Что сделать по защите персональных данных

Что сделать по защите персональных данных

1 шаг – подготовительный. Анализ ситуации. Инвентаризация информационных ресурсов

-  анализ законодательства и нормативно-правовой базы;

-  анализ функциональной структуры компании и схемы организации ее подразделений;

-  анализ взаимодействия организации с внешними компаниями;

-  анализ бизнес-процессов компании с целью выявления наличия (отсутствия) признаков организации работы с персональными данными;

-  определение целей и содержания обработки персональных данных;

-  определение категории обрабатываемых персональных данных;

-  анализ всех эксплуатируемых информационных систем и традиционных хранилищ данных, где присутствуют и обрабатываются персональные данные. Определение целесообразности использования автоматизированных систем.

2 шаг – получение согласия на обработку персональных данных

-  издание приказа об утверждении формы документа для получения письменного согласия субъекта на обработку персональных данных (одна форма для сотрудников компании, другая для внешних субъектов);

-  получение письменного согласия субъектов на обработку персональных данных с указанием конкретного перечня персональных данных, на который дается согласие.

3 шаг – формирование перечней персональных данных и перечня информационных систем персональных данных

4 шаг – установление сроков обработки персональных данных

-  определение и документальная фиксация предельных сроков хранения персональных данных после расторжения (прекращения) договора с работником, клиентом, абонентом (физическими лицами) исходя из требований законодательства (в том числе гражданского, трудового, пенсионного, а также правовых документов о безопасности и правоохранительной деятельности, об исковой давности взаимных претензий банка и клиента и т. д.).

5 шаг – составление и направление в уполномоченный орган соответствующего уведомления.

6 шаг - подготовка списка должностных лиц компании, допущенных к работе с персональными данными и их полномочий по работе с ними

7 шаг - формирование модели угроз персональным данным

8 шаг - классифицирование информационных систем персональных данных

9 шаг - реализация требований по инженерно - технической защите помещений

10 шаг - получение лицензий

-  получение лицензии ФСТЭК России на техническую защиту конфиденциальной информации (операторы ИСПДн, проводя мероприятия по обеспечению безопасности персональных данных (конфиденциальная информация) при их обработке в ИСПДн 1-го и 2-го классов и распределенных информационных систем 3-го класса, должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации);

-  получение лицензии ФСБ России на применение средств криптографической защиты информации (при необходимости)

11 шаг - аттестация (сертификация) информационной системы персональных данных (для информационных систем персональных данных 1-го и 2-го классов производится обязательная сертификация (аттестация) по требованиям безопасности информации)

12 шаг – определение методов защиты при применении технологий обработки персональных данных без использования средств автоматизации

-  определение места хранения персональных данных (материальных носителей);

-  обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях;

-  обеспечение сохранности персональных данных, исключающий несанкционированный к ним доступ.

13 шаг – определение методов защиты при применении технологий обработки персональных данных в информационных системах

-  определение угрозы безопасности персональным данным при их обработке, и формирование на их основе модели угроз;

-  разработка на основе модели угроз системы защиты персональных данных, обеспечивающих нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

-  проверка готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

-  установка и ввод в эксплуатацию средства защиты информации в соответствии с эксплуатационной и технической документацией;

-  обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

-  учет применяемых средств защиты информации, эксплуатационную и техническую документацию к ним, носителей персональных данных;

-  контроль соблюдения условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией.

14 шаг – определение методов защиты при применении материальных носителей биометрических персональных данных и технологий хранения таких данных вне информационных систем персональных данных

15 шаг - документальное регламентирование работы с персональными данными. Составление следующих документов:

-  положение об обработке персональных данных;

-  положение по защите персональных данных;

-  регламент взаимодействия с субъектами персональных данных;

-  регламент взаимодействия с уполномоченными органами;

-  регламент взаимодействия при передаче персональных данных третьим лицам;

-  регламент контроля режима обработки персональных данных;

-  регламент обеспечения режима обработки персональных данных;

-  инструкция о порядке обработки персональных данных без использования средств автоматизации;

-  инструкция о порядке обработки персональных данных с использованием средств автоматизации;

-  инструкции администраторов безопасности персональных данных;

-  инструкции пользователей по работе с персональными данными;

-  должностные инструкции специалистов, непосредственно осуществляющих обработку персональных данных;

-  должностные инструкции персонала в части обеспечения безопасности при их обработке

16 шаг – определение порядка обработки персональных данных при осуществлении контрольно-пропускного режима в компании

17 шаг - организация эксплуатации информационной системы персональных данных и контроля за безопасностью

-  контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

-  разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных.