Правовое обеспечение и организация защиты информации на предприятии (в организации)

Завершая раздел про документы по персональным данным, отметим несколько моментов, на которые нужно обратить внимание. Во-первых, ко всем вышеперечисленным документам должен идти лист ознакомления и все лица, которых касается этот документ (будь то инструкция или приказ) должны расписаться в том, что они ознакомлены.
Во-вторых, в должностные инструкции всех лиц, допущенных к обработке персональных данных нужно вписать строку «При работе с персональными данными руководствоваться Положением об обработке и защите персональных данных». И, в-третьих, помимо внутренних документов, необходимо разработать один публичный. Обычно его обзывают как «Политика в отношении обработки персональных данных». Такой документ должен вывешиваться на веб-сайте оператора персональных данных, либо, если веб-сайта нет, на информационной доске в офисе или находиться в другом общедоступном месте.

3.4. Аттестация
Аттестация, несмотря на то, что этот момент больше относится к технической защите (ведь аттестация производится, когда информационная система полностью заряжена средствами защиты информации), все же необходимо раскрыть основные понятия по ней. В положении об аттестации объектов информатизации написано, что обязательной аттестации подлежат только объекты, содержащие государственную тайну и экологически опасные объекты. К нашему санаторию это не имеет отношения, но знать надо. Аттестация информационной системы персональных данных может быть обязательной в том случае, если организация находится в подчинении вышестоящего органа, который обязывает провести аттестацию информационной системы персональных данных. Хотя, аттестацию может провести и сам начальник санатория, ведь аттестат соответствия однозначно подтверждает, что информационные системы полностью соответствуют законодательству как в плане документального обеспечения, так и в плане технической защиты. В этом случае нужно помнить, что одним из условий действительности аттестата является неизменность условий эксплуатации информационной системы персональных данных. То есть грубо говоря вы не можете поменять монитор на рабочем месте или установить дополнительное ПО без согласования с органом по аттестации, а это влечет за собой дополнительные затраты. Также стоит помнить, что аттестат соответствия может выдаваться максимум на три года, а потом – все по новой.

3.5. Присвоение и изменение секретности документам
Конкретно по санаторию «Ижминводы» необходимо чётко разделить все документы на категории, которые бы отразили информационную безопасность по отношению к деятельности самого санатория и по отношению к гостям санатория (личные карточки, медицинская информация, платежи). Разумно ввести следующий порядок состава действий по управлению всей документацией санатория:
3.5.1. Создание документов
3.5.1.1. Инициирование
Должен быть установлен круг лиц, уполномоченных инициативно или в ответ на поступившие предложения давать указания на разработку документов соответствующих категорий.
3.5.1.2. Разработка
Должен быть определен механизм назначения группы разработчиков, установления сроков и форматов (шаблонов) оформления проекта документа.
3.5.1.3. Согласование
Должен быть установлен механизм согласования проекта документа со всеми исполнителями и заинтересованными лицами и организациями (в том числе за пределами организации, инициировавшей разработку документа).
3.5.1.4. Анализ на полноту
Проект документа должен быть проанализирован на полноту охвата содержащимися в нем положений и требований целей (предназначения) данного документа.
3.5.1.5. Анализ на адекватность
Проект документа должен быть проанализирован на соответствие требованиям внутренних и внешних нормативных документов.
3.5.1.6. Проверка
Проект документа должен пройти соответствующую проверку (нормоконтроль, метрологическую, юридическую экспертизу и т. д.).
3.5.1.7. Утверждение (одобрение, санкционирование применения)
Должен быть установлен круг лиц, уполномоченных утверждать соответствующие категории документов с учетом результатов согласования проекта документа, анализа его на полноту и адекватность, а также его проверки.
3.5.2. Управление распространением документов
3.5.2.1. Регистрация
Должен быть установлен порядок регистрации утвержденного документа в единой системе кодированного учета соответствующих категорий документов.
3.5.2.2. Ввод в действие
Должен быть установлен порядок ввода в действие документов каждой категории (вида), устанавливающий, в том числе, интервал времени, необходимый для гарантированного размножения документа и обеспечения необходимым количеством копий будущих пользователей. Если требуется, документ должен быть введен в действие путем издания приказа, выпуска распоряжения, разработки и реализации плана организационно‐технических мероприятий по вводу его в действие и т. п.
3.5.2.3. Хранение оригинала
Должны быть установлены место, условия, сроки хранения и ответственные за хранение оригинала документа.
3.5.2.4. Размещение в электронной базе документов
Должен быть установлен круг лиц, ответственных за размещение в соответствующих местах электронной базы (баз) данных утвержденного документа и уведомление об этом заинтересованных лиц с предоставлением им права чтения (и только чтения) этого документа.
3.5.2.5. Изготовление и идентификация контрольной копии
В целях более надежного сохранения оригинала для изготовления необходимого числа рабочих копий часто с оригинала сначала делают первую копию, которую идентифицируют оригинальным штампом (например, «Контрольный экземпляр»).
3.5.2.6. Централизованное изготовление копий, их учет и рассылка
Должен быть установлен порядок оформления и реализации заказа на изготовление необходимого числа копий, включающий назначение лиц, ответственных за размножение, учет сделанных копий и идентификацию мест их рассылки, а также за получение копий и их доставку в подразделения и отдельным должностным лицам.
3.5.2.7. Учет и хранение копий в подразделениях
Должен быть установлен порядок учета и хранения доставленных в подразделения учтенных копий, их выдачи пользователям и возврата, а также ответственный за осуществление этих действий.
3.5.2.8. Изготовление дополнительных копий или выписок из документов на местах
При необходимости должен быть установлен порядок изготовления, санкционирования к применению, учета выдачи и возврата всех дополнительных копий документов или выписок из них, изготовляемых непосредственно в подразделениях, в том числе путем распечатки документов, находящихся в официальных электронных базах.
3.5.2.9. Анализ состояния документов
Должен быть установлен порядок периодической проверки (сверки) находящихся в применении подлинных документов и/или их копий на предмет их адекватности оригиналу, а также анализа их физического состояния (возможности прочтения).
3.5.3. Применение документов
3.5.3.1. Ознакомление
Должен быть установлен порядок заблаговременного (до ввода их в действие) ознакомления исполнителей и их руководителей с принятыми документами, а также юридически значимого подтверждения возложения ответственности за соблюдение установленных в них требований на соответствующих лиц.
3.5.3.2. Надзор за применением
Должен быть установлен порядок периодической проверки соблюдения положений и требований, установленных в документе.
3.5.4. Внесение изменений, отмена и изъятие документов
3.5.4.1. Внесение изменений
Должен быть установлен порядок подачи предложений о целесообразности оформления новой редакции документа, разработки новой редакции или внесения изменений в документ, их обсуждения и решения вопроса о согласовании откорректированной редакции, ее утверждения, ввода в действие, а также внесения изменений в учтенные копии (в том числе размноженные непосредственно в подразделениях) и ознакомления исполнителей с изменениями в документе.
3.5.4.2. Отмена документов
Должен быть установлен порядок инициирования, обсуждения и решения вопроса об отмене документа, выпуска (при необходимости) соответствующего распорядительного документа, а также порядок извещения пользователей о дате прекращения действенности отмененного документа.
3.5.4.3. Изъятие и уничтожение или соответствующая идентификация отмененных документов
Должен быть установлен порядок изъятия и уничтожения или соответствующей идентификации (например, штампом «Отменено») отмененных документов, предупреждающий их непреднамеренное использование в будущем в качестве инструктивных или предписывающих документов.
3.5.4.4. Хранение отмененных документов
Должен быть установлен порядок хранения оригиналов и/или других экземпляров отмененных документов, идентифицированных соответствующим образом (например, штампом «Отменено. Сохранено для информации»), если их оставляют для каких‐либо целей.





















Заключение
Выводы по курсовой работе в раскрытии основных компонентов правового обеспечения и организации защиты информации: основное в теоретической работе – изучение нормативно-правовых документов, а практическая важность - в защите персональных данных и готовности к проверке Роскомнадзора. Отметим важное по проверке Роскомнадзором - Уведомление оператора. Необходимо проверить наличие уведомления, а также правдивость сведений, изложенных в нем. Роскомнадзор не будет проверять информационные системы персональных данных, эти функции возложены на ФСТЭК России и ФСБ России (в случае использования средств шифрования), поэтому важность здесь в документальном обеспечении, информировании своих сотрудников. Думаю не стоит лишний раз говорить о том, что если пришла проверка Роскомнадзора, а в отделе кадров у кого-нибудь на столе будет лежать без присмотра пачка ксерокопий чьих-то паспортов, то это будет эпик фейл. Со всех субъектов лучше собирать согласие на обработку персональных данных. Да, в законе есть перечень случаев, когда согласие не требуется, например, когда оператор и субъект являются сторонами договорных отношений. Но, здесь же нужно помнить, что обработка биометрических и специальных категорий персональных данных, а также передача персональных данных третьим лицам осуществляются только с согласия субъекта. В любом случае, предоставление согласия на обработку персональных данных снимает множество различных неприятных вопросов. И если есть возможность эти согласия собрать, лучше это сделать. Здесь, кстати, как и с уведомлением нужно помнить о том, что сведения, указанные в согласии должны совпадать с тем, что и как вы обрабатываете на самом деле. Идеально подготовиться невозможно, в любом случае будут какие-либо замечания. Это не страшно, их можно устранить в процессе проверки, которая длится как правило 20 дней. Если замечания будут устранены, на содержании итогового протокола это негативно никак не скажется.
Список использованных источников

ЗАКОНЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
О безопасности от 28.12.2010 N 390-ФЗ
Об информации, информационных технологиях и о защите информации от 27.07.2006 №149-ФЗ (в ред. Федеральных законов от 27.07.2010 N 227-ФЗ, от 06.04.2011 N 65-ФЗ, с изм., внесенными Федеральным законом от 21.07.2011 N 252-ФЗ)
О персональных данных от 27.07.2006 №152-ФЗ (в ред. Федеральных законов от 25.11.2009 № 266-ФЗ, от 27.12.2009 № 363-ФЗ, от 28.06.2010 № 123-ФЗ, от 27.07.2010 № 204-ФЗ, от 25.07.2011 N 261-ФЗ)
О внесении изменений в статью 1 федерального закона "О персональных данных" и статью 15 федерального закона "Об обеспечении доступа к информации о деятельности судов в Российской Федерации" от 28.06.2010 № 123-ФЗ
О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона “Об информации, информационных технологиях и о защите информации” от 11.07.2011 №200-ФЗ
Об организации предоставления государственных и муниципальных услуг от 27.07.2010 №210-ФЗ (в ред. Федеральных законов от 06.04.2011 N 65-ФЗ, от 01.07.2011 N 169-ФЗ, от 11.07.2011 N 200-ФЗ, от 18.07.2011 N 239-ФЗ, с изм., внесенными Федеральным законом от 27.06.2011 N 162-ФЗ)
О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 19.12.2005 №160-ФЗ (с дополнительным протоколом (ETS №181), списком подписаний и ратификаций конвенции по состоянию на 09.02.2009)
О коммерческой тайне от 28.07.2004 №98-ФЗ (в ред. Федеральных законов от 02.02.2006 №19-ФЗ, от 18.12.2006 №231-ФЗ, от 24.07.2007 №214-ФЗ, от 11.07.2011 N 200-ФЗ)
О связи от 07.07.2003 №126-ФЗ (в ред. от 22.08.2004 №122-ФЗ, от 02.11.2004 №127-ФЗ, от 09.05.2005 №45-ФЗ, от 02.02.2006 №19-ФЗ, от 03.03.2006 №32-ФЗ, от 26.07.2006 №132-ФЗ, от 27.07.2006 №153-ФЗ, от 29.12.2006 №245-ФЗ, от 09.02.2007 №14-ФЗ (ред. 24.07.2007), от 29.04.2008 №58-ФЗ, от 18.07.2011 N 242-ФЗ с изм. от 23.12.2003 №186-ФЗ)
О техническом регулировании от 27.12.2002 №184-ФЗ (в ред. Федеральных законов от 09.05.2005 №45-ФЗ, от 01.05.2007 №65-ФЗ, от 01.12.2007 №309-ФЗ, от 23.07.2008 №160-ФЗ, от 28.09.2010 N 243-ФЗ)
Об электронной цифровой подписи от 10.01.2002 № 1-ФЗ (в ред. от 08.11.2007 №258-ФЗ)
Комментарии к Федеральному закону от 27.07.2006 N 149-ФЗ (ред. от 28.12.2013) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 01.02.2014)
Комментарии к Федеральному Закону "Об информации, информационных технологиях и защите информации" №149-ФЗ от 17.07.2006

Список учебной и монографической литературы
Бюджетное Послание Президента Российской Федерации о бюджетной политике в 2014–2016 годах // Официальный сайт Президента Российской Федерации. URL: http://www.kremlin.ru/acts/18332 (дата обращения 01.11.2013).
Гришаева Л.Е. Россия и мировая экономическая интеграция // Экономический журнал. – 2011.– № 21.
Кастельс М. Информационная эпоха: экономика, общество и культура. // – М.: ГУ ВШЭ. – 2000.
Кочергин Д.Г. Экономика знаний в ресурсодобывающих регионах России: измерение и анализ // Экономика и предпринимательство. – 2013. – № 11.
Ламажаа Ч.К. Информационные технологии и модернизация региональной науки // ЗПУ. – 2010. – № 3
Перминов С. Б. Наука и высокие технологии России на рубеже третьего тысячелетия. Социально-экономические аспекты развития / Руководители авт. колл. В.Л. Макаров и А.Е. Варшавский. - М.: Наука. – 2001.
Послание Президента Федеральному Собранию, 2012 // Официальный сайт Президента Российской Федерации. URL: http://www.kremlin.ru/news/17118 (дата обращения 01.11.2013).
Тедеев А. А. Предмет информационного права в условиях интернета // Республиканский НИИ интеллектуальной собственности «Информационное право» : Журнал. — М.: Издательская группа «Юрист», 2006. — № 3
Шаваев А.Т., Концептуальные основы обеспечения безопасности негосударственных объектов экономики. – М.: АЭБ, 2012.
Штурбина Н.А. Условия становления инновационной среды организации // Вестник ТИУиЭ. – 2010.












Приложение
В целях унификации банков данных правовой информации, а также обеспечения автоматизированного обмена правовой информацией, Указом Президента РФ от 15 марта 2000 г. № 511 "О Классификаторе правовых актов", утвержден "Классификатор правовых актов". Приводим разделы этого Классификатора по вопросам информационного законодательства.

Раздел 120.000.000 "Информация и информатизация":
120.010.000 Общие положения в сфере информации и информатизации
120.020.000 Управление в сфере информации и информатизации (см. также 010.150.040, 020.010.040, 020.010.050)
120.030.000 Информационные ресурсы. Пользование информационными ресурсами
120.030.010 Общие положения
120.030.020 Документирование информации. Делопроизводство 120.030.030 Обязательный экземпляр документов
120.030.040 Архивный фонд. Архивы (см. также 200.030.040)
120.030.050 Информационные ресурсы по категориям доступа (см. также 030.130.060, 160.030.040)
120.030.060 Информация о гражданах (персональные данные)
120.030.070 Правовая информация
120.030.080 Предоставление информации. Информационные услуги (см. также 080.120.070, 110.010.050)
120.040.000 Информатизация. Информационные системы, технологии и средства их обеспечения
120.040.010 Информатизация 120.040.020 Информационные системы, технологии и средства их обеспечения
120.050.000 Средства массовой информации (см. 130.040.000)
120.060.000 Реклама
120.070.000 Информационная безопасность. Защита информации и прав субъектов в области информационных процессов и информатизации (см. также 160.040.030)
В этом Классификаторе пока еще информационное законодательство систематизировано не полностью. Здесь отсутствуют связи с разделами гражданского права (раздел 030.000.000), аккумулирующими акты, посвященные интеллектуальной собственности.








4


1