Семь шагов к созданию системы защиты персональных данных
РСТ подготовил подробную инструкцию, которая поможет туроператорам начать работу по созданию системы защиты персональных данных…
Исполнительная дирекция Северо-Западного отделения РСТ подготовила инструкцию, которая поможет туроператорам начать работу по созданию системы защиты персональных данных. От выполнения требований федерального закона от 27.07.2006 № 152 «О персональных данных» компанию отделяет семь шагов.
1 шаг – издание руководителем компании приказа «Об организации работ по обеспечению безопасности персональных данных. Приказом:
- назначается ответственный сотрудник за осуществление мероприятий, по защите персональных данных;
- дается указание о разработке локальной документации, относящейся к защите персональных данных;
- создается комиссия по защите и обработке персональных данных в организации;
- утверждается и вводится в действие положение по защите и обработке персональных данных в организации.
2 шаг – обследование информационных систем персональных данных организации.
Цель обследования – принять решения о том, является ли организация оператором персональных данных. Если является, то проводится процедура определения класса информационной системы персональных данных на предприятии. По результатам реализации этого шага в организации появляются следующие документы:
- отчет об обследовании информационных систем персональных данных;
- приказ «О создании комиссии по классификации информационных систем персональных данных»;
- акт классификации типовой информационной системы персональных данных
- и, как приложение к положению о защите и обработке персональных данных в организации, «Примерная модель угроз безопасности данных, обрабатываемых в информационных системах персональных данных».
3 шаг – направление уведомления об обработке (о намерении осуществлять обработку) персональных данных в территориальное управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. Бланк уведомления можно скачать на сайте управления. Отправить документ нужно обязательно по почте, электронного вида недостаточно. Можно воспользоваться рекомендациями по заполнению формы уведомления.
4 шаг – разработка, утверждение и применение документов «Согласие на обработку персональных данных» и «Отзыв согласия на обработку персональных данных».
5 шаг – внедрение системы защиты персональных данных путем следующих организационных мероприятий:
- составление и утверждение перечня лиц, допущенных к обработке персональных данных, уведомление этих лиц о допуске к обработке персональных данных;
- создание и утверждение перечня персональных данных, обрабатываемых в организации;
-создание и утверждение положения об обработке и защите персональных данных в организации с обязательным листом ознакомления сотрудников с этим документом. Также сотрудники должны подписать обязательство об обеспечении конфиденциальности персональных данных. Издание приказа о выделении помещений для обработки персональных данных;
– создание и утверждение документа «Описание системы защиты персональных данных при их обработке в информационных системах». К описанию необходимо приложить:
- инструкцию пользователю по соблюдению режима защиты информации при работе в информационных системах персональных данных;
- инструкцию администратору по безопасности информационных систем персональных данных организации;
- инструкцию по резервному копированию и восстановлению данных в информационных системах персональных данных предприятия;
- положение о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных в организации.
6 шаг – необходимо определиться с техническими средствами защиты персональных данных от несанкционированного доступа, продумать антивирусные средства, межсетевые экраны, криптографические средства. Все применяемые средства должны быть сертифицированы. Реестр сертифицированных средств защиты информации можно найти на сайте ФСТЭК России. После выбора, приобретения и установки все средства необходимо правильно настроить. Документами, подтверждающими реализацию шестого шага, являются:
- перечень средств защиты персональных данных;
- журнал учета и хранения носителей персональных данных;
- акт установки средств защиты информации;
- утвержденная форма акта списания и уничтожения электронных носителей информации;
- утвержденная форма акта уничтожения документов;
- подписанные соглашения о неразглашении персональных данных с третьими лицами (организациями) или соответствующие оговорки в контрактах и соглашениях (в особенности при трансграничной передаче данных).
7 шаг – создание и подписание «Заключения о соответствии системы защиты персональных данных, обрабатываемых в информационных системах персональных данных организации».
Если вы все это сделали, а также завели в организации «Журнал учета обращений субъектов персональных данных о выполнении их законных прав в области выполнения требований действующего законодательства (в части обеспечения безопасности персональных данных)», то считайте, что требования выполнены. Важно помнить, что при покупке нового оборудования, установке новых программ, расширении офиса и т.д., необходимо вносить изменения во все перечисленные документы.