Как правильно заполнить журнал учета электронных носителей пдн

Как заполнить журнал учета персональных данных

Как правильно заполнить журнал учета электронных носителей пдн

Обязанность ведения журналов, связанных с ПДн, устанавливается локальными правовыми актами самой организации, правовыми актами органов субъектов РФ либо нормативными актами федеральных органов исполнительной власти.

Поэтому единой формы для того или иного журнала законодателем не предусмотрено.

На различных предприятиях ведутся следующие журналы, связанные с персональными данными:

  1. Учета передачи ПДн – документ, который нужен для того, чтобы фиксировать операции, связанные с обработкой и передачей личных сведений. Согласно ТК РФ, в обязанности руководителя входит обеспечение защиты предоставленных ПДн сотрудников. Для того, чтобы сторонние лица не имели доступа к конфиденциальным сведениям работников, на предприятии должны вестись специальные журналы учета передачи документов (иных форм носителей), содержащих личные данные.
  2. Учета обращений граждансубъектов ПДн – журнал по регистрации обращений и запросов субъектов персональных данных. Обязанности ведения такого акта предусмотрена ч. 4 ст. 22.1. ФЗ «О персональных данных», в соответствие с которой лицо, ответственное за организацию обработки личной информации, обязано организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей.
  3. Ознакомления с положением о защите ПДн – данный документ заменяет лист ознакомления с положением о защите конфиденциальных сведений, в случае если необходимо ознакомление большого количества работников с указанным Положением.
  4. Учета лиц, допущенных к работе с ПДн в информационных системах персональных данных – документ определяет порядок учета лиц, допущенных к работе с использованием конфиденциальных сведений. В журнале также указываются данные о проведении инструктажа с правилами работы с персональными данными.
  5. Учета машинных носителей ПДн – документ, в котором учитываются все физические машинные носители, использующиеся для хранения или переноса ПДн.
    Для ведения такого журнала учета лиц каждому машинному носителю, к флешке, ПК должен присваиваться инвентарный учетный номер.
  6. Мероприятий по контролю обеспечения защиты ПДн – указанный документ содержит перечень периодически проводимых мероприятий по обеспечению защиты конфиденциальных данных сотрудников организации. Журнал также содержит информацию о результатах внутренних проверок выполнения режима защиты ПДн.
  7. Регистрации нарушения и восстановления ПДн – журнал закрепляет информацию о произведенных нарушениях, о самих сотрудниках, допустивших нарушение и мерах, которые были предприняты для восстановления нарушенных требований к обработке и использованию персонал. сведений.
  8. Регистрации согласий на обработку ПДн – документ, закрепляющий согласие и ознакомления лица с перечнем предоставляемых сведений.
  9. Учета средств защиты информации ПДн. Для обеспечения безопасности ПДн необходимо применение определенных средств защиты информации в информационных системах персональных данных. С помощью указанного документа учитывается, какие средства защиты информации какому пользователю (сотруднику) были выданы.

Также на предприятиях могут вестись журналы:

  1. Регистрации попыток несанкционированного доступа к информации.
  2. Учета паролей пользователей информационной системы ПДн и т.п.

Для чего нужен

Главное назначение журнала — фиксировать операции по обработке и передаче персональных сведений ответственным за них сотрудникам, тем самым способствовать сохранности информации. Целесообразность ведения таких записей определяется спецификой, размерами и структурой организации.

Как правило, чем больше численность штата, тем шире перечень сотрудников, которым требуется доступ к конфиденциальным сведениям для выполнения служебных обязанностей.

Например, при возникновении спорных ситуаций штатный юрист может запросить в отделе персонала трудовой договор с тем или иным работником. При принятии решения о кадровых перестановках или продвижении работника по службе личное дело работника может быть запрошено руководителем подразделения.

Нередко кадровые документы, содержащие конфиденциальную информацию, требуются профсоюзным организациям для проверки выполнения условий коллективного договора.

Титульная страница

Общепринято (для всех журналов) в правом верхнем углу указывать руководителя (генерального директора), утверждающего документ. Форма ведения может быть такой:

«УТВЕРЖДАЮ

Генеральный директор название предприятия ФИО___ « »____20__г.»

Далее посередине заглавными буквами указывается название. После обозначается поле для даты, с которой было начато ведение документа, напр.

«Журнал начат «__» __ 20__ г.», рядом указывается поле для даты окончания, напр. «Журнал завершен «__» ___ 20__ г.».

В правом нижнем углу указывается сотрудник, ответственный за ведение документа, также проставляются даты, например:

«ОТВЕТСТВЕННЫЙ за ведение журнала ФИО и должность сотрудника «___» ___20__г.».

Сам документ содержит следующие графы:

  1. Порядковый номер внесенной записи.
  2. ФИО и должность лица или наименование органа, запрашивающего ПДн, например ООО «ИнфоК2».
  3. Состав запрашиваемых данных, например Сведения о заработной плате работника за период 01.01. 20_ – 01.12. 20_ гг.
  4. Цель выдачи документа, содержащего личные сведения, например Контроль за соблюдением коллективного договора ООО «ИнфоК2».
  5. Дата выдачи бумаг, содержащих личные сведения.
  6. Дата возврата бумаг, содержащих личные сведения.
  7. Подпись запрашиваемого лица.
  8. Подпись ответственного сотрудника.

Оформление и ведение журнала

В журнал учета внутреннего доступа к персональным данным логично включить следующие сведения (графы):

  • в связи с чем поступил запрос (цель) и от кого, когда
  • принятое решение
  • дата выдачи личного дела/копий документов
  • дата возврата личного дела
  • роспись лица, которое предоставило доступ (фактически)

Можно указать и срок пользования, основание доступа к персональным данным. И любые другие сведения, которые пожелает работодатель. Ведь форма журнала законодательно не установлено.

Журнал для внешнего взаимодействия по своей структуре может повторять внутренний. Обязательна фиксация сведений о лице (органе), откуда поступил запрос, дату передачи информации либо отказа в ее предоставлении.

Допустимо оформить и единый журнал учета персональных данных, как внутри организации, так и по запросам, обращениям третьих лиц. Форму журнала желательно утвердить приказом руководителя организации. Либо закрепить ее в качестве приложения к положению о персональных данных.

Ведет журнал учета персональных данных, как правило, ответственное за обработку данных лицо в организации (можно назначить отдельно приказом).

Обращения субъектов

Образец заполнения журнала обращений субъектов персональных данных содержит:

Журналы учета электронных подписей: как вести и хранить

Как правильно заполнить журнал учета электронных носителей пдн

Статья будет полезна, если в вашей организации есть хотя бы один ключ электронной подписи — тогда вам, скорее всего, нужно вести журналы учета ключей подписи. Кто обязан это делать и как, расскажем в статье.

Что такое журналы учета ключей ЭП

Журналы учета средств криптографической защиты информации (СКЗИ) или ключей электронной подписи (ЭП или ЭЦП) помогают следить за перемещением средств криптозащиты и ключей подписи в организации.

В них отражается кто получил ключ подписи, сдал ли его при переходе на другую должность или увольнении, знаком ли сотрудник с правилами работы со средствами электронной подписи.

Журналы нужны предприятиям, которые используют ЭП и СКЗИ, например, КриптоПро CSP или ViPNet CSP. 

Как вести такие журналы, описано в Инструкции о безопасности хранения, обработки и передачи информации с использованием криптографических средств (приказ ФАПСИ № 152 от 13.06.2001). Разберемся, кому обязательно нужно вести их, а кому только рекомендуется это делать.

Лицензиаты ФСБ

Эти компании оказывают платные услуги, связанные с использованием СКЗИ: их разработкой, распространением, установкой, обслуживанием и т.д. Это могут быть удостоверяющие центры, которые выпускают сертификат электронных подписей, или, например, дистрибьюторы СКЗИ.

К лицензиатам предъявляется самый большой список требований по соблюдению инструкции. Они должны создать у себя орган криптографической защиты информации, разработать свой регламент по соблюдению инструкции и вести журналы учета ключей ЭП и СКЗИ. Орган криптозащиты контролирует, как организация соблюдает инструкцию из приказа ФАПСИ №152.

Лицензиаты также могут помогать другим компаниям соблюдать требования регулятора — ФСБ России.

Организации, которые не являются лицензиатами ФСБ

Обязательно соблюдать приказ ФАПСИ №152 и вести журналы учета ключей ЭП должны предприятия, которые используют СКЗИ для защиты конфиденциальной информации, если такая информация по закону подлежит защите — например, для персональных данных или при передаче отчетности. В приказе их называют «обладатели конфиденциальной информации».

Если организации используют СКЗИ для защиты информации, не подлежащей обязательной защите, то требования инструкции ФАПСИ носят рекомендательный характер. Например, это касается компании, которая приобрела сертификат ЭП и средства криптозащиты только для внутреннего пользования — подписания внутренних документов, шифрования результатов своей работы.

Организациям, которые будут соблюдать требования приказа ФАПСИ №152, нужно создать регламент хранения и использования электронных подписей на основе утвержденной приказом инструкции и вести журналы учета. Сделать это можно одним из двух способов:

  • Самостоятельно создать регламент, назначить конкретного сотрудника, который будет отвечать за его соблюдение и вести журналы.
  • Обратиться к лицензиатам ФСБ и поручить им разработку регламента и журналов, и при необходимости, передать им контроль за тем, как соблюдается инструкция и внутренний регламент.

СКБ Контур — лицензиат ФСБ и поможет организовать учет электронных подписей в компании. Специалисты проекта Контур.Безопасность создадут всю необходимую документацию и проконтролируют соблюдение регламента и инструкции из приказа ФАПСИ № 152.

Какие журналы учета вести 

Инструкция устанавливает два типа журналов:

  1. Журнал поэкземплярного учета СКЗИ.
    В него вносят сведения о ключах ЭП сотрудников — кто получил носитель с ключом подписи, когда и где, даты уничтожения и другая информация.

Способ заполнения журнала отличается в зависимости от типа СКЗИ, от того кто ведет журнал: обладатель ключей ЭП или орган криптографической защиты. Подробно детали заполнения описаны в приказе ФАПСИ № 152.

Форма журнала поэкземплярного учета для органа криптографической защиты — для лицензиатов ФCБ:

Форма журнала поэкземплярного учета для обладателей конфиденциальной информации:

  1. Технический или аппаратный журнал.
    Он помогает следить за аппаратными средствами криптозащиты — например, серверами с установленным ключом ЭП.

Типовая форма технического (аппаратного) журнала:

Чтобы скачать формы для заполнения журналов, перейдите по ссылке.

Что такое порядок использования и хранения ключей ЭП и СКЗИ

Кроме журналов учета инструкция также рекомендует организациям разработать и соблюдать свой регламент хранения и использования ключей ЭП. Для регламента нет единой типовой формы, поэтому компания может разработать документ самостоятельно. Для этого нужно изучить инструкцию и адаптировать требования именно под свою компанию. 

Несмотря на то, что регламент в разных компаниях будет отличаться, есть общие требования — регламент должен указывать правила, по которым в организации:

  • назначают сотрудников ответственных за учет ключей ЭП и СКЗИ;
  • ведут журналы и поэкземплярный учет;
  • устанавливают и настраивают СКЗИ;
  • обучают работе с ЭП и СКЗИ, ведут пользователей, допущенных к работе с ними;
  • контролируют соблюдение условий использования ЭП и СКЗИ;
  • действуют в случае, если ключи и СКЗИ утеряны или есть подозрение, что используются неправомерно;
  • контролируют соблюдение регламента внутри организации.

Что будет, если не соблюдать инструкцию и не вести журналы учета

За безопасностью в сфере использования конфиденциальных данных в России следит ФСБ России. Ведомство может проводить, как плановые, так и внеплановые проверки в целях контроля использования шифровальных средств.

Если при проверке обнаружат нарушения правил защиты информации, то, согласно ст. 13.12 КоАП РФ, на организацию могут наложить ряд санкций: штрафы для должностных лиц и юрлица, а также конфискацию самих средств криптозащиты.

В итоге не сможет отправить электронную отчетность или работать в системе обмена данными.

Отметим, что на практике некоторые организации не соблюдают приказ ФАПСИ №152, считая, что так как документ утвердили почти двадцать лет назад, то и значимость  его устарела. Однако приказ все еще юридически действителен, а в 2016 году ФСБ России подтвердило его актуальность. 

Поэтому организациям необходимо обеспечить безопасность хранения, использования и передачи конфиденциальной информации. Если для этого используются электронные подписи и СКЗИ, организация должна их учитывать.

Основной документ, на который можно опираться — приказ ФАПСИ №152 и утвержденная в нем инструкция.

Если ФСБ России решит проверить организацию и обнаружит существенные недостатки, ведомство вправе наложить административный штраф или даже приостановить деятельность организации до устранения недочетов.

О правах человека
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: