Аудит персональных данных в организации

Автор: | 03.05.2019

Что требует закон?

Закон о персональных данных требует, чтобы абсолютно каждый оператор осуществил правовую подготовку по статье 18.1 и техническую подготовку по статье 19 закона.

Также закон требует, чтобы каждый оператор проводил аудит соответствия обработки персональных данных требованиям закона, подзаконным нормативно-правовым актам, политике оператора в отношении обработки персональных данных и внутренним локальным актам оператора. Об этом гласит пункт 5) части 1 статьи 18.1.

В теории все просто: оператор должен открыть сам закон, внимательно вчитаться в статьи 18.1 и 19 закона и реализовать их в жизни. Но на практике все гораздо сложнее, потому что для реализации указанных статей закона нужно иметь понимание требований, а, столкнувшись с общими формулировками закона, неподготовленному (не опытному) читателю понять их совсем не просто.

В итоге без внешней помощи не обойтись. А тем, кто все же отважился реализовать требование статей закона самостоятельно, нужна перепроверка от компетентной организации.

Заказать обратный звонок и получить полное понимание за 10 минут ЗАКАЗАТЬ ОБРАТНЫЙ ЗВОНОК

Как проводится аудит по 152-ФЗ?

Порядок проведения аудита правового соответствия 152-ФЗ следующий:

  1. Обследование (сбор и анализ) исходных данных, включая, среди прочего, следующие:
    • об организационной структуре организации;
    • бизнес-процессы организации, связанные с обработкой персональных данных;
    • имеющиеся организационно-распорядительные документы в части обработки персональных данных;
    • степень и правильность реализации технических мер защиты;
    • правильность неавтоматизированной (бумажной) обработки персональных данных;
    • взятие согласий с субъектов персональных данных;
    • соответствие договоров с контрагентами требованию закона.
  2. Оформление отчета по результатам аудита, включая, среди прочего, следующее:
    • общая оценка выполнения оператором требований закона;
    • оценка выполнения требований статей 18.1 и 19 закона;
    • оценка соответствия подзаконным нормативно-правовым актам;
    • выводы по результатам аудита;
    • рекомендации и замечания по приведению в соответствие.

Порядок проведения аудита реализации технических мер защиты следующий:

  1. Обследование (сбор и анализ) исходных данных, включая, среди прочего, следующие:
    • количественные характеристики ИСПДн (количество серверов, рабочих станций и др.);
    • качественные характеристики ИСПДн (операционные системы, СУБД, прикладное ПО и др.);
    • технологии обработки данных в ИСПДн (RDP, Wi-Fi, толстый клиент, тонкий клиент и др.);
    • применяемые средства защиты в ИСПДн;
    • инженерно-техническая защищенность ИСПДн.
  2. Оформление отчета по результатам аудита, включая, среди прочего, следующее:
    • перечень законодательных актов, которым ИСПДн должна соответствовать;
    • подробное описание ИСПДн;
    • оценка выполнения оператором требований закона (статьи 19 закона);
    • оценка соответствия подзаконным нормативно-правовым актам;
    • описание реализации технических мер защиты информации;
    • выводы по результатам аудита;
    • рекомендации и замечания по приведению в соответствие.

Порядок проведения аудита готовности к проверке Роскомнадзора следующий:
Вы можете узнать стоимость работ по аудиту в рамках 152-ФЗ: 8(800) 550-44-71 ЗАКАЗАТЬ ЗВОНОК

Аудит по 152-ФЗ: цена вопроса.

Напомним, что аудит по 152-ФЗ делится на три направления:

  1. Аудит правовой готовности (аудит организационно-распорядительной документации по статьям 18.1 и 19 закона и подзаконным нормативно-правовым актам).
  2. Аудит реализации технических мер защиты (аудит защищенности информационных (компьютерных) систем по статье 19 закона).
  3. Аудит готовности к проверке Роскомнадзора (аудит готовности к проверке по типовому плану проверки Роскомнадзора и с учетом практики прохождения проверок).

Оператор может провести аудит самостоятельно или обратиться за квалифицированной помощью к компетентной организации. Внимание: аудит реализации технических мер защиты может выполнять только лицензиат ФСТЭК России с лицензией на техническую защиту конфиденциальной информации.

Цена аудита правовой подготовки варьируется в диапазоне от 150 тыс. до 1,5 млн. в зависимости от масштаба организации, которую проверяют (количества контрагентов у организации, количества и класса информационных систем, количества отделов и сотрудников и др.).

