Регистрация обращений пользователей ИСПДн к ПДн
Учет лиц, допущенных к работе с персональными данными в ИСПДн.
В соответствии и во исполнении требований Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных», организации, осуществляющей обработку персональных данных необходимо составить список лиц, допущенных к обработке персональных данных.
Список лиц, допущенных к обработке ПДн - перечень лиц (по должностям), доступ к ПДн которым необходим для выполнения служебных обязанностей. В первую очередь это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике, а также сотрудники бухгалтерии. Помимо того, доступ к этим сведениям могут получить руководители структурных подразделений (например, начальники отделов) – и это также необходимо отразить в списке. Однако все они вправе запрашивать не любые данные, а только те, которые необходимы для выполнения конкретных трудовых функций (например, чтобы рассчитать льготы по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев). Поэтому целесообразно прописать перечень информационных ресурсов, к которым пользователи допущены.
Список лиц, допущенных к обработке ПДн можно оформить в виде приложения к Положению по обеспечению безопасности персональных данных или отдельным документом, утвержденным руководителем.
В Положении необходимо прописать все требования к получению, хранению, комбинированию, передаче и любому другому использованию персональных данных, а также гарантии по их защите. С Положением нужно под подпись ознакомить всех сотрудников, включенных в список лиц, допущенных к работе с персональными данными.
Лица, допущенные к работе с персональными данными - сотрудники, которые работают с ПД (работники организации), в т.ч. клиенты, абоненты и другие категории субъектов. Согласно 152 ФЗ в числе организационно-распорядительных документов по обеспечению безопасности ПДн необходим для организации системы допуска и учета лиц, допущенных к работе с ПДн в ИСПДн необходимы: Список лиц, допущенных к обработке ПДн (перечень по должностям тех, кому доступ к ПДн необходим для выполнения служебных обязанностей) и Матрица доступа (должна отражать полномочия пользователей по выполнению конкретных действий в отношении конкретных информационных ресурсов ИСПДн – чтение, запись, корректировка, удаление). Оба документа утверждаются руководителем. .Каждый сотрудник, допущенный к обработке персональных данных, должен подписать соглашение о неразглашении ПДн.
Пример в приложении.
Регистрация обращений пользователей ИСПДн к ПДн.
В соответствии с р.2.1 ч.2 приказ ФСТЭК №58 регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц является одним из методов и способов защиты информации от несанкционированного доступа.
Приказ "Об утверждении журнала регистрации действий пользователей, обслуживающего персонала и посторонних лиц", входит в список документов, необходимых организации для обработки персональных данных.
В государственных органах, работающих с персональными данными граждан обязательным является наличие нормативных актов, действие которых распространяется на должностные лица, которые в рамках исполнения своих должностных обязанностей осуществляют прием и регистрацию обращений (запросов) субъектов персональных данных, а также уполномоченного органа по защите прав субъектов персональных данных, ведут личный прием граждан, осуществляют рассмотрение обращений (запросов), подготовку и направление ответов на них.
Электронный журнал обращений пользователей информационных систем персональных данных.
Электронный журнал представляет совокупность записей штатных средств обработки ПДн (операционных систем, прикладного ПО) или специально установленных систем управления доступом, регистрации и учета о событиях выполняемых пользователями (лог-файлы).
Записи о событиях должны храниться в технических средствах или собираться в едином хранилище специально установленных систем управления доступом, регистрации и учета.
Записи о событиях должны резервироваться.
Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления данных по этим запросам должны регистрироваться автоматизированными средствами информационной системы в электронном журнале обращений.
Журнал обращений должен составляться и заполняться средствами операционной системы, или с помощью дополнительного программного обеспечения.
Содержание электронного журнала обращений должно проверяться ответственным лицом.
При обнаружении нарушений порядка предоставления персональных данных уполномоченное лицо незамедлительно приостанавливает предоставление персональных данных пользователям информационной системы, а также своевременно информирует о факте нарушения непосредственного руководителя, который, в случае необходимости, проводит соответствующее расследование для выявления и устранения причин нарушения.
В соответствии с Постановление Правительства РФ от 1 ноября 2012 г. N 1119"Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»:
Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 14 настоящего документа, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
Для обеспечения 1-го уровня защищенности персональных данных при их обработке в информационных системах помимо требований, предусмотренных пунктом 15 настоящего документа, необходимо выполнение следующих требований:
а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
б) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.