Приложение. Методические рекомендации по организации обработки и обеспечению безопасности персональных данных. Приказ Министерства цифровых технологий и связи Калининградской области от 07.07.2021 N 265 "Об утверждении методических рекомендаций по организации обработки и обеспечению безопасности персональных данных" (с изменениями и дополнениями)

Приложение
к приказу Министерства
цифровых технологий и связи
Калининградской области
от 7 июля 2021 г. N 265

Методические рекомендации
по организации обработки и обеспечению безопасности персональных данных

С изменениями и дополнениями от:

7 октября 2021 г.

Перечень сокращений

В настоящих методических рекомендациях используются сокращения, приведенные в таблице 1.

Таблица 1 - Перечень сокращений

Сокращение	Обозначение
ИСПДн	Информационная система персональных данных
Организация	Орган исполнительной власти Калининградской области, государственное учреждение Калининградской области и иные организации, подведомственные органам исполнительной власти Калининградской области
ПДн	Персональные данные
ФЗ	Федеральный закон
ФСБ России	Федеральная служба безопасности Российской Федерации
ФСТЭК России	Федеральная служба по техническому и экспортному контролю Российской Федерации
Роскомнадзор	Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций Российской Федерации

Перечень терминов

В настоящих методических рекомендациях используются основные термины, приведенные в таблице 2.

Таблица 2 - Перечень терминов

Понятие	Определение	Источник
Автоматизированная обработка ПДн	Обработка ПДн с помощью средств вычислительной техники	ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных"
Аттестация объектов информатизации	Комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации требованиям безопасности информации	ГОСТ РО 0043-004-2013 "Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний"
Безопасность информации	Состояние защищенности информации (данных), при котором обеспечены ее (их) конфиденциальность, доступность и целостность	ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"
Доступ к информации	Возможность получения информации и ее использования	ФЗ от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Защита информации	Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию	ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"
ИСПДн	Совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств	ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных"
Модель угроз безопасности информации (ПДн)	Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации	ГОСТ Р 53114-2008 "Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения"
Обезличивание ПДн	Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн	ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных"
Обладатель информации	Лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам	ФЗ от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Обработка ПДн	Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн	ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных"
Оператор	Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн	ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных"
Оператор информационной системы	Гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных	ФЗ от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Оценка соответствия требованиям по защите информации	Прямое или косвенное определение степени соблюдения требований по защите информации, предъявляемых к объекту защиты информации	ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"
ПДн	Любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту ПДн)	ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных"
Система защиты информации	Совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации	ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"
Средство защиты информации	Техническое, программное, программно-техническое средство, вещество и/или материал, предназначенные или используемые для защиты информации	ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"
Требование по защите информации	Установленное правило или норма, которые должны быть выполнены при организации и осуществлении защиты информации, или допустимое значение показателя эффективности защиты информации	ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"
Угроза безопасности информации (ПДн)	Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации	ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"

1. Общие положения

Настоящие Методические рекомендации по организации обработки и обеспечению безопасности ПДн (далее - Методические рекомендации) содержат описание состава и содержания мероприятий, направленных на приведение в соответствие требованиям законодательства Российской Федерации в области ПДн деятельности Организации.

В Методических рекомендациях затрагиваются вопросы, связанные с подготовкой организационно-распорядительных документов в области обработки и обеспечения безопасности ПДн, настройкой процессов обработки ПДн в ИСПДн или без использования средств автоматизации.

В Методические рекомендации включены примерные формы организационно-распорядительных документов, разработанные с учетом требований законодательства Российской Федерации в области ПДн, с указаниями по их адаптации к конкретным условиям обработки ПДн в Организации.

Организация самостоятельно определяет потребность в разработке, актуализации организационно-распорядительных документов в области обработки и обеспечения безопасности ПДн и несет ответственность в соответствии с нормами действующего законодательства Российской Федерации за их форму и содержание.

2. Нормативно-правовая база

Деятельность Организаций в области обработки и обеспечения безопасности ПДн регламентируется следующими основными нормативными правовыми актами Российской Федерации:

1) Конституция Российской Федерации (принята всенародным голосованием 12 декабря 1993 года);

2) Трудовой кодекс Российской Федерации;

3) ФЗ от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

4) ФЗ от 27 июля 2006 года N 152-ФЗ "О персональных данных";

5) постановление Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

6) постановление Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

7) постановление Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

8) постановление Правительства Российской Федерации от 6 июля 2008 года N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных";

9) приказ ФСБ России от 10 июля 2014 года N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности";

10) приказ ФСТЭК России от 18 февраля 2013 года N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

11) приказ Роскомнадзора от 30 мая 2017 года N 94 "Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения";

12) приказ Роскомнадзора от 15 марта 2013 года N 274 "Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных";

13) приказ Роскомнадзора от 5 сентября 2013 года N 996 "Об утверждении требований и методов по обезличиванию персональных данных".

3. Общая структура мероприятий по выполнению норм законодательства в области ПДн

Меры, направленные на реализацию требований законодательства в области обработки и защиты ПДн, условно можно разделить на три основных блока 1:

1) определение порядка обработки ПДн (организационные и правовые меры, направленные на установление порядка обработки ПДн в организации в целом);

2) обеспечение безопасности ПДн при их обработке в информационных системах (организационные и технические меры, направленные на обеспечение безопасности ПДн при их обработке в ИСПДн);

3) контроль соответствия обработки ПДн требованиям законодательства.

4. Организационные и правовые меры, направленные на установление порядка обработки ПДн

4.1. Подготовительные мероприятия. Сбор исходных данных и описание процессов обработки ПДн

На первом этапе приведения деятельности Организации в области обработки ПДн в соответствие с требованиями законодательства необходимо провести инвентаризацию процессов обработки ПДн в Организации.

В рамках инвентаризации требуется проанализировать нормативные правовые акты и организационно-распорядительные документы, регламентирующие деятельность Организации, в том числе связанную с обработкой ПДн. Также необходимо провести опрос структурных подразделений Организации путем рассылки опросных листов.

На основании первичного анализа полученной информации выявляется примерный перечень структурных подразделений, в которых может осуществляться обработка ПДн, а также перечень информационных систем, в которых может осуществляться обработка ПДн.

Далее формируется примерный перечень процессов, в рамках которых осуществляется обработка ПДн. К числу таких процессов чаще всего относятся:

1) бухгалтерская отчетность, расчет заработной платы, расчет налогов и социальных выплат;

2) кадровый и воинский учет;

3) подбор персонала;

4) осуществление закупочной деятельности;

5) обработка обращений граждан, юридических лиц, органов государственной власти;

6) оказание государственных или муниципальных услуг;

7) договорная работа с контрагентами;

8) претензионная и судебная работа юридической службы и др.

С учетом специфики деятельности Организации и ее организационно-правовой формы перечень процессов обработки ПДн может корректироваться.

Затем по каждому выявленному процессу обработки ПДн необходимо определить:

1) цели обработки ПДн;

2) категории субъектов ПДн, данные которых обрабатываются в рамках процесса (с привязкой к цели обработки);

3) применимое законодательство (с привязкой к цели обработки) - правовое основание обработки ПДн;

4) сроки обработки (включая хранение) ПДн;

5) перечень ПДн (с привязкой к целям обработки ПДн и к категории субъекта ПДн);

6) способы обработки ПДн (с использованием или без использования средств автоматизации, смешанный);

7) перечень информационных систем, в которых обрабатываются ПДн в рамках процесса;

8) перечень мест хранения материальных носителей ПДн;

9) перечень лиц, осуществляющих обработку ПДн в рамках процесса;

10) порядок обработки ПДн в рамках процесса.

Перечисленные сведения могут быть собраны (уточнены), в том числе путем интервьюирования владельцев процессов.

По результатам обработки полученных сведений возможна корректировка ранее сформированного перечня процессов обработки ПДн.

К числу наиболее распространенных категорий субъектов ПДн в Организации относятся:

1) работники Организации (либо государственные гражданские служащие);

2) ближайшие родственники работников (государственных гражданских служащих);

3) уволенные работники (государственные гражданские служащие);

4) кандидаты на замещение вакантных должностей;

5) представители организаций - участников закупок, проводимых Организацией;

6) представители контрагентов;

7) физические лица, обратившиеся в Организацию с жалобой, предложением, заявлением или направившие запрос о предоставлении информации о деятельности Организации;

8) физические лица, предоставившие свои персональные данные в рамках исполнения Организацией своих полномочий и т.д.

Для каждой выявленной информационной системы Организации, используемой для обработки ПДн (ИСПДн), необходимо определить назначение (цель обработки ПДн в данной ИСПДн), категории и объем обрабатываемых ПДн 2.

Возможны случаи, когда Организация, являясь оператором ИСПДн, не будет при этом являться оператором ПДн, обрабатываемых в данной ИСПДн.

В последнем случае цели обработки ПДн, правовые основания обработки, категории субъектов ПДн и состав обрабатываемых ПДн определяются не Организацией, а оператором этих ПДн (обладателем информации).

4.2. Определение ответственности за организацию обработки ПДн в Организации

Назначение лица, ответственного за организацию обработки ПДн (далее - Ответственный за организацию обработки ПДн), предусмотрено пунктом 1 части 1 статьи 18.1 и статьей 22.1 ФЗ от 27 июля 2006 года N 152-ФЗ "О персональных данных".

В соответствии с частью 2 статьи 22.1 Ответственный за организацию обработки ПДн должен получать указания непосредственно от исполнительного органа Организации и быть подотчетным ему.

В Организации может быть назначен только один Ответственный за организацию обработки ПДн, при этом часть своих функций он может делегировать другим работникам Организации (например, владельцам процессов обработки ПДн), которые будут нести ответственность перед ним за организацию обработки ПДн в рамках своего направления деятельности (подразделения), но в целом ответственность за организацию обработки ПДн в Организации остается за Ответственным за организацию обработки ПДн.

Частью 4 статьи 22.1 ФЗ от 27 июля 2006 года N 152-ФЗ "О персональных данных" предусмотрены следующие обязанности Ответственного за организацию обработки ПДн:

1) осуществление внутреннего контроля соблюдения оператором и его работниками законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн;

2) доведение до сведения работников оператора положений законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, иных требований к защите ПДн;

3) организация приема и обработки обращений и запросов субъектов ПДн или их представителей и (или) осуществление контроля приема и обработки таких обращений и запросов.

Приведенный перечень обязанностей не является исчерпывающим. Организация вправе возложить на Ответственного за организацию обработки ПДн дополнительные обязанности, связанные с обеспечением защиты прав субъектов ПДн, ПДн в Организации.

В соответствии с возложенными обязанностями определяются полномочия Ответственного за организацию обработки ПДн в Организации.

Назначение Ответственного за организацию обработки ПДн может осуществляться либо путем внесения изменений в штатное расписание Организации - добавления соответствующей должности, либо путем назначения приказом (распоряжением) действующего должностного лица (работника) Организации ответственным за организацию обработки ПДн с внесением необходимых дополнений в его должностную инструкцию (должностной регламент).

К функциям Ответственного за организацию обработки ПДн могут быть отнесены:

1) контроль проведения мероприятий по защите ПДн;

2) обеспечение ведения учета процессов обработки ПДн в Организации и актуализации документации по процессам;

3) организация и осуществление внутреннего контроля соблюдения Организацией и ее работниками законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн;

4) организация и контроль проведения обучения работников Организации в области обработки и защиты ПДн;

5) организация и контроль проведения проверки знаний работников Организации в области обработки и защиты ПДн;

6) организация приема и обработки обращений и запросов субъектов ПДн и запросов уполномоченного органа по защите прав субъектов ПДн;

7) обеспечение разработки и своевременной актуализации внутренних организационно-распорядительных документов Организации в области обработки и защиты ПДн;

8) контроль проведения мероприятий по результатам разрешения и расследования инцидентов информационной безопасности, связанных с нарушением требований по обработке и защите ПДн;

9) контроль включения Организации в план проверок регулирующих органов;

10) информирование руководства Организации о предстоящей проверке регулирующими органами;

11) координация подготовки Организации к прохождению проверки регулирующими органами;

12) сопровождение (организация сопровождения) должностного лица регулирующего органа в ходе проверки Организации (предоставление необходимых документов, информации и т.д.).

Следует подчеркнуть, что в функции Ответственного за организацию обработки ПДн не входит обеспечение безопасности ПДн.

Информация об изменениях:

Подраздел 4.3 изменен с 7 октября 2021 г. - Приказ Министерства цифровых технологий и связи Калининградской области от 7 октября 2021 г. N 431

См. предыдущую редакцию

4.3. Согласие субъекта ПДн на обработку ПДн

Одним из основных требований, которое необходимо соблюдать в рамках обработки ПДн в Организации, является наличие правового основания для такой обработки. В этой связи по каждому выявленному процессу обработки ПДн требуется провести анализ необходимости предоставления субъектом ПДн согласия на обработку ПДн.

В соответствии с пунктами 2-11 части 1 статьи 6 ФЗ от 27 июля 2006 года N 152-ФЗ "О персональных данных" обработка ПДн может осуществляться без согласия субъекта ПДн в следующих случаях:

1) обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

2) обработка ПДн осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

3) обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);

4) обработка ПДн необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций Организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных ФЗ от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта ПДн на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

5) обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;

6) обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

7) обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных ФЗ от 3 июля 2016 года N 230-ФЗ "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;

8) обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн;

9) обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 ФЗ от 27 июля 2006 года N 152-ФЗ "О персональных данных", при условии обязательного обезличивания ПДн;

10) обработка ПДн, полученных в результате обезличивания ПДн, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных ФЗ от 24 апреля 2020 года N 123-ФЗ "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных", в порядке и на условиях, которые предусмотрены указанным Федеральным законом;

11) обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с ФЗ.

Далее также по каждому процессу обработки ПДн необходимо определить вид согласия на обработку ПДн (в случае, если оно необходимо) - в письменной или иной форме.

Обработка ПДн может осуществляться при наличии согласия субъекта ПДн в письменной форме, за исключением следующих случаев, предусмотренных законодательством:

1) при включении ПДн в общедоступные источники ПДн;

2) при обработке специальных категорий ПДн;

3) при обработке биометрических ПДн для установления личности субъекта ПДн;

4) при трансграничной передаче ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн;

5) при принятии решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки ПДн;

6) при передаче/получении ПДн работников Организации третьим лицам/от третьих лиц, осуществляемой не в рамках исполнения трудового законодательства.

Требования к форме письменного согласия субъекта ПДн на обработку его ПДн установлены частью 4 статьи 9 ФЗ от 27 июля 2006 года N 152-ФЗ "О персональных данных" и определяют необходимость наличия следующих сведений:

- фамилия, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- фамилия, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн);

- наименование или фамилия, имя, отчество и адрес Организации;

- цель обработки ПДн;

- перечень ПДн, на обработку которых дается согласие;

- наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Организации, если обработка будет поручена такому лицу;

- перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых Организацией способов обработки ПДн;

- срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва;

- подпись субъекта ПДн.

Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с ФЗ электронной подписью.

Важно отметить, что согласие субъекта ПДн на обработку его ПДн может включать в себя только одну цель обработки ПДн.

В случае получения согласия на обработку ПДн от представителя субъекта ПДн полномочия данного представителя на дачу согласия от имени субъекта ПДн должны проверяться Организацией.

Отметим, что получение/передача Организацией ПДн работника от третьих лиц/третьим лицам осуществляется с письменного согласия работника в каждом конкретном случае получения/передачи ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации.

Следующим шагом необходимо разработать и утвердить формы согласия субъекта ПДн на обработку ПДн и порядок получения согласия субъекта ПДн на обработку ПДн для всех необходимых случаев.

Пример формы согласия работника Организации на передачу его ПДн сторонней организации в целях их включения в общедоступные источники ПДн:

			Руководителю (Наименование Организации)
			,
			(фамилия, имя и отчество субъекта персональных данных)
			паспорт		,
					(серия и номер паспорта)
			(кем и когда выдан паспорт)
			Адрес регистрации по месту жительства
Согласие на передачу персональных данных
Настоящим своей волей и в своем интересе в соответствии со статьей 9 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" выражаю (даю) свое согласие (Наименование Организации) (юридический адрес: __________) на передачу (Наименование учреждения) (юридический адрес: __________) с использованием средств автоматизации с целью формирования внутренних информационных систем, ресурсов, справочников, баз данных, которые являются общедоступными источниками персональных данных, своих персональных данных:
- фамилия, имя, отчество; - фотографическое изображение; - дата рождения; - рабочие номера телефонов и адрес электронной почты; - номера мобильных телефонов; - сведения о должности, подразделении.
Настоящее согласие предоставляется на срок действия трудового договора (для органа исполнительной власти указать: служебного контракта государственного гражданского служащего) и может быть отозвано в соответствии с частью 2 статьи 9 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" на основании письменного заявления в произвольной форме.
Условия настоящего Согласия мной лично прочитаны и мне понятны.
						,
собственноручно указывается согласен (согласна)
						,
собственноручно полностью указывается фамилия, имя, отчество (если имеется)
				Дата: ___ __________ 20__ г.
подпись

4.4. Требования к типовым формам документов, характер информации в которых предполагает (допускает) включение в них ПДн, при обработке ПДн без использования средств автоматизации

В соответствии с пунктом 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации 3, при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее - типовая форма), должны соблюдаться следующие условия:

- типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПДн;

- типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации (при необходимости получения письменного согласия на обработку ПДн);

- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;

- типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.

Используемые в Организации типовые формы должны соответствовать требованиям. Необходимо провести анализ типовых форм и, при необходимости, внести в них корректировки. При этом требуется учитывать, что изменения могут вноситься только в те типовые формы, которые разрабатывались непосредственно самой Организацией.

4.5. Разработка и ввод в действие организационно-распорядительных документов в области обработки и обеспечения безопасности ПДн

Нормативные правовые основания разработки в Организации организационно-распорядительных документов в области обработки и обеспечения безопасности ПДн приведены в приложении N 1 к Методическим рекомендациям.

Рекомендуется разработать и утвердить в установленном порядке следующие организационно-распорядительные документы по вопросам обработки и обеспечения безопасности ПДн:

1) политика в отношении обработки ПДн;

2) правила обработки ПДн;

3) правила рассмотрения запросов субъектов ПДн или их представителей;

4) правила осуществления внутреннего контроля соответствия обработки ПДн требованиям к их защите;

5) правила работы с обезличенными данными;

6) перечень должностей работников, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн;

7) перечень ИСПДн;

8) перечень ПДн;

9) перечень должностей работников, замещение которых предусматривает осуществление обработки ПДн;

10) перечень мест хранения материальных носителей ПДн;

11) должностные обязанности ответственного за организацию обработки ПДн;

12) обязательство о неразглашении и обеспечении безопасности ПДн;

13) типовое обязательство работника о прекращении обработки ПДн в случае расторжения с ним трудового договора;

14) типовая форма согласия на обработку персональных данных работника;

15) типовая форма разъяснения субъекту ПДн юридических последствий отказа предоставить свои ПДн;

16) порядок доступа в помещения, в которых ведется обработка ПДн.

Примеры организационно-распорядительных документов, для которых можно выделить типовые требования и правила обработки ПДн, приведены в приложениях к Методическим рекомендациям.

При разработке и внедрении организационно-распорядительных документов в области обработки и обеспечения безопасности ПДн необходимо соблюсти следующие условия:

- политика в отношении обработки ПДн и сведения о реализуемых требованиях к защите ПДн должны быть опубликованы на официальном сайте Организации либо к ним должен быть обеспечен неограниченный доступ иным способом;

- правила обработки ПДн должны быть определены и описаны для каждой категории субъектов ПДн. Описание правил обработки ПДн возможно оформить как отдельными документами для каждого процесса обработки ПДн, для каждого структурного подразделения, участвующего в процессе обработки ПДн, так и в виде единого документа, содержащего общую совокупность правил обработки ПДн, при этом правила обработки ПДн работников рекомендуется выносить в отдельный документ;

- правила работы с обезличенными данными и перечень должностей работников, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн, разрабатываются только в случае, если Организация осуществляет обезличивание ПДн. Перечень указанных должностей может быть либо утвержден отдельным документом, либо включен в состав правил работы с обезличенными данными.

Должностные обязанности ответственного за организацию обработки ПДн описаны в разделе 4.2 Методических рекомендаций.

Требования к содержанию и видам согласия на обработку ПДн субъектов ПДн приведены в разделе 4.3 Методических рекомендаций.

В организационно-распорядительных документах Организации, устанавливающих правила пропускного режима и охраны помещений, должны быть определены основные требования к организации пропускного режима и охраны помещений в пределах охраняемой территории, на которой располагаются информационные ресурсы и материальные носители информации, с целью обеспечения защиты от несанкционированного доступа к ПДн. В правилах пропускного режима необходимо отразить порядок ведения журналов (реестров, книг) однократного пропуска субъекта ПДн на территорию Организации - в том случае, если такие журналы (реестры, книги) ведутся.

Перечни и типовые формы документов могут быть утверждены в виде отдельных документов либо в составе организационно-распорядительных документов Организации, описывающих процедуры (правила) обработки и обеспечения безопасности ПДн.

4.6. Ознакомление работников, осуществляющих обработку ПДн, с правилами обработки и требованиями к защите ПДн

Работники Организации, осуществляющие обработку ПДн, должны быть ознакомлены не только с внутренними документами Организации, касающимися обработки и обеспечения безопасности ПДн, но и с положениями законодательства Российской Федерации в области обработки и защиты ПДн.

При этом факт ознакомления работников Организации с правилами и требованиями по работе с ПДн должен быть задокументирован.

4.7. Поручение оператора на обработку персональных данных

В соответствии с ч. 3 ст. 6 ФЗ "О персональных данных" Организация вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн на основании заключаемого с этим лицом договора (государственного или муниципального контракта) либо путем принятия государственным или муниципальным органом соответствующего акта (поручения оператора). Аналогичным образом обработка ПДн может быть поручена самой Организации третьими лицами.

Требуется провести анализ выявленных процессов обработки ПДн на предмет необходимости наличия соответствующих поручений оператора, а также провести анализ имеющихся поручений оператора на предмет их соответствия требованиям ч. 3 ст. 6 ФЗ "О персональных данных".

