Разработка комплекта организационно-распорядительных документов оператора, регламентирующих защиту ПДн.

Как правило, у оператора уже существуют документы, регламентирующие защиту информации (служебной тайны, коммерческой тайны и т.п). В подавляющем большинстве случаев они не учитывают требования ФЗ «О персональных данных» и ряда иных нормативных актов, устанавливающих требования к процедуре и процессам защиты ПДн. Правильно подготовить такие документы можно только по результатам всестороннего анализа, проведенного на основе системного толкования правовых норм, регулирующих работу того или иного оператора. При этом должны быть учтены цели и правовые основания обработки ПДН конкретного оператора, установлены обоснованные исключения из требований ФЗ152 в части обязанности получения согласия субъектов ПДн на обработку, направления оператором уведомления в Роскомнадзор, определены категории ПДн и категории субъектов ПДн, обрабатываемых оператором. Создаваемый нашей компанией комплект таких документов в каждом случае индивидуален. Перечень таких документов приведен ниже.

Проекты локальных организационно-распорядительных актов оператора по защите ПДн:

  1. Приказ о порядке обработки, обеспечении безопасности и конфиденциальности персональных данных
  2. Приказ о назначении лиц, ответственных за организацию мер по защите персональных данных
  3. Положение об организации работы с персональными данными в организации (разрабатывается с учетом принципов, изложенных в Федеральном Законе РФ № 152-ФЗ «О персональных данных» (ФЗ 152)
  4. План-график мероприятий, направленных на приведение информационных систем персональных данных в соответствие с требованиями законодательства в области защиты персональных данных
  5. Приказ о создании комиссии по классификации информационных систем персональных данных
  6. Акт классификации информационной системы персональных данных
  7. Перечень ИСПДН ( Сведения об информационных системах персональных данных, установленных в организации)
  8. Форма Уведомления об обработке персональных данных (направляется при вводе в эксплуатацию новых ИСПДн, либо при внесении изменений в существующие, в случаях, установленных ФЗ 152).
  9. Регламент о порядке действий организации при обращении либо при получении запроса субъекта
  10. Журнал учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных
  11. Регламент разбирательства инцидентов информационной безопасности в организации
  12. Положение о службе информационной безопасности организации
  13. Должностная инструкция администратора информационной безопасности (руководителя службы ИБ)
  14. Регламент присвоения прав доступа к автоматизированной информационной системе.
  15. Матрица доступа пользователей к защищаемым информационным ресурсам информационной системы персональных данных
  16. Заявка на предоставление пользователю прав доступа к ресурсу ИСПДн
  17. Приказ об утверждении мест хранения материальных носителей персональных данных
  18. Журнал учета материальных носителей персональных данных
  19. Положение о порядке уничтожения персональных данных, обрабатываемых в организации
  20. Акт уничтожения персональных данных субъекта(ов) персональных данных
  21. Журнал учета машинных носителей информации
  22. Положение об обеспечении пропускного режима и охране о здания
  23. Положение об архиве организации
  24. Типовой раздел по конфиденциальности ПДн в гражданско-правовом договоре
  25. Типовой раздел по конфиденциальности ПДн в трудовом договоре
  26. Форма согласия субъекта ПДн на обработку его ПДн
  27. Форма согласия субъекта ПДн при передаче его ПДн
  28. Форма согласия субъекта ПДн на включение его ПДн
  29. Форма уведомления субъекта ПДн о запросе его ПДн
  30. Форма уведомления субъекта ПДн об уничтожении его ПДн
  31. Форма уведомления субъекта ПДн о получении его ПДн
  32. Дополнения в должностные инструкции работников, имеющих отношение к обработке ПДн.

Разработка таких документов осуществляется, как правило, в рамках предпроектного обследования.