ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 09.11.2023
Просмотров: 48
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
конфиденциальной информации, о размерах ущерба и т.д.).
К заключению прилагаются:
- письменные объяснения лиц, которых опрашивали члены Комиссии;
- акты (справки) проверок носителей конфиденциальной информации, осмотров помещений и т.д.;
- другие документы (копии документов), относящиеся к расследованию, в том числе заключения по определению размеров ущерба (убытков).
Заключение должно быть подписано всеми членами Комиссии. При несогласии с выводами или содержанием отдельных положений член Комиссии, подписывая заключение, приобщает к нему свое особое мнение (в письменном виде).
Заключение по результатам расследования подлежит утверждению руководителя
Оператора.
Работник, в отношении которого проводится расследование, или его уполномоченный представитель, имеют право знакомиться с материалами рас- следования и требовать приобщения к материалам расследования представляе- мых ими документов и материалов.
Работник, в отношении которого проведено расследование, должен быть ознакомлен под роспись с заключением по результатам расследования.
Решение о привлечении к ответственности работника принимается только после завершения расследования и оформляется приказом.
При наличии в действиях лица признаков административного правонарушения или уголовного преступления руководитель обязан обращаться в правоохрани- тельные органы для привлечения виновного к ответственности в соответствии с законодательством Российской Федерации.
В соответствии с Трудовым кодексом возмещение ущерба проводится незави- симо от привлечения работника к дисциплинарной, административной или уго- ловной ответственности за действия или бездействие, которыми причинен ущерб работодателю.
При несогласии работника с результатами подсчета ущерба взыскание должно производиться по решению суда. В этом случае заключение по результатам внутреннего расследования становится письменным обоснованием причастности работника к действиям, повлекшим нарушение режима конфиденциальности.
Первый экземпляр заключения с резолюцией руководителя, копия приказа
(выписка) по результатам расследования, все материалы внутреннего расследо- вания, включая документ (копию), послуживший поводом для назначения рас- следования, подлежат хранению в отдельном деле. Дело о внутренних расследо- ваниях вносится в номенклатуру дел Оператора.
4.5
ПРЕВЕНТИВНЫЕ МЕРЫ ПО НЕДОПУЩЕНИЮ ПОВТОРНОГО
ВОЗНИКНОВЕНИЯ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАС-
НОСТИ
Мероприятия по устранению инцидента ИБ и предупреждающие его повторное возникновение в зависимости от произошедшего инцидента ИБ включают в себя:
- мониторинг событий в информационной системе персональных данных;
К заключению прилагаются:
- письменные объяснения лиц, которых опрашивали члены Комиссии;
- акты (справки) проверок носителей конфиденциальной информации, осмотров помещений и т.д.;
- другие документы (копии документов), относящиеся к расследованию, в том числе заключения по определению размеров ущерба (убытков).
Заключение должно быть подписано всеми членами Комиссии. При несогласии с выводами или содержанием отдельных положений член Комиссии, подписывая заключение, приобщает к нему свое особое мнение (в письменном виде).
Заключение по результатам расследования подлежит утверждению руководителя
Оператора.
Работник, в отношении которого проводится расследование, или его уполномоченный представитель, имеют право знакомиться с материалами рас- следования и требовать приобщения к материалам расследования представляе- мых ими документов и материалов.
Работник, в отношении которого проведено расследование, должен быть ознакомлен под роспись с заключением по результатам расследования.
Решение о привлечении к ответственности работника принимается только после завершения расследования и оформляется приказом.
При наличии в действиях лица признаков административного правонарушения или уголовного преступления руководитель обязан обращаться в правоохрани- тельные органы для привлечения виновного к ответственности в соответствии с законодательством Российской Федерации.
В соответствии с Трудовым кодексом возмещение ущерба проводится незави- симо от привлечения работника к дисциплинарной, административной или уго- ловной ответственности за действия или бездействие, которыми причинен ущерб работодателю.
При несогласии работника с результатами подсчета ущерба взыскание должно производиться по решению суда. В этом случае заключение по результатам внутреннего расследования становится письменным обоснованием причастности работника к действиям, повлекшим нарушение режима конфиденциальности.
Первый экземпляр заключения с резолюцией руководителя, копия приказа
(выписка) по результатам расследования, все материалы внутреннего расследо- вания, включая документ (копию), послуживший поводом для назначения рас- следования, подлежат хранению в отдельном деле. Дело о внутренних расследо- ваниях вносится в номенклатуру дел Оператора.