4.8. Уведомление об обработке персональных данных

Согласно части 1 статьи 22 ФЗ "О персональных данных" Организация до начала обработки ПДн обязана уведомить уполномоченный орган по защите прав субъектов ПДн - Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных частью 2 статьи 22 ФЗ "О персональных данных".

Частью 3 статьи 22 ФЗ "О персональных данных" установлены требования к содержанию уведомления о намерении Организации осуществлять обработку ПДн.

В случае изменения сведений, содержащихся в ранее направленном Организацией уведомлении, а также в случае прекращения обработки ПДн Организация обязана уведомить об этом Роскомнадзор в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки ПДн.

Уведомление о намерении осуществлять обработку ПДн заполняется через электронную форму, размещенную на сайте Роскомнадзора 4, и направляется в информационную систему Роскомнадзора. Кроме того, заполненная форма распечатывается на бланке Организации и с подписью руководителя Организации направляется заказным письмом в Управление Роскомнадзора по Северо-Западному федеральному округу.

Информационное письмо об изменении сведений, ранее внесенных в реестр операторов ПДн, также оформляется на сайте Роскомнадзора 5, при этом заполняются только те поля, в которые вносятся изменения. После заполнения информационное письмо распечатывается на бланке Организации и с подписью руководителя Организации направляется заказным письмом в Управление Роскомнадзора по Северо-Западному федеральному округу.

Допускается подача уведомления о намерении осуществлять обработку ПДн (информационного письма о внесении изменений) в Роскомнадзор только в бумажном виде. В этом случае документы заполняются по форме, установленной приказом Роскомнадзора от 30.05.2017 N 94 "Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения" 6.

Важно учесть, что представляемые в Роскомнадзор сведения должны соответствовать политике оператора в отношении обработки ПДн и иным принятым локальным актам Организации, касающимся обработки и безопасности ПДн.

Организация несет ответственность за актуализацию на постоянной основе сведений, представленных в Роскомнадзор, в случае внесения изменений в организационно-распорядительные, нормативные и методические документы касательно порядка и условий обработки ПДн, обеспечения их безопасности и т.п.

5. Организационно-технические меры по обеспечению безопасности ПДн при их обработке в информационных системах

Организационно-технические меры по обеспечению безопасности ПДн при их обработке в информационных системах ПДн реализуются в рамках создания и внедрения системы защиты персональных данных в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119, а также требованиями, установленными приказом ФСТЭК России от 18 февраля 2013 года N 21 "Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных". Указанные меры должны быть направлены на нейтрализацию актуальных угроз безопасности ПДн.

Меры по обеспечению безопасности ПДн при их обработке в государственных информационных системах персональных данных реализуются в соответствии с требованиями, установленными приказом ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах". Рекомендации по реализации мер защиты информации, включая ПДн, в государственных информационных системах подробно рассмотрены в Методических рекомендациях по обеспечению защиты информации в государственных информационных системах.

В общем случае при построении системы защиты ПДн информационной системы выполняются в рамках следующих этапов:

1) формирование требований по обеспечению безопасности ПДн, включая:

- определение угроз безопасности ПДн при их обработке в ИСПДн;

- определение уровня защищенности ПДн при их обработке в ИСПДн;

- определение требований (мер) по обеспечению безопасности ПДн;

2) разработка и внедрение организационно-технических решений на систему защиты ПДн;

3) оценка соответствия ИСПДн требованиям по безопасности информации.

5.1. Определение угроз безопасности персональных данных

Для каждой ИСПДн Организации должны быть определены актуальные угрозы безопасности ПДн, разработана и утверждена модель угроз безопасности информации.

Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей ГИС, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности). В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации 7, ведение которого осуществляется ФСТЭК России, а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации.

При определении угроз безопасности информации учитываются структурно-функциональные характеристики ИСПДн, физические, логические, функциональные и технологические взаимосвязи между сегментами ИСПДн, а также с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в ГИС и ее отдельных сегментах, а также иные характеристики ИСПДн, применяемые информационные технологии и особенности функционирования ИСПДн.

Для определения угроз безопасности информации и разработки модели угроз безопасности информации необходимо использовать Методику определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных 8 (утв. ФСТЭК России 14 февраля 2008 г.).

5.2. Определение уровня защищенности ПДн при их обработке в ИСПДн

Определение уровня защищенности ПДн проводится в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных (далее - Требования к защите ПДн), утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119.

Для определения уровня защищенности ПДн, обрабатываемых в ИСПДн, необходимо:

1) определить тип угроз, актуальных для ИСПДн;

2) определить категории ПДн, обрабатываемые в ИСПДн;

3) определить тип субъектов ПДн;

4) определить количество субъектов ПДн, данные которых обрабатываются в ИСПДн;

5) на основании данных, полученных на предыдущих этапах, сделать вывод об уровне защищенности ПДн, обрабатываемых в ИСПДн.

5.2.1. Определение типа угроз, актуальных для ИСПДн

Требованиями к защите ПДн определены три типа угроз для ИСПДн:

- угрозы 1-го типа - если для ИСПДн в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе;

- угрозы 2-го типа - если для ИСПДн в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе;

- угрозы 3-го типа - если для ИСПДн актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Определение типа угроз безопасности ПДн, актуальных для ИСПДн, должно производиться с учетом оценки возможного вреда, который может быть причинен субъектам ПДн в случае реализации угроз.

Определение категорий ПДн, обрабатываемых в ИСПДн

В соответствии с Требованиями к защите ПДн установлены следующие категории ПДн:

1) специальные категории ПДн - ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн;

2) биометрические ПДн - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн, и не относятся к специальным категориям ПДн;

3) общедоступные ПДн - ПДн субъектов ПДн, полученные только из общедоступных источников персональных данных, созданных в соответствии со ст. 8 ФЗ "О персональных данных";

4) иные категории ПДн - ПДн, не относящиеся к специальным категориям ПДн, биометрическим ПДн и общедоступным ПДн.

Определение типа субъекта ПДн

В соответствии с Требованиями к защите ПДн установлены два типа субъектов ПДн:

- субъект ПДн, являющийся сотрудником оператора (Организации);

- субъект ПДн, не являющийся сотрудником оператора (Организации).

Определение количества субъектов ПДн, данные которых обрабатываются в ИСПДн

Пороговым значением для определения уровня защищенности ПДн, обрабатываемых в ИСПДн, является значение, равное 100000 субъектов ПДн, данные которых обрабатываются в ИСПДн.

Определение уровня защищенности ПДн при их обработке в ИСПДн

Уровень защищенности ПДн при их обработке в ИСПДн определяется в соответствии со следующей таблицей:

Категории ПДн, количество субъектов ПДн, тип угроз

Угрозы

Специальные категории ПДн

Биометрические ПДн

Общедоступные ПДн

Иные категории ПДн

> 100000

< 100000

сотруд.

> 100000

< 100000

сотруд.

> 100000

< 100000

сотруд.

> 100000

< 100000

сотруд.

1-й тип

1 УЗ

1 УЗ

2 УЗ

1 УЗ

2-й тип

1 УЗ

2 УЗ

2 УЗ

2 УЗ

3 УЗ

2 УЗ

3 УЗ

3-й тип

2 УЗ

3 УЗ

3 УЗ

4 УЗ

3 УЗ

4 УЗ

Определение уровней защищенности ПДн при их обработке в ИСПДн проводится комиссией по классификации, назначаемой приказом Организации.

Результатом проведения классификации является присвоение ПДн при их обработке в ИСПДн соответствующего уровня защищенности ПДн и его документальное оформление.

5.3. Определение требований (мер) по обеспечению безопасности персональных данных

Приказом ФСТЭК России от 18 февраля 2013 г. N 21 (далее - Приказ ФСТЭК N 21) определены состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн для каждого уровня защищенности ПДн.

Выбор подлежащих реализации мер включает в себя следующие этапы:

- определение базового набора мер по обеспечению безопасности ПДн для установленного уровня защищенности ПДн в соответствии с базовыми наборами мер по обеспечению безопасности ПДн, приведенными в приложении к Приказу ФСТЭК N 21;

- адаптация базового набора мер по обеспечению безопасности ПДн с учетом структурно-функциональных характеристик ИСПДн, информационных технологий, особенностей функционирования ИСПДн (в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в ИСПДн, или структурно-функциональными характеристиками, не свойственными ИСПДн);

- уточнение адаптированного базового набора мер по обеспечению безопасности ПДн с учетом не выбранных ранее мер, приведенных в приложении к Приказу ФСТЭК N 21, в результате чего определяются меры по обеспечению безопасности ПДн, направленные на нейтрализацию всех актуальных угроз безопасности ПДн для конкретной ИСПДн;

- дополнение уточненного адаптированного базового набора мер по обеспечению безопасности ПДн мерами, обеспечивающими выполнение требований к защите ПДн, установленными иными нормативными правовыми актами в области обеспечения безопасности ПДн и защиты информации.