Цена аудита реализации технических мер защиты варьируется в диапазоне от 150 тыс. руб. до 1,5 млн. руб. в зависимости от масштаба, класса защищенности, сложности и территориальной распределённости ИСПДн.

Цена аудита готовности к прохождению проверки Роскомнадзора варьируется в диапазоне от 150 тыс. до 1,5 млн. в зависимости от срочности, т.е. в зависимости от того, сколько времени есть на подготовку. Сверхсрочные услуги, как правило, в два-три раза дороже чем с обычным сроком.

Обычно при заказе комплексного аудита по 152-ФЗ, включающего правовой, технический аудит и аудит готовности к проверке Роскомнадзора, общая стоимость услуг ниже, чем при заказе каждого вида аудита по отдельности.

Заказать обратный звонок и получить полное понимание за 10 минут ЗАКАЗАТЬ ОБРАТНЫЙ ЗВОНОК

Предоставление данных

111 юристов сейчас на сайте 2745консультаций за 24 часа

Подвело любопытство, и на сейте ламода оставила свои данные для предоставления рассрочки, хотела узнать сумму. Мне одобрили 20 000, но оформлять покупку я с данной услугой рассрочки я передумала, запрос на выпуск виртуальной карты не оформляла, соответственно, у меня нет никаких реквизитов. Стоит ли волноваться, что мне уже пойдёт начисление каких-то процентов? Позже ещё заметила, что свои данные вбила с ошибкой в номере паспорта.

Если вы не получили денежные средства, то никакие проценты не начисляются, долга нет, волноваться не следует.

Здравствуйте! Можете не волноваться.

Нужно собрать подписи соседей, о том, что человек не проживает по данному адресу, для предоставления в суд! Как это оформить правильно?

Оформите актом о непроживании.

Анастасия, в данном случае можете привести в качестве свидетелей соседей и они дадут показания в суде согласно данным обстоятельствам ст. 56 ГПК РФ.

Добрый день! В свободной форме. Примерная форма: АКТ о непроживании Комиссия в составе: 1.___Ф.И.О,, паспорт гражданина РФ серии № выдан ___ г., код подразделения , проживающий по адресу: г. N, ул. ___, д. ___ кв. ; 2.___Ф.И.О,, паспорт гражданина РФ серии № выдан ___ г., код подразделения , проживающий по адресу: г. N, ул. ___, д. ___ кв. ; 3.___Ф.И.О,, паспорт гражданина РФ серии № выдан ___ г., код подразделения , проживающий по адресу: г. N, ул. ___, д. ___ кв. ; 4. 5. являющиеся жителями дома №__ по улице ___ в г. N составили настоящий акт о нижеследующем: руководствуясь нормами жилищного и гражданского права, жильцы совершили осмотр квартиры №___ по улице ___ в г. N по инициативе жильца (ответственного квартиросъемщика) ___Ф.И.О. В осматриваемой квартире №___, расположенной на ___ этаже, кирпичного __этажного дома по адресу: , г. N, где фактически не проживает, личных вещей указанных граждан не обнаружено, спальных мест и иных признаков, указывающих на фактическое жительство указанных граждан по данному адресу также не имеется. Настоящий акт составлен ___ февраля 2019 г. в __:___ по адресу: ул. ___, д. ___ кв.__. Подпись / Подпись / Подпись /

Имеет ли право инн требовать паспортные данные при предоставлении платных услуг?

Кто такие они? Задавайте вопрос понятно и корректно.

У нас в семье сгорел дом в 2000 году, было подано заявление на предоставление жилья, но на данный момент, оказалось что я не стою вообще на учете, хотя до сих пор прописан где сгорел дом Как мне быть?

Снова подавать заявление и выяснять где ваше предыдущее. Собирать справки.

Администрация отказала в предоставлении в аренду земельного участка сформулировав отказ тем, что данный участок находится в шумозащитной зоне и зоне объектов дорожной инфраструктуры! Хотя рядом построены дома и размежёваны земельные участки!

