ТИПОВОЙ ПЛАН мероприятий по защите персональных данных
ТИПОВОЙ ПЛАН
мероприятий по защите персональных данных[1]
в _______________________________________________________________________
(наименование организации)
№ п\п |
Наименование мероприятия |
Срок выполнения |
Ответственный за выполнение |
Примечание |
1. |
Оформление правового основания обработки персональных данных |
При вводе информационной системы персональных данных (ИСПДн) в эксплуатацию |
При создании ИСПДн необходимо оформить приказ о вводе ее в эксплуатацию. Приказ оформляется руководителем организации. |
|
2. |
Направление в уполномоченный орган (Роскомнадзор) уведомления о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации |
При необходимости |
Уведомление направляется при ввводе в эксплуатацию новых информационных систем персональных данных, либо при внесении изменений в существующие |
|
3. |
Документальное регламентирование работы с ПД |
При необходимости |
Разработка положения по обработке и защите персональных данных, регламента специалиста ответственного за безопасность персональных данных, либо внесение изменений в существующие |
|
4. |
Получение письменного согласия субъектов ПД (физических лиц) на обработку ПД в случаях, когда этого требует законодательство |
Постоянно |
Письменное согласие получается при передаче ПД субъектами для обработки в ИСПДн, либо для обработки без использования средств автоматизации. Форма согласия приведена в Положении об обработке и защите ПД. |
|
5. |
Пересмотр договора с субъектами ПД в части обработки ПД |
При необходимости |
(например, в договор может быть включено согласие субъекта на обработку и передачу его ПД). Пересмотр договоров проводится при необходимости и оставляется на усмотрение организации – оператора ПД |
|
6. |
Установка сроков обработки ПД и процедуры их уничтожения по окончании срока обработки |
При необходимости |
Для каждой ИСПДн организацией - оператором ПД должны быть установлены сроки обработки ПД, что должно быть документально подтверждено в паспорте на ИСПДн. При пересмотре сроков – необходимые изменения должны быть внесены в паспорт ИСПДн |
|
7. |
Ограничение доступа работников к ПД |
При необходимости (при создании ИСПДн) |
В случае создания ИСПДн, а также приведения имеющихся ИСПДн в соответствии с требованиями закона необходимо разграничить доступ к ПД сотрудников организации согласно матрице доступа(сотрудники наделяются минимальными полномочиями доступа, необходимыми для выполнения ими своих обязанностей, например, могут иметь права только на просмотр ПД) Матрица доступа утверждается руководителем организации. При необходимости пересматривается (увольнение, прием новых сотрудников и прочее), подшивается в паспорт ИСПДн |
|
8. |
Повышение квалификации сотрудников в области защиты персональных данных |
Постоянно |
Ответственных за выполнение работ – не менее раз в два года, повышение осведомленности сотрудников – постоянно (данное обучение проводит ответственный за выполнение работ по ИБ) |
|
9. |
Инвентаризация информационных ресурсов с целью выявления присутствия и обработки в них ПД |
Раз в полгода |
||
10. |
Классификация информационных систем персональных данных (ИСПД) |
При необходимости |
Классификация проводится при создании ИСПДн, при выявлении в информационных системах ПД, при изменении состава, структуры самой ИСПДн или технических особенностей ее построения (изменилось ПО, топология и прочее) |
|
11. |
Выявление угроз безопасности и разработка моделей угроз и нарушителя |
При необходимости |
Разрабатывается при создании системы защиты ИСПДн |
|
12. |
Аттестация (сертификация) СЗПД или декларирование соответствия по требованиям безопасности ПД |
При необходимости |
Проводится совместно с лицензиатами ФСТЭК |
|
13. |
Эксплуатация ИСПД и контроль безопасности ПД |
Постоянно |