5.4. Разработка и внедрение системы защиты информации ИСПДн

Разработка и внедрение системы защиты информации ИСПДн включают в себя следующие мероприятия:

1) проектирование системы защиты (выбор средств защиты и определение необходимых мер);

2) разработка рабочей и эксплуатационной документации, организационно-распорядительных документов;

3) проведение макетирования и тестирования системы защиты ПДн (при необходимости);

4) закупка технических, программных и программно-технических средств защиты информации;

5) установка и настройка средств защиты информации;

6) разработка организационно-распорядительных документов по защите информации и внедрение организационных мер защиты информации;

7) проведение предварительных испытаний системы защиты ИСПДн;

8) проведение опытной эксплуатации средств защиты информации в комплексе с другими техническими и программными средствами ИСПДн в целях проверки их работоспособности в составе ИСПДн и отработки технологического процесса обработки ПДн в ИСПДн;

9) анализ уязвимостей системных компонентов ИСПДн и принятие мер по их устранению (нейтрализации) (при необходимости);

10) проведение приемочных испытаний системы защиты ИСПДн.

Для выполнения перечисленных мероприятий могут привлекаться сторонние организации, оказывающие соответствующие услуги и имеющие лицензии ФСТЭК России и ФСБ России на осуществление необходимых видов деятельности.

5.5. Оценка соответствия ИСПДн требованиям по безопасности информации

Перед приемкой ИСПДн в эксплуатацию проводится оценка соответствия ИСПДн требованиям по безопасности информации.

Оценка соответствия в форме аттестации проводится в обязательном порядке для государственных информационных систем, в которых обрабатываются ПДн.

6. Контроль соответствия обработки ПДн требованиям законодательства в области обработки и защиты ПДн

Контроль соответствия обработки ПДн требованиям законодательства в области обработки и защиты ПДн (далее - Контроль) является обязательным при эксплуатации системы защиты ПДн.

Основными задачами Контроля являются проверка соответствия принятых и принимаемых мер по защите информации требованиям внутренних документов Организации, нормативных правовых актов Российской Федерации, Калининградской области в области защиты информации.

Контроль предполагает подтверждение того, что:

1) обработка ПДн осуществляется в строгом соответствии с требованиями законодательства;

2) созданная система защиты обеспечивает выполнение требований по защите информации при обработке ПДн;

3) меры, средства и мероприятия, проводимые в целях защиты информации, соответствуют предъявляемым требованиям безопасности информации;

4) средства защиты информации настроены и используются правильно;

5) рекомендации предшествующего контроля учтены и реализованы.

В процессе Контроля проводятся:

1) проверка корректности функционирования процессов обработки ПДн;

2) проверка знания и выполнения работниками Организации требований по обработке и защите ПДн;

3) проверка правильности и полноты выполнения организационных и технических мер по защите ПДн;

4) мониторинг событий информационной безопасности, в том числе с использованием средств автоматизации;

5) анализ защищенности информации, обрабатываемой в ИСПДн, с применением специализированных средств и систем;

6) проверка своевременности внесения изменений в проектную, эксплуатационную и организационно-распорядительную документацию по обеспечению безопасности ПДн;

7) принятие на основании результатов контроля мер по устранению последствий нарушений требований по обеспечению безопасности ПДн.

Ведение Контроля осуществляется как на плановой, так и на внеплановой основе. Порядок Контроля определяется организационно-распорядительными документами Организации.

Контроль может проводиться Организацией как самостоятельно, так и с привлечением юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

1 Далее в документе преимущественно рассматриваются меры (мероприятия) из первого и третьего блоков. Состав и содержание мер (мероприятий) из второго блока более подробно описаны в "Методических рекомендациях по обеспечению защиты информации в государственных информационных системах".

2 В соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119.

3 Утверждено постановлением Правительства РФ от 15 сентября 2008 года N 687.

4 Ссылка: http://rkn.gov.ru/personal-data/forms/notification/.

5 Ссылка: http://rkn.gov.ru/personal-data/forms/p333/.

6 Ссылка: https://pd.rkn.gov.ru/docs/94_1.tif.

7 На момент разработки Методических рекомендаций указанный банк данных угроз безопасности информации размещен на сайте ФСТЭК России по следующей ссылке: http://bdu.fstec.ru/. Описание банка данных угроз безопасности информации приведено на сайте ФСТЭК России по следующей ссылке: https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/956-informatsionnoe-soobshchenie-fstek-rossii-ot-6-marta-2015-g-240-22-879.

8 На момент разработки Методических рекомендаций указанный документ размещен на сайте ФСТЭК России по следующей ссылке: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/380.