Отказ обоснованный. Объекты дорожной инфраструктуры являются территориями общего пользования. Ст. 85 ЗК РФ 12. Земельные участки общего пользования, занятые площадями, улицами, проездами, автомобильными дорогами, набережными, скверами, бульварами, водными объектами, пляжами и другими объектами Судебная практика: Вывод из судебной практики: Договор аренды земельного участка, сформированного за счет территории общего пользования, является недействительным. Постановление Арбитражного суда Северо-Кавказского округа от 20.07.2018 N Ф 08-4847/2018 по делу N А 32-7076/2017 «…Администрация муниципального образования город Краснодар (далее — администрация) обратилась в Арбитражный суд Краснодарского края с исковым заявлением к обществу с ограниченной ответственностью «Компания «Альт-Телеком» (далее — общество, компания), в котором просила: — расторгнуть договор аренды земельного участка от 02.05.2012 N 4300018412, заключенный между администрацией и обществом, — обязать общество возвратить арендодателю (администрации) земельный участок общей площадью 752 кв. м, с кадастровым номером 23:43:0206098:402, расположенный по улице Платановый Бульвар, 16, в Западном внутригородском округе города Краснодара, путем его освобождения и подписания акта приема-передачи участка. Земельные участки общего пользования, занятые площадями, улицами, проездами, автомобильными дорогами, набережными, скверами, бульварами, водными объектами, пляжами и другими объектами, могут включаться в состав различных территориальных зон (пункт 12 статьи 85 Земельного кодекса). Исходя из содержания пункта 12 статьи 1 Градостроительного кодекса, пункта 12 статьи 85 Земельного кодекса и статьи 262 Гражданского кодекса, перечень территорий общего пользования не является закрытым. В соответствии с правовой позицией, сформулированной в постановлении Президиума Высшего Арбитражного Суда Российской Федерации от 12.04.2011 N 15248/10, земельный участок, который относится к землям (территориям) общего пользования, не может быть выделен из земель общего пользования и предоставлен в пользование конкретному лицу. Пленум Высшего Арбитражного Суда Российской Федерации в пунктах 1, 2 постановления от 23.07.2009 N 57 «О некоторых процессуальных вопросах практики рассмотрения дел, связанных с неисполнением либо ненадлежащим исполнением договорных обязательств» (далее — постановление Пленума N 57) разъяснил необходимость оценки обстоятельств, свидетельствующих о заключенности и действительности договора, при рассмотрении дел, связанных с неисполнением или ненадлежащим исполнением договорных обязательств. К обстоятельствам, имеющим значение для правильного рассмотрения дела и подлежащим установлению на стадии подготовки дела к судебному разбирательству, отнесены обстоятельства, свидетельствующие о заключенности и действительности договора, в том числе о соблюдении правил его заключения, о наличии полномочий на заключение договора у лиц, его подписавших. Требование о применении последствий недействительности ничтожной сделки может быть предъявлено любым заинтересованным лицом; суд вправе применить такие последствия по собственной инициативе (пункт 2 статьи 166 Гражданского кодекса в применимой к договору аренды от 02.05.2012 редакции). Исследовав и оценив представленные в обоснование заявленных требований и возражений против них доказательства, суды установили, что договор аренды земельного участка от 02.05.2012 N 4300018412 не может быть расторгнут, поскольку заключен его сторонами в целях строительства кафе на территории, расположенной в соответствии с Генеральным планом Краснодара в зоне рекреационного назначения (городские зеленые насаждения общего пользования), в нарушение законодательства Российской Федерации и является недействительным (ничтожным). Поскольку названная сделка не повлекла для общества законных оснований для использования спорного земельного участка путем осуществления на нем строительства, на ответчика возложена обязанность освободить участок и вернуть его по акту приема-передачи администрации. При таких обстоятельствах оснований для отмены решения от 30.11.2017 и апелляционного постановления от 24.02.2018 по доводам кассационной жалобы не имеется. Правильность выводов судебных инстанций по существу спора подателем жалобы не опровергнута, несогласие с ними не может служить основанием для отмены или изменения судебных актов. Переоценка исследованных судами доказательств и установленных по делу обстоятельств не входит в полномочия кассационной инстанции (статьи 286 и 287 Арбитражного процессуального кодекса)…»

Мне нужен образец заявления для предоставления справки от судебных приставов о том что в данный момент я не получаю алименты, эта справка нужна для дальнейшей отправки судье, чтоб возобновить исполнительный лист. Заранее спасибо.

Добрый день! У вас есть судебное решение о взыскании алиментов на несовершеннолетнего ребенка? Сходите в ФССП (федеральную службу судебных приставов) по месту жительства Вашего бывшего супруга, напишите заявление о выдаче такой справки, и Вам ее выдадут.

Могу ли отказать в предоставлении паспортных данных, прописки, ссылаясь на закон, при заключении договора купли-пролажи?

Алексей, тогда не смогут идентифицировать данный договор принадлежности Вам.

В чем разница: предоставление информации о ходе исполнительного производства и из банка данных?

Добрый день. Уточните вопрос.

Могут ли не достоверные предоставленные данные в банк при банкротстве быть причиной уголовного или административного преследования? (инвалид 2 группы, но при оформлении заявки говорил что не являюсь инвалидом)

Здравствуйте, Евгений! Не могут Суд при рассмотрении обоснованности вашего заявления проверяет можете ли вы удовлетворить требования кредиторов или нет на основании документов, которые вы предоставите Какие документы вы предоставлялив банки суд не проверяет С уважением, пом. финансового управляющего Ю.В. Никитина.

Это может повлиять только на неосвобрждении вас от долгов. Банк будет говорить о вашей недобросовестности… Но против каждого дома есть свой лом. Граммотной финансовый управляющий вам поможет в этом.

Какие меры предпринимает суд, штрафные санкции либо иные, за предоставление неверны данных суду о родстве оскжденного для получения свидания?

Уточните, сведений только или документов?

Муж с которым мы в данный момент на стадии развода, сотрудник МВД. Для предоставления льготного места в детском саду для нашей дочери, в РОНО необходимо предоставить копию удостоверения личности супруга, либо справку с места работы с указанием необходимых данных. Муж на контакт не идёт, игнорирует все просьбы. Написала официальное письмо на имя руководителя структуры в которой он работает, получила официальный отказ с ссылкой на закон о защите персональных данных (файл во вложении) .Помогите пожалуйста скоординировать мои дальнейшие действия.

Обратитесь в суд с иском о взыскании содержания до достижения ребенком 3-х лет или до выделения путевки в дошкольное учреждение, в связи с невозможностью выхода на работу. Думаю, данный вариант больше подействует.

Моя мать умерла 26 лет назад, трудовая книжка ё не сохранилась. На данный момент для предоставления в посольство государства Израиль мне необходимы копии документов из личного дела с места её последней работы, где указаны родственные связи. В данном случае я имею ввиду личную карточку Т 2. Такие карточки других моих родственников (при предоставлении мной их справок о смерти) мне выдали без проблем, а в выдаче такой копии карточки Т 2 моей матери в организации, где она работала, отказали (устно пока). Ссылаются на Закон о защите персональных данных, говорят, что копию такого документа может получить только сам работник (но она умерла 26 лет назад). Правомерно ли это?

Здравствуйте! Нет, не правомерно.

Где взять решение органа исполнительной власти о предоставлении мне данного жилья, а именно комнаты в коммунальной квартире? В каком архиве?

Вы вначале узнайте у этого органа исполнительной власти в какой именно архив он сдает своими документами А потом обращайтесь в указанный архив.

Аннулирован вид на жительство по предоставлению ложных сведений. Данные ложные сведения были предоставлены не в заявлении на получении вида на жительство. Новая регистрация в последствии признана фиктивной и повлекла данные последствия. Наше законодательство не регулирует момент предоставления ложных сведений. Как обжаловать данные действия сотрудников МВД.?

Здравствуйте! Обжаловать действия должностного лица можно в судебном порядке.

Попытаться обжаловать действия УФМС можно путем подачи административного иска в суд. Административное исковое заявление может быть подано в суд в течение трех месяцев со дня, когда гражданину, организации, иному лицу стало известно о нарушении их прав, свобод и законных интересов.

Цель обработки персональных данных-«осуществление производств енной деятельности по предоставлению услуг электроснабжения в соответствии с заключенными договорами.»..По смыслу тут должны быть договора с предприятими или физлицами тоже?

Вообще субъект персональных данных-это только физическое лицо. (статья 3 ФЗ «О персональных данных») У предприятие не бывает никаких «персональных данных» И если с вами фирма, которая будет оказывать вам услуги электроснабжения, то она и возьмёт с вас согласие на обработку ваших персональных данных. Так что договор заключает предприятия только с физическим лицом.

Госслужашим при предоставлении справки о доходах не указан один счет в сбербанке. Данные счет не указывался начиная с 2008 г. в 2018 г. работник кадровой службы (налоговой) воспользовавшись базой данных налогового органа установил факт не отражения счета и направил запрос банк в соответствии с указом № 1065. Мне о том, что в отношении меня проверяются мои счета не сообщили. С банка пришел 17.09.2018 г. подтверждающий ответ. За данное нарушение работодатель планирует меня уволить. В соответствии с ч. 3 ст. 59.3 79-Фз дисциплинарное взыскание применяется не позднее шести месяцев со дня поступления информации о совершении гражданским служащим коррупционного правонарушения и не позднее трех лет со дня его совершения. Не истек ли в данном случае срок давности привлечения к дисциплинарной ответственности.

Консультации госслужащих оказываются только на платной основе! Стоимость консультации (ответа на один вопрос) — 100000 рублей по 100% предоплате. Честных людей на госслужбе нет.

Является ли разглашением персональных данных, предоставление в суд работником предприятия, документов предприятия, содержащие сведения о других работниках, не являющиеся предметом судебного разбирательства?

Предоставление в суд (даже не по судебному запросу) и разглашение — это весьма разные понятия. Не смотря на открытость судебного разбирательства.

Жкх без предоставления квитанции требует по заключенному договору за вывоз мусора оплатить данную услугу. Квитанции выписывают на месте когда к ним приходишь. Правильно ли это?

Здравствуйте. Если в заключенном договоре оговорен именно такой способ оплаты — то никакого нарушения закона здесь нет.

Задание №3
Подберите понятие к данному определению: «…-это признанная или предоставленная правовой нормой мера (вид) возможного (дозволенного) поведения управомоченного субъекта».

Подберите понятие к данному определению: «…-это признанная или предоставленная правовой нормой мера (вид) возможного (дозволенного) поведения управомоченного субъекта». Занимайтесь решением сами. Если этого не сделать, то вы никогда не станете хорошим юристом.

Здравствуйте Даниил! Поскольку речь идет о субъекте и его правовых нормах, то в данном случае это понятие — Субъективное право.

Я являюсь гражданской Украины, документы на данный момент о предоставлении убежища на территории РФ. Есть ИНН, страховое св-во, регистрация по месту жительства. Живу в Курской области, в городе Курске хотела устроится на работу, прошла стажировку, но когда отправили документы в главный офис, мне отказали, т.к. я не гражданка РФ. Правомерно ли то, что мне отказали в работе по этой причине?

Добрый вечер, Надежда! Не правомерно. Вам имели право отказать только в случае, если вы не обладаете достаточным опытом и навыками для работы в данной специальности, но никак не по признаку гражданства (ст. 64, 327.1 ТК РФ).

Я была выселена незаконно с несовершеннолетним ребенком без предоставления жилья, отменить данное решение в верховном суде рф не удалось Могу ли я что нибудь взыскать в соответствии со ст 208 гк за нарушение неприкосновенности жилища в результате неправосудного судебного акта если этот акт не отменен, можно ли вообще что то сделать в данном случае?

Галина, здравствуйте! Поскольку Вам не удалось и ВС РФ отменить судебное решение о Вашем выселении, значит нельзя говорить, о том, что ваше выселение было не законно. Поэтому, ссылаться на нарушение неприкосновенности жилья, в вашем случае, не уместно.

Письмо пришло с ФНС с требованием предоставления объяснении. (подала данные на возврат денежных средств, 3-ндфл) В связи с камеральной проверкой были выявлены ошибки или противоречия между сведениями, не указана продажа автомобиля, что это может быть и с чем это связано? При продаже автомобиля документы все оформляли, было все нормально.

Если авто продали раньше 3 лет, то должны задекларировать в 3-НДФЛ факт продажи авто и полученные суммы, а также применить налоговые вычеты. И если сумма налога будет равна нулю, тогда претензий к Вам не будет. Разве что за неподачу в срок декларации. Подавать ее нужно до 30 апреля следующего года за годом получения дохода.

Буду очень благодарна Вам за предоставление от Вас консультации по данной ситуации. Руководитель на работе сообщила мне, что моя должность с таким функционалом уже для них не актуальна, то есть это сокращение, мне предложили какую то мутную должность в другом отделении, я отказалась так как побоялась, что мне не понравится и увольняться придется уже по собственному и мне дали на подпись вот это соглашение о расторжении тр.дог. по согл. Сторон. Подписанного соглашения работодателем у меня пока нет, так как отдел кадров в другом офисе. Такой вопрос, если я уже подписала это соглашение, пошел уже 2 й день с этого дня, работодатель не имеет же право взять отозвать его? Я просто думаю, а вдруг начнут предлагать другие должности в этой же организации, которые меня не устроят, ну в целях чтобы оклад двойной не платить. Могут ли это соглашение отозвать, и предъявить какие то мне претензии, что раз я отказываюсь от других вариантов, допустим условия соглашения поменять или еще что-то?

Доброго времени суток! Согласно трудовому законодательству РФ ст.81 в случае сокращения штата организации, работодатель обязан предлагать работнику все отвечающие указанным требованиям вакансии, имеющиеся у него в данной местности. Предлагать вакансии в других местностях работодатель обязан, если это предусмотрено коллективным договором, соглашениями, трудовым договором. Работник. В свою очередь, имеет право отказаться от предложенных вакансий вполне на законных основаниях. Удачи Вам и всего хорошего!

Анна, если работодатель уже подписал соглашение об увольнении с конкретными условиями, Вы вправе настаивать на его исполнении…

Вы предоставляете платежные документы для предоставления в суд для включения данной суммы в иск? Мне нужно составить претензию в агентство недвижимости и исковое заявление в суд. Я живу в Нижнем Новгороде.

Добрый день! Вы можете оплатить юридические услуги на карту того, кто Вам их оказал, и представить в суд выписку со счета. Только нужно правильно указать назначение платежа: «за составление искового заявления к ООО «Колокольчик», например, а также приложить соглашение об оказании юруслуг, где будут конкретно поименованы оказанные Вам услуги.

Конечно, заключается договор, указывается способ оплаты, документы об оплате, договор. Все приобщает к заявлению о взыскании расходов на юруслуги.

Как написать заявление в налоговую о предоставлении данных, на основании которых начисляют собственнику налога за земельный участок, если данный участок не зарегистрирован в кадастровом органе?

Налог будет начисляться исходя из тех данных, которые органы местного самоуправления передали или передадут в ФГБУ «ФКП Росреестра» в лице филиала по Челябинский области, а далее ГКН. По уму Ваш участок вообще-то должен стоять на кадастровом учете как ранее учтенный… А что разве нет у Вашего ЗУ кадастрового номера? Касательно второго вопроса: при уточнении границ и площади Вашего ЗУ согласно ст.39 Федерального закона от 24.07.2007 №221-ФЗ «О государственном кадастре недвижимости» кадастровому инженеру будет легко сверстать межевой план и внести соответствующие сведения в ГКН… И это лучше сделать. Удачи вам в ваших делах.

Добрый Вам вечер. Уважаемая Жанна, в данном случае такое заявление пишется в свободной форме с указанием всех перечисленных Вами фактов.

У меня удостоверяет личность свидетельство о предоставлении временного убежища в РФ.В данный момент оно находится на продлении и это ещё месяц минимум. Каких либо временных документов при этом не выдают. Все накопления и зарплату получить в банке я не могу по ксерокопии этого документа, завершённой нотариусом. Что делать? Идти воровать, чтобы не умереть с голода?

Добрый день! У Вас должен быть статус временного переселенца либо беженца. Если документ беженца находится на продлении — обратитесь в отдел МИД России или УФМС с жалобой на действия органов, обязанных выдать Вам такой документ. По ксерокопии, даже подтвержденной нотариусом… (?) Вам никто ничего не выдаст. И вообще, такие ксерокопии нотариус не имеет права заверять при отсутствии оригинала документа!

Пожалуйста как правильно написать обращение в РУЖО о предоставлении данных из личного дела военнослужащего запаса? Спасибо.

—Здравствуйте уважаемый посетитель, да не факт что вам их вообще предоставят. При обращении в суд, по ходатайству, суд сможет их запросить. Удачи вам и всего хорошего, с уважением юрист Лигостаева А.В. :sm_ax:

Если данные запрашивает сам военнослужащий, либо уполномоченное им установленным порядком лицо, то пишется заявление в свободной форме, которое подлежит рассмотрению в течение месяца и при отсутствии препятствий сообщаются необходимые сведения, либо предоставляются копии документов.

Методика аудита информационной безопасности информационной системы персональных данных средней общеобразовательной школы

Обстановка в сфере информационных технологий постоянно меняется, появляются новые угрозы конфиденциальности информации, а также и новые технические и программные средства, необходим постоянный контроль надежности системы защиты. Именно эту функцию и выполняет аудит информационной безопасности (далее — аудит ИБ).

