Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
[ Закрыто ] Журнал ознакомления персонала с распорядительными док-ми по ПДн, как лучше сделать?
Настал момент доведения документов до сведения сотрудников под роспись. Как лучше сделать журнал ознакомления? Как перечислить документы для ознакомления?
Я придумала так:
делаете Инструкцию по проведению инструктажа лиц, допущенных к работе с информационными системами персональных данных.
В ней один из пунктов:

При поступлении на работу сотрудника, которому для выполнения своих трудовых обязанностей необходим доступ к ИСПДн (далее – новый сотрудник), специалист по защите информации:
а) в соответствии с п.п.6 п.1 ст.18.1 ФЗ от 27.07.2006 N 152-ФЗ «О персональных данных» проводит ознакомление нового сотрудника с положениями законодательства Российской Федерации о персональных данных и локальными актами организации в отношении обработки персональных данных, перечисленными в Приложении №1 к данной инструкции;

В приложении 1 к инструкции перечисляете ВСЁ, с чем считаете необходимым ознакомить сотрудника, в частности, локальные акты.

Затем делаете Журнал учета прохождения первичного инструктажа, в котором расписываются успешно прошедшие инструктаж.
Сколько лет хранить Журнал проведения инструктажей по защите Пд? Статьи с Перечнях нет.
Вы в любой момент должны суметь показать, что инструктаж был, поэтому это зависит от периодичности инструктажей. Если инструктаж ежегодный, то накинуть годик-другой с момента последней записи, получаем 2-3 года.
Сделать можно как угодно, у нас недавно была проверка РКН - нарушений не выявлено.
У нас есть - при трудоустройстве - обязательство о неразглашении (соглашение о неразглашении); лист ознакомления - в личном деле хранится. И самое основное - есть положение по обучению и повышению информационной безопасности, уже программЫ(включают не только ПДн) по обучению и повышению осведомленности в области ИБ - и соответственно журналы, но самое главное в том, что подписей в журнале -2, одна-о проведении обучения, вторая об ознакомлении с перечислинными документами в шапке журнала- на них ссылается программа обучения, ну и подпись обучающего (чтобы пройти обучение и повышение осведомленности кстати нужно ответить на вопросы тестов к программе)
- это правда все по СТО БР ИББС, можно сделать проще.
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)