ПЛАН ПЕРВООЧЕРЕДНЫХ МЕРОПРИЯТИЙ по приведению процессов обработки и защиты персональных данных в соответствие с требованиями ФЗ 152 «О персональных данных»

Презентация:



Advertisements
Похожие презентации
Защита персональных данных в информационных системах 24 ноября 2010 года.
Advertisements

Этапы создания системы защиты персональных данных СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие.
Общий порядок действий оператора по выполнению требований Федерального закона от ФЗ «О персональных данных»
Федеральный закон 152-ФЗ «О персональных данных» от 27 июля 2006 года ( с последними изменениями от 25 июля 2011 года) Требования к юридическим лицам.
Федеральный закон РФ от 27 июля 2006 года 152-ФЗ «О персональных данных»
Управление Роскомнадзора по Республике Крым и городу Севастополь Контактный телефон: ( ) Сайт Управления : 1 Тема:
ПРАКТИКА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ. МЕРЫ ПО ЗАЩИТЕ.
Персональные данные (ПДн). Организация работы по защите ПДн в образовательном учреждении 14 апреля 2010 года.
Законодательная и нормативная база правового регулирования вопросов защиты персональных данных. Руководящие документы по защите персональных данных Законодательная.
М.Ю.Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА» Защита персональных данных: алгоритм для законопослушных банков ИНФОРМАЦИОННАЯ.
Федеральный закон 152 «О персональных данных» Федеральный закон 152 «О персональных данных» Федеральный закон 152 «О персональных данных»
Опыт успешного прохождения проверки Роскомнадзора по защите персональных данных. Обзор административных мер и локальных актов, регулирующих обработку и.
Проведение ведомственных выездных проверок организации защиты персональных данных при их обработке в учреждениях здравоохранения Челябинской области в.
Защита персональных данных работников. Положения о защите персональных данных работников регламентируют Конституция Российской Федерации Конституция Российской.
Бикбулатов Тагир Ахатович Управление Роскомнадзора по Республике Башкортостан Специалист-эксперт отдела по защите прав субъектов персональных данных.
2009 г. Об обеспечении безопасности персональных данных с использованием шифровальных (криптографических) средств.
НАЧАЛЬНИК ОТДЕЛА ЗАЩИТЫ ИНФОРМАЦИИ ОТ ЕЁ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ ТТИ ЮФУ Коробилов Юрий Борисович.
Информационная безопасность в защищенной корпоративной сети передачи данных (ЗКСПД) 2010 г. Начальник отдела по информационной безопасности ФГУ ФЦТ Начальник.
Общий порядок действия оператора по выполнению требований Федерального закона от «О персональных данных» (Часть 1): ШАГ 1 Определить структурное.
Защита персональных данных на базе типовых решений ЭЛВИС-ПЛЮС © ОАО «ЭЛВИС-ПЛЮС», 2008 г.
Транксрипт:

ПЛАН ПЕРВООЧЕРЕДНЫХ МЕРОПРИЯТИЙ по приведению процессов обработки и защиты персональных данных в соответствие с требованиями ФЗ 152 «О персональных данных» Доцент кафедры информационной безопасности в управлении УдГУ, к.т.н. Юрий Иванович Фадеев тел. 8(950)

1. Организация работы по обеспечению выполнения требований Закона п/п Наименование мероприятийОснование 1.1 Приказ об ОРГАНИЗАЦИИ РАБОТ и назначении ответственных лиц Ст п 1.1 ФЗ 152 п.13 ПП 781 п. 3.3, 3.21 СТР-К 1.2 Приказ об утверждении ПЛАНА МЕРОПРИЯТИЙ п/п 3.8, 3.16, 3.18, 3.21 СТР-К 1.3 Приказ об утверждении СОСТАВА РАБОЧЕЙ ГРУППЫ п СТР-К 1.4 Приказ об установлении ГРАНИЦ КОНТРОЛИРУЕМОЙ ЗОНЫ Приложение 2, 3, 5 СТР-К 1.5 Приказ об утверждении БЛАНКА СОГЛАСИЙ субъекта ст.9 п.4 ФЗ 152

Оператор Ответственное лицо Комиссии: ПДЭК Рабочая группа - по проверке - по приемке ТС в эксплуатацию - по служебным расследованиям и др. Администратор безопасности Ответственный за обработку Подсистема Управления СЗПД Функции ответственного лица за организацию обработки (ст п. 4 ФЗ 152): 1.Внутренний контроль за соблюдением работниками требований к обработке и защите ПД; 2.Доведение до сведения работников положений по обработке и защите ПД 3.Организация приема обращений субъектов ПД и осуществление контроля за приемом и обработкой таких обращений и запросов.

2. Определение Перечня персональных данных п/п Наименование мероприятийОснование 2.1 Подготовка предложений в предварительный ПЕРЕЧЕНЬ ПД ст. 9 п.4 ФЗ 152 п/п 3.6, 3.10 СТР-К 2.2 Определение ЦЕЛЕЙ, ОСНОВАНИЯ обработки ПД, субъектов ПД, СРОКОВ хранения 2.3 Сопоставление объема обрабатываемых ПД целям обработки, ИЗБАВЛЕНИЕ ОТ ИЗБЫТОЧНЫХ ДАННЫХ 2.4 Рассмотрение предварительного перечня ПД экспертной комиссией и УТВЕРЖДЕНИЕ ПЕРЕЧНЯ 2.5 Формирование и утверждение ПЕРЕЧНЯ ОБЩЕДОСТУПНЫХ ПД (ОПД) ст. 8 ФЗ 152

3. Структуризация Перечня на материальные носители ПД п/п Наименование мероприятийОснование 3.1 Определение РЕЕСТРА БУМАЖНЫХ НОСИТЕЛЕЙ ПД п.13 ПП Определение РЕЕСТРА МАТЕРИАЛЬНЫХ НОСИТЕЛЕЙ ПД (диски, флэш- карты и др.) 3.3 Определение РЕЕСТРА ЭЛЕКТРОННЫХ НОСИТЕЛЕЙ ПД 3.4 Определение МЕСТОПОЛОЖЕНИЯ НОСИТЕЛЕЙ на плане объекта (помещения и места хранения) относительно границ контролируемой зоны п.5.1.3, прил. 2,3 СТР-К П. 2.1 Приказ Разработка ПРЕДЛОЖЕНИЙ ПО СОВЕРШЕНСТВОВАНИЮ внутриобъектового режима

4. Внедрение разрешительной системы п/п Наименование мероприятийОснование 4.1 Определение СПИСКА СОТРУДНИКОВ, обрабатывающих ПД и издание приказа о допуске их к обработке ПД П. 2.1 Приказ 58 П СТРК 4.2 Взятие ОБЯЗАТЕЛЬСТВА О НЕРАЗГЛАШЕНИИ Ст. 7 ФЗ 152 Ст. 57 ТК РФ 4.3 Разработка МАТРИЦ ДОСТУПА сотрудников к носителям ПД (бумажные, отчуждаемые, электронные) п. 14. ПП 781 п. 13 ПП 687 п. 2.1 Приказ 58 п , п СТР-К 4.4 Определение ПОРЯДКА ДОСТУПА сотрудников носителям и документам, содержащим ПД 4.5 Установление ПАРОЛЬНОЙ ПОЛИТИКИ Приложение к приказу 58

5. Получение согласий субъектов на обработку ПД п/п Наименование мероприятийОснование 5.1 Получение СОГЛАСИЯ СУБЪЕКТОВ ПД на обработку их данных (в письменном виде) ст. 9 ФЗ УВДОМЛЕНИЕ СУБЪЕКТА ПД о целях, средствах и сроках обработки ПД 5.3 Получение СОГЛАСИЙ СОТРУДНИКОВ предприятия на обработку части ПД как общедоступных ст. 8 ФЗ Определить ПД, получаемые не непосредственно от субъекта ПД, и для таких случаев уведомить субъектов. ст. 9 ФЗ Определить НЕОБХОДИМОСТЬ ПОЛУЧЕНИЯ СОГЛАСИЯ на передачу ПД третьим лицам и если это необходимо, получить такое согласие в письменном виде