Аудит ИБ — это систематическая, независимая и документированная проверка (оценка) выполнения в организации обязательных требований и норм, установленных в нормативных правовых актах и стандартах Российской Федерации, а также в организационно-распорядительных документах (локальных актах) организации в области ИБ и выработки рекомендаций по устранению выявленных нарушений .

Аудит предназначен для проверки обязательных требований, установленных нормативными правовыми актами и организационно-распорядительными документами (локальными актами, которые издаются юридическим лицом самостоятельно).

Анализ нормативно-правовой базы в области защиты информационной системы персональных данных (далее — ИСПДн) показал, что в Российском Законодательстве нет документов, описывающих методику проведения аудита ИБ ИСПДн. Более того отсутствуют документы, регламентирующие процесс проведения аудита ИСПДн в самих образовательных учреждениях.

В этой связи разработка методики аудита ИБ ИСПДн средней общеобразовательной школы (далее — СОШ) представляется одним из важнейших вопросов в сфере защиты конфиденциальности информации с ограниченным доступом.

Общие сведения

Методика аудита ИБ ИСПДн СОШ (далее — Методика) разрабатывается в соответствии с требованиями, указанными в документах:

— Федеральный закон от 27.07.2006 г. № 152–ФЗ «О персональных данных».

— Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

— Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

— Методический документ. Меры защиты информации в государственных информационных системах, утвержденный ФСТЭК России 11.02.2014 г.

Целью аудита по данной Методике является получение достоверных данных о ИСПДн СОШ, подкрепленных фактами и документами, которые позволили бы максимально объективно оценить степень соответствия ИСПДн СОШ требованиям по обеспечению безопасности ПДн.

Обработка ПДн в СОШ осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».

Персональные данные работника — это информация, необходимая работодателю в связи с установлением трудовых отношений и касающаяся конкретного работника.

К предоставляемым ПДн работника относится информация, содержащаяся в трудовой книжке, в страховом свидетельстве государственного пенсионного страхования, информация об образовании и квалификации, информация медицинского характера, информация в документах воинского учета и в других документах, которые содержат данные, необходимые работодателю в связи с установлением трудовых отношений.

Анализ ПДн, обрабатываемых в ИСПДн образовательных структур, позволил выделить особую категорию ПДн — ПДн несовершеннолетних.

ПДн несовершеннолетних можно охарактеризовать как особый вид информации с ограниченным доступом, затрагивающий интересы лиц в возрасте до 18 лет, который отличается более узким кругом относимых к ней сведений, участием в защите ее конфиденциальности родителей или законных представителей, широким кругом полномочий в процессе обработки ПДн государственных органов в сфере образования, социальной защиты, здравоохранения и профилактики правонарушений .

К ПДн обучающегося относятся сведения, содержащиеся в свидетельстве о рождении, паспорте или ином документе, удостоверяющем личность; информация, содержащаяся в личном деле обучающегося; сведения, содержащиеся в документах воинского учета (при их наличии); информация об успеваемости и о состоянии здоровья, документ о месте проживания и иные сведения, необходимые для определения отношений обучения и воспитания.

Методика аудита информационной безопасности информационной системы персональных данных средней общеобразовательной школы.

Вне зависимости от вида и объекта исследования аудит ИБ ИСПДн проводится в три этапа (рис.1). На предварительном этапе образовательным учреждением предоставляются все организационно-распорядительные документы по ИСПДн, разработанные в СОШ. Этап непосредственного проведения аудита проводится в соответствии с программой (планом) проведения аудита, разработанной и согласованной с руководством СОШ. На заключительном этапе подготавливается отчет в соответствии с программой (планом), содержащий выявленные недостатки ИСПДн СОШ и рекомендации по их устранению.

Рис. 1. Этапы проведения аудита информационной безопасности

Предварительный этап включает в себя проведение организационных мероприятий с учетом требований заказчика. Определяются цели, задачи, границы проведения аудита ИБ ИСПДн СОШ. Составляется и заключается договор на проведение аудита ИБ ИСПДн между заказчиком и аудитором, в котором определены и документально закреплены в должностных инструкциях аудитора права и обязанности. Определяется состав аудиторской группы и назначается ее руководитель. Готовится программа (план) аудита ИБ ИС руководителем аудиторской группы и согласовывается с руководством СОШ .

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *