ПЛАН ПЕРВООЧЕРЕДНЫХ МЕРОПРИЯТИЙ по приведению процессов обработки и защиты персональных данных в соответствие с требованиями ФЗ 152 «О персональных данных» Доцент кафедры информационной безопасности в управлении УдГУ, к.т.н. Юрий Иванович Фадеев тел. 8(950)
1. Организация работы по обеспечению выполнения требований Закона п/п Наименование мероприятийОснование 1.1 Приказ об ОРГАНИЗАЦИИ РАБОТ и назначении ответственных лиц Ст п 1.1 ФЗ 152 п.13 ПП 781 п. 3.3, 3.21 СТР-К 1.2 Приказ об утверждении ПЛАНА МЕРОПРИЯТИЙ п/п 3.8, 3.16, 3.18, 3.21 СТР-К 1.3 Приказ об утверждении СОСТАВА РАБОЧЕЙ ГРУППЫ п СТР-К 1.4 Приказ об установлении ГРАНИЦ КОНТРОЛИРУЕМОЙ ЗОНЫ Приложение 2, 3, 5 СТР-К 1.5 Приказ об утверждении БЛАНКА СОГЛАСИЙ субъекта ст.9 п.4 ФЗ 152
Оператор Ответственное лицо Комиссии: ПДЭК Рабочая группа - по проверке - по приемке ТС в эксплуатацию - по служебным расследованиям и др. Администратор безопасности Ответственный за обработку Подсистема Управления СЗПД Функции ответственного лица за организацию обработки (ст п. 4 ФЗ 152): 1.Внутренний контроль за соблюдением работниками требований к обработке и защите ПД; 2.Доведение до сведения работников положений по обработке и защите ПД 3.Организация приема обращений субъектов ПД и осуществление контроля за приемом и обработкой таких обращений и запросов.
2. Определение Перечня персональных данных п/п Наименование мероприятийОснование 2.1 Подготовка предложений в предварительный ПЕРЕЧЕНЬ ПД ст. 9 п.4 ФЗ 152 п/п 3.6, 3.10 СТР-К 2.2 Определение ЦЕЛЕЙ, ОСНОВАНИЯ обработки ПД, субъектов ПД, СРОКОВ хранения 2.3 Сопоставление объема обрабатываемых ПД целям обработки, ИЗБАВЛЕНИЕ ОТ ИЗБЫТОЧНЫХ ДАННЫХ 2.4 Рассмотрение предварительного перечня ПД экспертной комиссией и УТВЕРЖДЕНИЕ ПЕРЕЧНЯ 2.5 Формирование и утверждение ПЕРЕЧНЯ ОБЩЕДОСТУПНЫХ ПД (ОПД) ст. 8 ФЗ 152
3. Структуризация Перечня на материальные носители ПД п/п Наименование мероприятийОснование 3.1 Определение РЕЕСТРА БУМАЖНЫХ НОСИТЕЛЕЙ ПД п.13 ПП Определение РЕЕСТРА МАТЕРИАЛЬНЫХ НОСИТЕЛЕЙ ПД (диски, флэш- карты и др.) 3.3 Определение РЕЕСТРА ЭЛЕКТРОННЫХ НОСИТЕЛЕЙ ПД 3.4 Определение МЕСТОПОЛОЖЕНИЯ НОСИТЕЛЕЙ на плане объекта (помещения и места хранения) относительно границ контролируемой зоны п.5.1.3, прил. 2,3 СТР-К П. 2.1 Приказ Разработка ПРЕДЛОЖЕНИЙ ПО СОВЕРШЕНСТВОВАНИЮ внутриобъектового режима
4. Внедрение разрешительной системы п/п Наименование мероприятийОснование 4.1 Определение СПИСКА СОТРУДНИКОВ, обрабатывающих ПД и издание приказа о допуске их к обработке ПД П. 2.1 Приказ 58 П СТРК 4.2 Взятие ОБЯЗАТЕЛЬСТВА О НЕРАЗГЛАШЕНИИ Ст. 7 ФЗ 152 Ст. 57 ТК РФ 4.3 Разработка МАТРИЦ ДОСТУПА сотрудников к носителям ПД (бумажные, отчуждаемые, электронные) п. 14. ПП 781 п. 13 ПП 687 п. 2.1 Приказ 58 п , п СТР-К 4.4 Определение ПОРЯДКА ДОСТУПА сотрудников носителям и документам, содержащим ПД 4.5 Установление ПАРОЛЬНОЙ ПОЛИТИКИ Приложение к приказу 58
5. Получение согласий субъектов на обработку ПД п/п Наименование мероприятийОснование 5.1 Получение СОГЛАСИЯ СУБЪЕКТОВ ПД на обработку их данных (в письменном виде) ст. 9 ФЗ УВДОМЛЕНИЕ СУБЪЕКТА ПД о целях, средствах и сроках обработки ПД 5.3 Получение СОГЛАСИЙ СОТРУДНИКОВ предприятия на обработку части ПД как общедоступных ст. 8 ФЗ Определить ПД, получаемые не непосредственно от субъекта ПД, и для таких случаев уведомить субъектов. ст. 9 ФЗ Определить НЕОБХОДИМОСТЬ ПОЛУЧЕНИЯ СОГЛАСИЯ на передачу ПД третьим лицам и если это необходимо, получить такое согласие в письменном виде
6. Разработка описания ИСПД предприятия п/п Наименование мероприятийОснование 6.1 Общее ОПИСАНИЕ ОБЪЕКТА ЗАЩИТЫ п. 3.8, 3.9, 3.12 СТР-К 6.2 Описание ИСПД: п. 3.8 СТР-К ФИЗИЧЕСКОЕ РАЗМЕЩЕНИЕ ИСПД (на плане объекта); п. 3.8, Приложение 2, 3, 5 СТР-К Перечень АРМ и коммутационного оборудования, входящего в состав ИСПД п. 3.8, 3.9, 3.12 СТР-К СЕТЕВАЯ ИНФРАСТРУКТУРА ИСПД Перечень СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ, применяемых в ИСПД; п. 12к ПП 781 п. 3.7 СТР-К 6.3 Описание ТЕХНОЛОГИЧЕСКОГО ПРОЦЕССА ПД (внутренний документооборот, внешний документооборот) п. 3.12, 3.18, СТР-К
п/п Наименование мероприятийОснование 7 Определение КЛАССА ИСПД п. 2 Приказ 55/86/20 п. 6 ПП 781 п. 3.8, п СТР-К 8 Формирование ТРЕБОВАНИЙ ПО ЗАЩИТЕ типовой ИСПД п. 3.9, 3.16 СТР-К Для специальной ИСПД 9 Определение АКТУАЛЬНЫХ УГРОЗ безопасности ПД ст. 19 ч.2 п.1 ФЗ 152 п. 1.4 Приказ 58 п. 16 Приказ 55/86/20 п. 12а ПП 781 п. 3.8 СТР-К 10 Определение ТРЕБОВАНИЙ ПО ЗАЩИТЕ ПД, анализ реализуемости требований по уровню затрат на защиту (ТЭО) п. 3.9, 3.16 СТР-К
п/п Наименование мероприятийОснование Для типовой и специальной ИС 11 Разработка ТЕХНИЧЕСКОГО ЗАДАНИЯ на создание СЗПД п. 3.9, 3.13 СТР-К 12 Направление уполномоченному органу УВДОМЛЕНИЯ об обработке ПД ст.22 п.1 ФЗ 152
13. Разработка нормативных документов по обработке и защите ПД п/п Наименование мероприятийОснование 13.1 Положение об обработке персональных данных. ст ФЗ Положение о защите персональных данных ст ФЗ Политика безопасности ст п. 2 ФЗ Инструкция по разрешительной системе п. 14 ПП 781 п СТР-К п. 2.1 Приказ Инструкция пользователя ИСПД п СТР-К 13.6 Инструкция администратора безопасности 13.7 Инструкция по проведению проверочных мероприятий ст ФЗ 152 п. 11б, 11д, 12з ПП 781 п СТР-К 13.8 Инструкция о порядке ответа на запросы и обращения физических и юридических лиц и др. ст. 20 ФЗ 152
14. Внесение дополнений в существующие нормативные документы п/п Наименование мероприятийОснование 14.1 Устав (Учредительный договор), Правила внутреннего распорядка, Коллективный договор ст. 190 ТК РФ 14.2 Трудовые и гражданско-правовые договора Раздел III ТК РФ 14.3 Положения о структурных подразделениях (видах деятельности), 14.4 Должностные инструкции
15. Внедрение мероприятий по защите ПД п/п Наименование мероприятийОснование 15.1 ВНЕДРЕНИЕ МЕРОПРИЯТИЙ по совершенствованию режимов охраны и инженерно-технических средств защиты ресурсов (помещения, АРМ, хранилища) 15.2 ВНЕДРЕНИЕ ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ защиты информации ПД 15.3 ВНЕДРЕНИЕ КРИПТОГРАФИЧЕСКИХ СРЕДСТВ защиты информации ПД 15.4 РАЗРАБОТКА ИНСТРУКЦИЙ по использованию технических и программно-аппаратных средств защиты информации ПД