Актуальные проекты

архив

Новости

27.05.16
«Шуваловка»: перезагрузка

Окрошка, медовуха, русские народные танцы, церковный хор, хлеб да соль, баня... Сколько турпродуктов с русским

24.05.16
Продуктивные каникулы с детским цифровым лагерем Smart Wave на берегу Балтийского моря

Подготовка к осознанному выбору будущей профессии – это увлекательный путь школьника-учащегося 5-11 классов, которому заботливый

19.05.16
Турбизнес Северо-Запада принял участие в российско-греческом туристском форуме в Афинах

Перекрестные года России и Греции в 2016 г. должны стать стимулом к росту взаимных туристских

17.05.16
Обновленная "Русская деревня "Шуваловка" приглашает 24 мая на презентацию своих возможностей

Этнографический комплекс «Русская деревня «Шуваловка» обновился под руководством новой команды и приглашает профессионалов турбизнеса на

06.05.16
Поздравляем с праздником Великой Победы!

Дорогие коллеги! Исполнительная дирекция Северо-Западного регионального отделения Российского Союза Туристской

7 шагов к созданию системы защиты персональных данных

Семь шагов к созданию системы защиты персональных данных в организации.

 

1 шаг – издание Приказа по организации о начале работ по созданию системы защиты персональных данных в организации. Этот шаг оформляется приказом по предприятию  «Об организации работ по обеспечению безопасности ПДн». Приказ состоит минимум из 5 пунктов,  в которых:

- назначается ответственный сотрудник предприятия за осуществление мероприятий,  по защите персональных данных;

- дается указание о разработке локальной документации, относящейся к защите персональных данных;

- создается комиссия по защите и обработке персональных данных в организации;

- утверждается и вводится в действие Положение по защите и обработке персональных данных в организации.

2 шаг – проведение обследования информационных систем персональных данных организации.

Главный смысл проведения обследования -  принятие решения  о том, является ли организация оператором персональных данных или нет.  Если принято решение, что организация является оператором по обработке персональных данных, то проводится процедура  определения класса информационной системы персональных данных на предприятии. По результатам реализации этого шага в организации появляются следующие документы:

- отчет об обследовании информационных систем персональных данных,;

- Приказ «О создании комиссии по классификации информационных систем персональных данных»;

- Акт классификации типовой информационной системы персональных данных

-и,  как приложение к Положению о защите и обработке ПДн в организации, «Примерная модель угроз безопасности данных, обрабатываемых в информационных системах персональных данных».

3 шаг – направление Уведомления об обработке (о намерении осуществлять обработку) персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Санкт - Петербургу и Ленинградской области (или соответствующей территории). Бланк  Уведомления можно скачать на сайте Управления или получить в дирекции СЗРО РСТ, но отправить документ нужно обязательно по почте, электронного вида недостаточно. При заполнении имеет смысл  пользоваться Рекомендациями по  заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных.

4 шаг -  разработка, утверждение   и применение документов под названиями:  «Согласие на обработку персональных данных» и «Отзыв согласия на обработку ПДн».

5 шаг – внедрение системы защиты персональных данных. С точки зрения организационных мероприятий этот шаг включает в себя:

- составление и утверждение перечня лиц, допущенных к обработке ПДн (здесь очень важно не забыть уведомить самих лиц о то, что они обрабатывают персональные данные!);

- создание  и утверждение  Перечня персональных данных, обрабатываемых в организации;

-создание и утверждение Положения об обработке и защите персональных данных в организации с обязательным листом ознакомления сотрудников с этим Положением и еще, как минимум, двумя документами к ним - Обязательством об обеспечении конфиденциальности персональных данных сотрудниками предприятия, Приказом о выделении помещений для обработки персональных данных;

 - создание и утверждение документа с названием «Описание системы защиты персональных данных при  их обработке в информационных системах персональных данных в организации. К  описанию необходимо приложить:

- инструкцию пользователю по соблюдению режима защиты информации при работе в информационных системах персональных данных;

- инструкцию администратору безопасности информационных систем персональных данных организации;

-  инструкцию  по резервному копированию и восстановлению  данных в информационных системах персональных данных предприятия;

- положение  о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных в организации.

6 шаг – необходимо определиться с техническими средствами защиты персональных данных. Технические средства защиты персональных данных  бывают от:

- несанкционированного доступа;

- антивирусные средства;

-межсетевые экраны;

- криптографические  средства.

Все применяемые средства должны быть сертифицированы. Реестр сертифицированных средств защиты информации можно найти на сайте ФСТЭК России. После выбора, приобретения и установки средства необходимо правильно настроить! Документами,  подтверждающими реализацию шестого шага, являются:

- перечень средств защиты персональных данных;

- журнал учета и хранения носителей персональных данных;

- акт установки средств защиты информации;

-утвержденная форма акта списания и уничтожения электронных носителей информации;

- утвержденная форма акта уничтожения документов;

- подписанные соглашения о неразглашении персональных данных с третьими лицами (организациями) или соответствующие оговорки в контрактах и соглашениях (в особенности при трансграничной передаче данных).

7 шаг – создание и подписание «Заключения о соответствии системы защиты персональных данных, обрабатываемых в информационных системах персональных данных организации».

Если Вы сделали все эти шаги и завели в организации «Журнал учета обращений субъектов персональных данных о выполнении их законных прав в области выполнения требований действующего законодательства (в части обеспечения безопасности персональных данных)», то  требования Закона Российской Федерации  от 27.07.2006 № 152 – ФЗ «О персональных данных» Вы, в основном, выполняете. Важно помнить, что когда Вы приобретаете новой оборудование (железо), ставите новые программы, расширяетесь о плане площадей в офисе или структурно – нужно не забывать вносить изменения  в весь комплекс вышеперечисленных документов.

За дополнительной информацией, образцами типовых документов и  нормативной базой можно обращаться в ООО "ТрэвелЭкспо"(www.travelexpo.ru) и  исполнительную дирекцию СЗРО РСТ.

 

Исполнительная дирекция

СЗРО РСТ

                                 

РСТ рекомендует

архив

Комиссии

05.06.15
Партнерство как лейтмотив

Общее собрание организаций-членов Северо-Западного регионального отделения Российского Союза Туриндустрии, состоявшееся в мае, определило основные «проблемные точки», волнующие

27.11.14
Тяжелый, но продуктивный: СЗРО РСТ подводит итоги деятельности в 2014 г.

Туриндустрия Северо-Запада пережила тяжелый высокий сезон 2014 г., но будущее отрасли заботит профессионалов как никогда.  Устоять

30.10.13
Финальный аккорд высокого сезона

Въездные и выездные потоки туристов в Санкт-Петербурге растут, однако это не всегда гарантирует преуспевание туристских компаний. Особенно

27.12.12
Кузница инициатив

Поток туристов в Санкт-Петербург в 2012 г. не снизился, однако и к увеличению количества гостей отраслевая

10.11.12
Судовладельцы не хотят быть «слепыми котятами»

Важным для Санкт-Петербурга событием назвал совместное заседание Комиссии по водному туризму Северо-Западного регионального отделения Российского союза туриндустрии