6. Разработка описания ИСПД предприятия п/п Наименование мероприятийОснование 6.1 Общее ОПИСАНИЕ ОБЪЕКТА ЗАЩИТЫ п. 3.8, 3.9, 3.12 СТР-К 6.2 Описание ИСПД: п. 3.8 СТР-К ФИЗИЧЕСКОЕ РАЗМЕЩЕНИЕ ИСПД (на плане объекта); п. 3.8, Приложение 2, 3, 5 СТР-К Перечень АРМ и коммутационного оборудования, входящего в состав ИСПД п. 3.8, 3.9, 3.12 СТР-К СЕТЕВАЯ ИНФРАСТРУКТУРА ИСПД Перечень СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ, применяемых в ИСПД; п. 12к ПП 781 п. 3.7 СТР-К 6.3 Описание ТЕХНОЛОГИЧЕСКОГО ПРОЦЕССА ПД (внутренний документооборот, внешний документооборот) п. 3.12, 3.18, СТР-К

п/п Наименование мероприятийОснование 7 Определение КЛАССА ИСПД п. 2 Приказ 55/86/20 п. 6 ПП 781 п. 3.8, п СТР-К 8 Формирование ТРЕБОВАНИЙ ПО ЗАЩИТЕ типовой ИСПД п. 3.9, 3.16 СТР-К Для специальной ИСПД 9 Определение АКТУАЛЬНЫХ УГРОЗ безопасности ПД ст. 19 ч.2 п.1 ФЗ 152 п. 1.4 Приказ 58 п. 16 Приказ 55/86/20 п. 12а ПП 781 п. 3.8 СТР-К 10 Определение ТРЕБОВАНИЙ ПО ЗАЩИТЕ ПД, анализ реализуемости требований по уровню затрат на защиту (ТЭО) п. 3.9, 3.16 СТР-К

п/п Наименование мероприятийОснование Для типовой и специальной ИС 11 Разработка ТЕХНИЧЕСКОГО ЗАДАНИЯ на создание СЗПД п. 3.9, 3.13 СТР-К 12 Направление уполномоченному органу УВДОМЛЕНИЯ об обработке ПД ст.22 п.1 ФЗ 152

13. Разработка нормативных документов по обработке и защите ПД п/п Наименование мероприятийОснование 13.1 Положение об обработке персональных данных. ст ФЗ Положение о защите персональных данных ст ФЗ Политика безопасности ст п. 2 ФЗ Инструкция по разрешительной системе п. 14 ПП 781 п СТР-К п. 2.1 Приказ Инструкция пользователя ИСПД п СТР-К 13.6 Инструкция администратора безопасности 13.7 Инструкция по проведению проверочных мероприятий ст ФЗ 152 п. 11б, 11д, 12з ПП 781 п СТР-К 13.8 Инструкция о порядке ответа на запросы и обращения физических и юридических лиц и др. ст. 20 ФЗ 152

14. Внесение дополнений в существующие нормативные документы п/п Наименование мероприятийОснование 14.1 Устав (Учредительный договор), Правила внутреннего распорядка, Коллективный договор ст. 190 ТК РФ 14.2 Трудовые и гражданско-правовые договора Раздел III ТК РФ 14.3 Положения о структурных подразделениях (видах деятельности), 14.4 Должностные инструкции

15. Внедрение мероприятий по защите ПД п/п Наименование мероприятийОснование 15.1 ВНЕДРЕНИЕ МЕРОПРИЯТИЙ по совершенствованию режимов охраны и инженерно-технических средств защиты ресурсов (помещения, АРМ, хранилища) 15.2 ВНЕДРЕНИЕ ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ защиты информации ПД 15.3 ВНЕДРЕНИЕ КРИПТОГРАФИЧЕСКИХ СРЕДСТВ защиты информации ПД 15.4 РАЗРАБОТКА ИНСТРУКЦИЙ по использованию технических и программно-аппаратных средств защиты информации ПД