Перечень лиц, допущенных к обработке ПДн - Форум по вопросам информационной безопасности

Добрый день! Подскажите. Требуется оформить документ Перечень лиц, допущенных к обработке ПДн. Да имеется куча форм в инете. Есть загвоздка. Штат большой, соответственно и смена штата идет постоянно, перечень имеется в электронном варианте в виде матрицы доступа. как правильно оформить данный документ? в приложении к приказу прилепить список, а дальше пусть кадровики указывают изменения по приказу с перечнем лиц с допуском? или как корректно это сделать?

У нас в организации создавался приказ, у которого было приложение со списком допущенных к ПДн. В приказе прописывалось, что при увольнении сотрудника, он из этого списка автоматически пропадает. Если надо новых добавить, то делается приказ на изменения приложение к старому приказу с прописыванием новых сотрудников в новом приказе.

Перечень лиц и матрица доступа это 2 разных документа, которые утверждаются распорядительным документом организации. У нас тоже крупная организация и большая текучка. Поэтому определяем для себя сроки корректировки этих документов, например 1 раз в квартал, и ежеквартально вносим изменения. То есть ежеквартально эти 2 документа будут в новой редакции.

Мы применяли в другом списке, но, думаю, метод сработает и здесь:
утверждается список ДОЛЖНОСТЕЙ (согласно наименованию в штатном расписании) лиц с правом доступа. И регулярно кадровики предоставляют справку, кто на этой должности. Можно приказом возложить на кадры обязанность контроля и извещения.
В этом случае не требуется каждый раз "приказ о списке" согласовывать-утверждать-присваивать номер.
И по духу верно: работа с ПДн входит в должностные обязанности. Соответственно, с приходом и уходом на эту должность допуск получает автоматически.
Это не ГТ, проверки перед допуском не требуются

Автор: Практик | 89666

В ППРФ от 01.11.2012 № 1119 четко определено: "утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к ПДн, обрабатываемым в ИС, необходим для выполнения ими служебных (трудовых) обязанностей". Перечень лиц, а не перечень должностей. Вряд ли проверяющего устроят справки от кадров. Поэтому от согласования, утверждения, присваивания № не уйти.

Ну и еще нюанс - в, например, бухгалтерии 15 сотрудников на должности бухгалтер, 20 - бухгалтер 2-й категории, 5 - бухгалтеров 1 категории и 7 - ведущих бухгалтеров И как быть с таким списком должностей? При том, что с зарплатой отдела А, отдела Б, ... отдела Н работает пересекающиеся множества из всех этих бухгалтеров.
(а еще некоторое количество из разного рода специалистов по кадрам, экономистов, да еще и просто инженеров разного рода)

А подскажите, где вы брали образцы вот журналов? как уже говорили, на просторах интернета их море...а сомнения в их правильности все равно есть.....

Viktor444 | 89671

Образцы каких журналов?

Alex_kl | 89668

У нас в списке около 100 человек. Большая текучка. Ничего, справляюсь. В матрице пишете для каждого сотрудника его права в ОС, действиях с USB, системах содержащих ПДн и так далее.

To - | 89836

Ну вопрос/сомнение (на сообщение Практик | 89666) был не столько про количество сотрудников в списке, а про ведение вместо списка сотрудников списка должностей допущенных, если в штате дцать людей с одной должностью но с разными сферами деятельности, то, мне кажется, утверждение списка именно должностей несколько некорректна.