ООО "Контек-Софт" продолжает публиковать серию статей по защите персональных данных

15.09.2014

Первая статья из этого цикла "Кто является оператором персональных данных и что относить к информационным системам персональных данных?" была опубликована нами в июле, прочесть ее можно здесь http://www.contek.ru/information/news/?ID=485

Комплект организационно-распорядительной документации.

Автор - Р.В. Попов
Специалист по защите информации ООО «Контек-Софт»

На сегодняшний день на операторов персональных данных законодателем возложена обязанность разработать и утвердить  комплект внутренних организационно-распорядительных документов в области обработки и защиты персональных данных (ПДн).
У операторов ПДн есть два пути – разработать комплект ОРД самостоятельно, либо обратиться за помощью к организациям, которые занимаются защитой информации. Цена на такую услугу может варьироваться в зависимости от того, будет ли это неадаптированный набор шаблонов документов, или же организационно-распорядительная документация будет написана под конкретную организацию «с нуля».
Сам комплект организационно-распорядительной документации должен содержать  следующие документы, включая, но не ограничиваясь:
    Политику обработки персональных данных.
    Положения об обработке, хранении и уничтожении персональных данных, о режиме безопасности в помещениях;
    План мероприятий по приведению процессов обработки персональных данных в соответствии с требованиями закона;
    Перечень лиц по учреждению, допущенных к обработке персональных данных и перечень мест хранения материальных носителей персональных данных;
    Инструкции и регламенты ответственным лицам и пользователям, допущенным к обработке персональных данных (инструкция ответственного за организацию обработки, инструкция администратора безопасности, инструкция по парольной и антивирусной защите информационных систем, по резервному копированию и восстановлению, по работе с криптографическими средствами).
    Журналы учета обращений субъектов, проводимых внутренних и внешних проверок, журнал учета машинных носителей персональных данных.
На сегодняшний день наиболее часто встречаются следующие виды услуг по разработке комплекта ОРД:
Шаблоны типовых документов (неадаптированный комплект ОРД)
Самый дешевый и наименее качественный вариант, так как заполнение шаблонов возлагается на оператора персональных данных, который не всегда имеет достаточную квалификацию, что приводит к ошибкам и, как следствие, к замечаниям при проверке со стороны Роскомнадзора.
Пользоваться такой услугой крайне не желательно даже небольшим организациям.

Адаптированный комплект ОРД
Этот вариант обычно предлагается как альтернатива предыдущему, обязанность по заполнению ложится уже на исполнителя. Этот вариант не является оптимальным – дело в том, что все сведения, необходимые для заполнения, исполнитель получает от заказчика (оператора ПДн), который в свою очередь может предоставить неверные данные в силу не компетентности, низкой квалификации и т. д.
Такой вариант подходит для не больших организаций, использующих малое количество информационных систем персональных данных (кадры, бухгалтерия).
Разработка такого комплекта организационно-распорядительной документации занимает, как правило не более недели.

Комплект документов, полученный с помощью онлайн сервисов
Несмотря на не высокую стоимость и почти моментальное получение комплекта документов, качество таких документов оставляет желать лучшего.
Также как и в предыдущих случаях сбором исходной информации и заполнением документов занимается сам оператор персональных данных.

Комплект организационно-распорядительной документации, написанный под конкретную организацию
Это самый дорогой, но в тоже время самый лучший вариант для оператора ПДн. Все работы (от сбора исходной информации до консультирования заказчика) по разработке документации производит исполнитель.
Время разработки зависит от сферы деятельности и размера компании – числа сотрудников, количества информационных систем персональных данных, наличия филиалов организации и тому подобное.
Среди преимуществ можно выделить следующие:
    Постоянное обновление документации (доработка, написание новых, ранее не требовавшихся документов) в связи с изменениями законодательства.
    Более тщательный сбор исходной информации.
Как правило, такую услугу предлагают крупные компании, не первый год работающие на рынке ИБ. Этот вариант подходит для любых организаций.
Сама услуга по разработке организационно-распорядительной документации не требует от исполнителя лицензий, но при выборе компании исполнителя желательно, чтобы работы проводились специалистами в области информационной безопасности имеющими большой опыт работы, репутацию, так как некачественно выполненная работа это не только штрафы от Роскомнадзора, но и неверно выстроенная система защиты информации, что в свою очередь может привести к утечке конфиденциальной информации.


	О компании Продукты и решения Услуги Новости Карьера Контакты ЦЕНТР ПРЕВОСХОДСТВА
Поиск	Главная страница » Информация » Новости ООО "Контек-Софт" продолжает публиковать серию статей по защите персональных данных 15.09.2014 Первая статья из этого цикла "Кто является оператором персональных данных и что относить к информационным системам персональных данных?" была опубликована нами в июле, прочесть ее можно здесь http://www.contek.ru/information/news/?ID=485 Комплект организационно-распорядительной документации. Автор - Р.В. Попов Специалист по защите информации ООО «Контек-Софт» На сегодняшний день на операторов персональных данных законодателем возложена обязанность разработать и утвердить комплект внутренних организационно-распорядительных документов в области обработки и защиты персональных данных (ПДн). У операторов ПДн есть два пути – разработать комплект ОРД самостоятельно, либо обратиться за помощью к организациям, которые занимаются защитой информации. Цена на такую услугу может варьироваться в зависимости от того, будет ли это неадаптированный набор шаблонов документов, или же организационно-распорядительная документация будет написана под конкретную организацию «с нуля». Сам комплект организационно-распорядительной документации должен содержать следующие документы, включая, но не ограничиваясь:  Политику обработки персональных данных.  Положения об обработке, хранении и уничтожении персональных данных, о режиме безопасности в помещениях;  План мероприятий по приведению процессов обработки персональных данных в соответствии с требованиями закона;  Перечень лиц по учреждению, допущенных к обработке персональных данных и перечень мест хранения материальных носителей персональных данных;  Инструкции и регламенты ответственным лицам и пользователям, допущенным к обработке персональных данных (инструкция ответственного за организацию обработки, инструкция администратора безопасности, инструкция по парольной и антивирусной защите информационных систем, по резервному копированию и восстановлению, по работе с криптографическими средствами).  Журналы учета обращений субъектов, проводимых внутренних и внешних проверок, журнал учета машинных носителей персональных данных. На сегодняшний день наиболее часто встречаются следующие виды услуг по разработке комплекта ОРД: Шаблоны типовых документов (неадаптированный комплект ОРД) Самый дешевый и наименее качественный вариант, так как заполнение шаблонов возлагается на оператора персональных данных, который не всегда имеет достаточную квалификацию, что приводит к ошибкам и, как следствие, к замечаниям при проверке со стороны Роскомнадзора. Пользоваться такой услугой крайне не желательно даже небольшим организациям. Адаптированный комплект ОРД Этот вариант обычно предлагается как альтернатива предыдущему, обязанность по заполнению ложится уже на исполнителя. Этот вариант не является оптимальным – дело в том, что все сведения, необходимые для заполнения, исполнитель получает от заказчика (оператора ПДн), который в свою очередь может предоставить неверные данные в силу не компетентности, низкой квалификации и т. д. Такой вариант подходит для не больших организаций, использующих малое количество информационных систем персональных данных (кадры, бухгалтерия). Разработка такого комплекта организационно-распорядительной документации занимает, как правило не более недели. Комплект документов, полученный с помощью онлайн сервисов Несмотря на не высокую стоимость и почти моментальное получение комплекта документов, качество таких документов оставляет желать лучшего. Также как и в предыдущих случаях сбором исходной информации и заполнением документов занимается сам оператор персональных данных. Комплект организационно-распорядительной документации, написанный под конкретную организацию Это самый дорогой, но в тоже время самый лучший вариант для оператора ПДн. Все работы (от сбора исходной информации до консультирования заказчика) по разработке документации производит исполнитель. Время разработки зависит от сферы деятельности и размера компании – числа сотрудников, количества информационных систем персональных данных, наличия филиалов организации и тому подобное. Среди преимуществ можно выделить следующие:  Постоянное обновление документации (доработка, написание новых, ранее не требовавшихся документов) в связи с изменениями законодательства.  Более тщательный сбор исходной информации. Как правило, такую услугу предлагают крупные компании, не первый год работающие на рынке ИБ. Этот вариант подходит для любых организаций. Сама услуга по разработке организационно-распорядительной документации не требует от исполнителя лицензий, но при выборе компании исполнителя желательно, чтобы работы проводились специалистами в области информационной безопасности имеющими большой опыт работы, репутацию, так как некачественно выполненная работа это не только штрафы от Роскомнадзора, но и неверно выстроенная система защиты информации, что в свою очередь может привести к утечке конфиденциальной информации.
	634041, Россия, Томск, ул. Киевская, 93. Тел: +7 3822 58 52 42. Контек