1 шаг – издание Приказа по организации о начале работ по созданию системы защиты персональных данных в организации. Этот шаг оформляется приказом по предприятию «Об организации работ по обеспечению безопасности ПДн». Приказ состоит минимум из 5 пунктов, в которых: назначается ответственный сотрудник предприятия за осуществление мероприятий, по защите персональных данных;
- дается указание о разработке локальной документации, относящейся к защите персональных данных;
- создается комиссия по защите и обработке персональных данных в организации;
- утверждается и вводится в действие Положение по защите и обработке персональных данных в организации.
2 шаг – проведение обследования информационных систем персональных данных организации.
Главный смысл проведения обследования - принятие решения о том, является ли организация оператором персональных данных или нет. Если принято решение, что организация является оператором по обработке персональных данных, то проводится процедура определения класса информационной системы персональных данных на предприятии. По результатам реализации этого шага в организации появляются следующие документы:
- отчет об обследовании информационных систем персональных данных,;
- Приказ «О создании комиссии по классификации информационных систем персональных данных»;
- Акт классификации типовой информационной системы персональных данных
-и, как приложение к Положению о защите и обработке ПДн в организации, «Примерная модель угроз безопасности данных, обрабатываемых в информационных системах персональных данных».
3 шаг – направление Уведомления об обработке (о намерении осуществлять обработку) персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Санкт - Петербургу и Ленинградской области (или соответствующей территории). Бланк Уведомления можно скачать на сайте Управления или получить в дирекции СЗРО РСТ, но отправить документ нужно обязательно по почте, электронного вида недостаточно. При заполнении имеет смысл пользоваться Рекомендациями по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных.
4 шаг - разработка, утверждение и применение документов под названиями: «Согласие на обработку персональных данных» и «Отзыв согласия на обработку ПДн».
5 шаг – внедрение системы защиты персональных данных. С точки зрения организационных мероприятий этот шаг включает в себя:
- составление и утверждение перечня лиц, допущенных к обработке ПДн (здесь очень важно не забыть уведомить самих лиц о то, что они обрабатывают персональные данные!);
- создание и утверждение Перечня персональных данных, обрабатываемых в организации;
-создание и утверждение Положения об обработке и защите персональных данных в организации с обязательным листом ознакомления сотрудников с этим Положением и еще, как минимум, двумя документами к ним - Обязательством об обеспечении конфиденциальности персональных данных сотрудниками предприятия, Приказом о выделении помещений для обработки персональных данных;
- создание и утверждение документа с названием «Описание системы защиты персональных данных при их обработке в информационных системах персональных данных в организации. К описанию необходимо приложить:
- инструкцию пользователю по соблюдению режима защиты информации при работе в информационных системах персональных данных;
- инструкцию администратору безопасности информационных систем персональных данных организации;
- инструкцию по резервному копированию и восстановлению данных в информационных системах персональных данных предприятия;
- положение о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных в организации.
6 шаг – необходимо определиться с техническими средствами защиты персональных данных. Технические средства защиты персональных данных бывают от:
- несанкционированного доступа;
- антивирусные средства;
-межсетевые экраны;
- криптографические средства.
Все применяемые средства должны быть сертифицированы. Реестр сертифицированных средств защиты информации можно найти на сайте ФСТЭК России. После выбора, приобретения и установки средства необходимо правильно настроить! Документами, подтверждающими реализацию шестого шага, являются:
- перечень средств защиты персональных данных;
- журнал учета и хранения носителей персональных данных;
- акт установки средств защиты информации;
-утвержденная форма акта списания и уничтожения электронных носителей информации;
- утвержденная форма акта уничтожения документов;
- подписанные соглашения о неразглашении персональных данных с третьими лицами (организациями) или соответствующие оговорки в контрактах и соглашениях (в особенности при трансграничной передаче данных).
7 шаг – создание и подписание «Заключения о соответствии системы защиты персональных данных, обрабатываемых в информационных системах персональных данных организации».
Если Вы сделали все эти шаги и завели в организации «Журнал учета обращений субъектов персональных данных о выполнении их законных прав в области выполнения требований действующего законодательства (в части обеспечения безопасности персональных данных)», то требования Закона Российской Федерации от 27.07.2006 № 152 – ФЗ «О персональных данных» Вы, в основном, выполняете. Важно помнить, что когда Вы приобретаете новой оборудование (железо), ставите новые программы, расширяетесь о плане площадей в офисе или структурно – нужно не забывать вносить изменения в весь комплекс вышеперечисленных документов. За дополнительной информацией, образцами типовых документов и нормативной базой можно обращаться в исполнительную дирекцию СЗРО РСТ.