Инструктаж работников, допущенных к работе с информационными системами персональных данных, является обязательным этапом при организации работы с конфиденциальной информацией. В ходе инструктажа должны быть рассмотрены следующие вопросы:
- Понятие персональных данных и их классификация.
- Обязанности работника при работе с персональными данными.
- Правила работы с информационными системами, содержащими персональные данные.
- Процедуры доступа к персональным данным.
- Принципы защиты персональных данных и меры по предотвращению утечек информации.
- Последствия нарушения правил работы с персональными данными.
- Порядок обращения в случае обнаружения утечки конфиденциальной информации.
Инструктаж должен проводиться либо ответственным за обработку персональных данных, либо специалистом по информационной безопасности. Работники, допущенные к работе с персональными данными, должны подписать соответствующее заявление об ознакомлении с правилами работы с конфиденциальной информацией.
При проведении инструктажа работник, допущенный к работе с информационными системами персональных данных обязан ознакомиться со следующими нормативными правовыми актами:
- Федеральный закон №152-ФЗ от 27.07.2006 «О персональных данных»
- Федеральным законом №149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации».
- Постановление Правительства РФ №687 от 15.09.2008 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
- Постановление Правительства РФ №1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
- Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций №996 от 05.09.2013 «Об утверждении требований и методов по обезличиванию персональных данных»
- Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций №179 от 28.10.2022 «Об утверждении Требований к подтверждению уничтожения персональных данных»
- Приказ ФСБ России №77 от 13.02.2023 «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных»
- Приказ Федеральной службы по техническому и экспортному контролю №21 от 18.02.2013 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
- Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций №178 от 27.10.2022 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»
- Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций №18 от 24.02.2021 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»