Transcript Типичные нарушения организаций и учреждений при прохождении

Анализ 20 плановых и внеплановых
проверок


Статья 13.11. Нарушение установленного
законом порядка сбора, хранения,
использования или распространения
информации о гражданах (персональных
данных)
Статья 19.7. Непредставление сведений
(информации)
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
Копия приказа подтверждающего полномочия сотрудников при взаимодействии
наименование проверяющего органа
Свидетельство о регистрации и внесении в Реестр юридического лица
Устав организации
Выписки из ЕГРЮЛ
Уведомление об обработке ПДн
Положение об обработке ПДн
Копию приказа о назначении ответственного за организацию обработки ПДн
Документы по организации защиты и хранения ПДн
Должностные регламенты лиц, имеющих доступ и осуществляющих обработку ПДн
План мероприятий по защите ПДн
План внутренних проверок состояния защиты ПДн
Типовые формы документов, предполагающие или допускающие содержание ПДн
Журналы, реестры, книги содержащие ПДн, необходимые для однократного пропуска
Договоры с субъектами, лицензии на виды деятельности
Приказы об утверждении мест хранения материальных носителей и допуске
должностных лиц к обработке ПДн
Согласия субъектов
Распечатки электронных полей, содержащих ПДн
Справка о постановке на балансовый учет ПЭВМ
Журналы учета обращений граждан (субъектов ПДн)
Копии договоров со сторонними организациями, которым передаются ПДн







Схема, отражающая рабочие места, где ведется
обработка ПДн, с указанием внутренних и внешних
потоков;
Справка об информационных системах;
Справка по трансграничной передаче ПДн;
Заключение экспертизы ФСБ, ФСТЭК России об
оценке соответствия СЗИ;
Документы подтверждающие ведение кадрового
резерва;
Акт классификации;
Документы, подтверждающие соблюдение
требований законодательства РФ при обработке
спец категорий и биометрических ПДн.
 Уведомление
об обработке ПДн:
 Несоответствие
сведений содержащихся в
уведомлении реальной обстановке дел в
организации
 Неполная информация в уведомлении
 Не указаны полные сведения по СКЗИ
 Согласие
 Указаны
субъекта на обработку ПДн:
не все категории ПДн;
 Не соответствует ст.9 ФЗ-152;
 Не указаны ВСЕ получатели ПДн (как
следствие внеплановая проверка);
 Разные Управления – разные требования;
 Обработка
ПДн, избыточных по
отношению к целям, заявленном при
сборе ПДн
 Обработка
и хранение ПДн, в
неавтоматизированном
виде,
производится
с
нарушением
законодательства
 Сотрудники
не обучены и не
ознакомлены с порядком обработки
и хранения ПДн
В
договорах с третьими лицами не
прописана конфиденциальность.
В
приказе об утверждении списка
лиц допущенных к ПДн отсутствует
разграничение на
автоматизированную и
неавтоматизированную обработку.
 Ответственность
за нарушение в
документах прописана общими
словами.
 Модели
угроз не полные, безликие.
 Акты
об уничтожении не разделены
на бумажный и электронный вид
носителя.
 В положении об обработке ПДн не
прописана процедура уничтожения
как электронных так и бумажных
носителей
 Положение
о ПДн не разделено на
автоматизированную и
неавтоматизированную обработку.
 Журнал
регистрации однократного
пропуска не регламентирован и не
введен актом.
 Электронная
подпись не определена
как отдельная категория ПДн
 Схема,
отражающая рабочие места,
где ведется обработка ПДн, с
указанием внутренних и внешних
потоков составлена не точно.