Кого назначить ответственным за обработку ПДн?


В рамках рабочей группы Роскомнадзора по ПДн выявилась следующая проблема – в законодательстве отсутствует указание, кого назначить лицом, ответственным за организацию обработки персональных данных, какие у него должны быть функции и квалификация.

Эти вопросы интересуют всех операторов и в видео ниже я постарался на них ответить: 



Нажмите чтобы увидеть требования НПА

Основные выводы привожу и тут:

Кого назначить?
Лучшие возможные варианты (подчиняются напрямую исполнительному органу организации и не имеют конфликта интересов при проведении контроля):
·        Руководитель / заместитель руководителя компании
·        Независимый эксперт / консультант / советник
·        Руководитель юридического подразделения
·        Руководитель подразделения аудита
Также возможны варианты (подчиняются напрямую исполнительному органу организации и но возможен конфликта интересов при проведении контроля):
·        Руководитель ИБ подразделения
·        Руководитель подразделения по работе с клиентами
·        Руководитель ИТ подразделения
·        Руководитель HR подразделения

Требования к квалификации:
Должен знать (как минимум):
Основные положения законодательства РФ в области обработки ПДн
·        понятие ПДн
·        принципы обработки ПДн
·        условия обработки ПДн
·        цели и правовые основания обработки ПДн
·        виды и формы согласий субъекта ПДн на обработку ПДн
·        понятие и особенности обработки общедоступных ПДн
·        понятие и особенности обработки биометрических ПДн
·        понятие и особенности обработки специальных категории ПДн
·        понятие и особенности поручения обработки ПДн
·        понятие и особенности трансграничной передачи ПДн
·        права субъектов ПДн
·        возможные угрозы нарушения прав субъектов ПДн и связанный с ними ущерб
·        обязанности оператора ПДн
·        возможные меры направленные на обеспечение выполнения обязанностей оператора ПДн
·        порядок взаимодействия с уполномоченный орган по защите прав субъектов персональных данных
·        требования к уведомлению об обработке персональных данных
Основные положения законодательства РФ в области защиты ПДн
·        понятие уровней защищенности ПДн при их обработке в ИСПДн
·        основные виды и типы угроз безопасности ПДн в ИСПДн
·        содержание и порядок организации работ по выявлению угроз безопасности ПДн
·        требования по обеспечению безопасности ПДн
·        возможные меры по выполнению требований по по обеспечению безопасности ПДн
Положения ОРД по ПДн, принятые в организации
Требования по взаимодействию с субъектами ПДн, по их обращениям
Нормы устанавливающие ответственность за нарушение требований по обращению с персональными данными. Практика правоприменения данных норм
Порядок проведения государственного контроля и надзора за обработкой ПДн

+ должен знать (лучшие практики):
·        современные информационные технологии и технологии защиты
·        особенности обработки ПДн которые приводят к высокому риску для субъектов ПДн
·        основные бизнес-процессы организации

Должен уметь (как минимум):
·        планировать мероприятия по контролю и повышению осведомленности
·        осуществлять мероприятия по контролю
·        организовывать взаимодействие с субъектами ПДн по их обращениям и запросам
·        осуществлять повышение осведомленности работников в области обработки и защиты ПДн
·        предоставлять отчетность исполнительному органу организации
·        взаимодействовать с органом государственного контроля и надзора
+ должен уметь (если обязанности расширены):
·        организовывать изменения в процессах обработки ПДн
·        разрабатывать ОРД связанные с обработкой ПДн
·        планировать мероприятия по обеспечению безопасности ПДн
·        разрабатывать ОРД по обеспечению безопасности ПДн
·        определять требования по обеспечению безопасности ПДн в ИСПДн
·        определять состав и содержание мер по обеспечению безопасности ПДн при их обработке в ИСПДн
·        вести учет лиц, обрабатывающих ПДн
·        принимать меры устраняющие нарушения, связанные с обработкой и защитой ПДн
+ должен уметь (лучшие практики):
·        вести учет процессов обработки ПДн
·        оценивать угрозы и риски нарушения прав субъектов ПДн
·        консультировать по вопросам, связанным с обработкой и защитой ПДн

Должен иметь опыт проведения контроля соответствия процессов Организации требованиям законодательства.

Рекомендуется иметь высшее образование и проходить обучение не реже 1 раза в 5 лет.



Комментарии

Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Далее...

КИИ. Категорирование объектов, часть 3

Изображение
Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов) 3. Определение объектов КИИ Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты). В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его
Далее...