По российскому федеральному законодательству, проверять эффективность и функциональность мероприятий по защите персональных данных (ПД) должны:
Эти контролирующие органы всегда требуют предоставлять отчетную документацию о защите ПД. Любая компания-оператор ПД обязана иметь бумаги, представленные в таблице.
| Название документа | Содержание документа |
| Положение о защите ПД (или Положение о персональных данных сотрудников, при условии неиспользования иной личной информации) | Порядок работы с персональной информацией, включая сбор и использование |
| Приказ о допуске к персональным данным | Перечень сотрудников, которые могут обрабатывать этот класс информации |
| Инструкция по защите персональных данных | Детальное описание мер безопасности |
| Уведомление для Роскомнадзора об обработке ПД | Обоснование необходимости и методики сбора персональной информации |
| Приказ, которым назначается лицо, отвечающее за безопасность ПД | Перечень компетенций этого сотрудника |
| Список помещений для данных мероприятий | Технический список площадей, задействованных в проверке ПД |
| Приказ, утверждающий места хранения ПД | Описываются методы архивации и параметры созданных хранилищ персональных данных |
| Описание порядка создания резервных копий баз данных, бэкапа для всех программ, средств защиты информации и баз данных | Техническая информация, предназначенная в том числе для ответственных лиц из отдела программирования и системного администрирования, содержащая все способы резервирования и восстановления ценных данных |
| Приказ по уничтожению персональных данных | Порядок утилизации уже неактуальной информации |
| Заключение о запуске информационной системы | Экспертное заключение о стартовавшей структуре безопасности |
| План проведения проверок внутри предприятия по защите персональных сведений | Табличное представление плана периодического проведения контроля оборудования и режима защиты ПД |
| Журнал для учета носителей информации | Список накопителей информации, используемой организацией |
| Журнал учета обращений субъектов ПД | База данных по физическим лицам, чья личная информация была использована организацией |
| Акт классификации системы | Включает категориальное описание персональных данных, прав доступа, список лиц, обрабатывающих информацию, технические данные о структуре сети и электронных устройствах |
| Правила обработки без применения автоматизированных средств | Все, что касается документации на традиционных носителях, т. е. всей бумажной корреспонденции |
| Инструкция по антивирусной защите и защите пароля | Информация об использовании антивируса, а также мер по защите паролей |
| Журнал тестирования средств информационной защиты | Заметки тестировщиков о проводимых проверках |
| Инструкция по внештатным ситуациям | Описание действий персонала в условиях угрозы раскрытия конфиденциальности информации |
| Соглашение о неразглашении | Описание правового режима по данным, которые не подлежат разглашению, с подписями задействованных лиц |
| Положение о защите персональных данных от несанкционированного доступа | Описание полномочий, зоны ответственности, правовых санкций, действующих на оператора персональных данных |
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных
