оператором допущенных нарушений при обработке ПДн?
…
ПОИБ Л14