4.5
ПРЕВЕНТИВНЫЕ МЕРЫ ПО НЕДОПУЩЕНИЮ ПОВТОРНОГО
ВОЗНИКНОВЕНИЯ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАС-
НОСТИ
Мероприятия по устранению инцидента ИБ и предупреждающие его повторное возникновение в зависимости от произошедшего инцидента ИБ включают в себя:
- мониторинг событий в информационной системе персональных данных;
- восстановление операционной системы рабочей станции, на которой произо- шел инцидент ИБ, на заводские настройки;
- своевременное удаление неиспользуемых учетных записей;
- контроль и мониторинг действий пользователей в информационной системе персональных данных;
- контроль над действиями системных администраторов;
- проведение обучения (повторного обучения) пользователей правилам обработки и защиты персональных данных;
- ознакомление пользователей с мерами ответственности, установленными законодательством Российской Федерации за нарушение норм и правил обра- ботки персональных данных, а также за разглашение полученных данных;
- пересмотр организационно-распорядительной документации, устанавливающей правила обработки и обеспечения безопасности при работе с персональными данными.
5.
ОЦЕНКА ЭФФЕКТИВНОСТИ РЕАЛИЗОВАННЫХ МЕР В РАМКАХ
СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится ко- миссией по проведению в соответствие с требованиями законодательства Рос- сийской Федерации в области персональных данных.
Контроль за выполнением требований защиты персональных данных в информационных системах персональных данных Оператора организуется и проводится администратором безопасности информационных систем персональ- ных данных.
Оценка эффективности реализованных в рамках системы защиты персональных данных мер и контроль за выполнением требований защиты персональных дан- ных в информационных системах персональных данных проводится администра- тором безопасности информационных систем персональных и менеджером обра- ботки персональных данных не реже 1 раза в 12 месяцев. Итоги проведенных ме- роприятий по проверке состояния защиты персональных данных вносятся в
План внутренних проверок состояния защиты персональных данных в ИСПДн
(Приложение 1).
6.
ПЕРЕСМОТР И ВНЕСЕНИЕ ИЗМЕНЕНИЙ В ДОКУМЕНТЫ
ОПЕРАТОРА
Пересмотр положений настоящего и иных локальных документов Оператора, касающихся вопросов обработки и обеспечения безопасности персональных дан- ных, проводится в следующих случаях, если иное не установлено в пересматри- ваемых документах:
- на регулярной основе, но не реже одного раза в полгода;
- при появлении новых требований к обработке и обеспечению безопасности персональных данных со стороны российского законодательства и контролирую- щих органов исполнительной власти РФ;
- по результатам проверок контролирующих органов исполнительной власти
Российской Федерации, выявивших несоответствия требованиям по обеспече- нию безопасности персональных данных;
- по результатам внутреннего контроля (аудита) системы защиты персональных данных в случае выявления существенных нарушений;
- по результатам расследования инцидентов информационной безопасности, связанных с обработкой и обеспечением безопасности персональных данных и выявивших недостатки в правилах предоставления доступа к персональным дан- ным.
Ответственным за пересмотр настоящего Регламента является Администратор безопасности ИСПДн и Менеджер обработки ПДн.
Внесение изменений производится на основании соответствующего приказа руководителя Оператора.
приложение 1
ПЛАН ВНУТРЕННИХ ПРОВЕРОК
СОСТОЯНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИСПДН
Наименование мероприятий
Срок/периодич- ность
Ответственный/исполни- тель
Контроль за выполнением тре- бований защиты персональных данных в информационных си- стемах персональных данных
1 раз в 12 месяцев Менеджер обработки ПДн
Оценка эффективности реали- зованных в рамках системы за- щиты персональных данных мер
1 раз в 12 месяцев Администратор безопасности ИСПДн
ПЛАН ВНУТРЕННИХ ПРОВЕРОК
СОСТОЯНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИСПДН
Наименование мероприятий
Срок/периодич- ность
Ответственный/исполни- тель
Контроль за выполнением тре- бований защиты персональных данных в информационных си- стемах персональных данных
1 раз в 12 месяцев Менеджер обработки ПДн
Оценка эффективности реали- зованных в рамках системы за- щиты персональных данных мер
1 раз в 12 месяцев Администратор безопасности ИСПДн