Общий вид плана мероприятий по защите персональных данных не регламентируется дословно, однако представляется контрольным органам в подобном виде:
План
мероприятий по защите персональных данных
в ________________________________________
(вписать название юридического лица)
| № п/п | Проводимые меры | Срок | Уполномоченный по контролю | Дополнительные комментарии |
| 1. | Необходимая юридическая база обработки персональных данных | На первой стадии запуска ИСПДн в постоянное пользование | Руководитель юридического лица, обрабатывающего персональные данные, пишет соответствующий приказ | |
| 2. | Направление в Роскомнадзор уведомительных документов относительно проведения обработки персональных данных с задействованием ПО | Когда нужно | Если организация использует новые электронные системы персональных данных либо модифицирует имеющиеся | |
| 3. | Регламент работы | Когда нужно | Описание документов относительно обработки электронными средствами и защиты данных фигурантов | |
| 4. | Получение заверения в письменной форме от фигурантов сбора данных, если оно требуется законом | Перманентно | Собственно, все заверения физических лиц о том, что они ознакомлены со сбором данных и претензий не имеют. Равно касается автоматизированных систем и традиционных (бумажных) способов хранения информации | |
| 5. | Установка сроков обработки персональной информации и ее утилизации после всех процедур | Когда нужно | Организация – оператор ИСПДн – обязана утверждать эти сроки согласно регламенту и практической надобности, соответственно указанным формам | |
| 6. | Ограничение доступа к конфиденциальной информации | Когда нужно (непосредственно в момент создания) | Когда создается новая ИСПДн, либо когда существующая система реорганизуется согласно актуальному законодательству. Доступ сотрудников должен быть разноуровневым, помимо этого проектируется матрица доступа, утверждаемая руководителем организации. На основе матрицы выстраивается иерархия допусков, а соответствие ей — базовое положение внутренней безопасности | |
| 7. | Повышение квалификации лиц, занимающихся сбором персональных данных | Перманентно | Уполномоченные лица стажируются минимум раз в два года | |
| 8. | Инвентаризация накопителей и всех имеющихся источников информации, проверка их на персональную информацию | Каждые шесть календарных месяцев | ||
| 9. | Разработка классификации ИСПДн | Когда нужно | При первичном создании ИСПДн, при каждом обнаружении персональной информации, при реорганизации системы (апдейт программ, смена топологии, закупка нового оборудования и прочее) | |
| 10. | Разработка списка потенциальных угроз электронным компонентам системы, мер противодействия, списка необходимого для этого ПО и матчасти | Когда нужно | При первичном создании системы защиты ИСПДн | |
| 11. | Получение сертификата, аттестация СЗПД, декларация соответствия требованиям безопасности | Когда нужно | Курируется лицензирующими органами в виде ФСТЭК | |
| 12. | Эксплуатация ИСПД и организация системы электронной секурности | Перманентно |
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных
