Выберите из списка ваш регион

«ИнфоТеКС Интернет Траст»

Логотип ИнфоТеКС Интернет Траст
Техподдержка 24/7
По России звонок бесплатный
8 800 250-0-260
8 800 250-0-265
ноль
линия
Электронная отчетность
линия
Электронный документооборот
линия
Удостоверяющий центр
линия
Информационная безопасность
Аудит информационной безопасности
Разработка документов политики ИБ
Создание защищенных ИС
Примеры типовых систем защиты информации
Аутсорсинг информационной безопасности
Содействие в получении лицензии ФСБ России
линия
Защита каналов связи
линия
СМЭВ

Разработка пакета документов, регламентирующих порядок и правила обработки и защиты персональных данных

В соответствии с требованиями федерального законодательства в области персональных данных операторы персональных данных обязаны принимать меры по защите (обеспечению безопасности) обрабатываемых ими персональных данных.

Все процессы обработки, а также защиты (обеспечения безопасности) персональных данных должны быть регламентированы.

Пакет организационно-распорядительных документов, регламентирующих порядок и правила обработки и защиты (обеспечения безопасности) персональных данных в процессах функционирования информационной системы Заказчика, включает в себя:

  • политика обработки персональных данных;
  • правила обработки персональных данных;
  • положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных;
  • положение об особенностях обработки персональных данных без использования средств автоматизации;
  • порядок оформления допуска (доступа) к обработке персональных данных в информационной системе персональных данных;
  • положение об особенностях обработки обезличенных персональных данных;
  • разрешительная система доступа (матрица доступа) к защищаемым ресурсам;
  • порядок обеспечения безопасности специальных (защищаемых) помещений;
  • порядок использования технологий беспроводного доступа (при необходимости);
  • порядок использования мобильных технических средств (при необходимости);
  • перечень разрешенного к использованию в информационной системе персональных данных программного обеспечения и его компонентов (при необходимости);
  • положение по проведению оценки эффективности реализованных мер по обеспечению безопасности персональных данных;
  • правила рассмотрения запросов субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных;
  • перечни персональных данных, обрабатываемых в связи с реализацией трудовых отношений, а также в связи с оказанием услуг и осуществления иных функций, установленных закодательством Российской Федерации;
  • перечень (категорий) лиц, допущенных к обработке персональных данных;
  • перечень должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
  • перечень лиц (должностей), ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
  • перечень лиц (должностей), допущенных к обработке обезличенных данных;
  • перечень лиц (должностей), имеющих доступ в помещения, предназначенные для отработки персональных данных;
  • перечень событий безопасности, состав и содержание информации о событиях безопасности, подлежащих регистрации, и сроки их хранения;
  • перечень лиц, ответственных за реализацию мер по защите персональных данных, обрабатываемых без использования средств автоматизации;

В качестве приложений к вышеуказанным документам разрабатываются формы журналов, проекты приказов и т.п.

Типовой состав таких проектов и форм документов, разрабатываемых в интересах Заказчика, включает в себя:

  • приказ о назначении ответственного за организацию обработки персональных данных;
  • приказ о назначении ответственного за обеспечение безопасности персональных данных и администратора безопасности;
  • приказ о ведении журналов (реестров, книг…), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию (при необходимости);
  • приказ о создании постоянно действующей комиссии по уничтожению персональных данных;
  • приказ о назначении ответственных за выявление инцидентов и реагирования на них;
  • приказ о назначении лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных;
  • приказ о назначении комиссии по уничтожению ключевых документов;
  • приказ о назначении ответственного пользователя средств криптографической защиты информации;
  • приказ об утверждении перечня лиц, допущенных к работе со средствами криптографической защиты информации;
  • приказ о проведении работ по вводу средств криптографической защиты информации в эксплуатацию;
  • акты о вводе средств криптографической защиты информации в эксплуатацию;
  • приказ о вводе в эксплуатацию информационной системы персональных данных;
  • типовая форма согласия субъекта персональных данных на обработку его персональных данных;
  • типовая форма поручения другому лицу на обработку персональных данных (при необходимости);
  • уведомление уполномоченного органа по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных (при необходимости);
  • договор между оператором персональных данных и уполномоченным лицом, осуществляющим обработку персональных данных по поручению оператора (при необходимости);
  • типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
  • журнал учета обращений субъектов персональных данных или их законных представителей, а также уполномоченного органа по защите прав субъектов персональных данных;
  • журнал учета мест хранения материальных носителей конфиденциальной информации и персональных данных;
  • журнал событий безопасности (возможно в электронном виде или встроенными возможностями средствами защиты информации);
  • журнал учета магнитных, оптических и иных машинных носителей информации, предназначенных для хранения конфиденциальной информации и персональных данных;
  • журнал учета нарушений, ликвидации их причин и последствий;
  • журнал резервного копирования информационных ресурсов (при необходимости);
  • журнал поэкземплярного учета используемых криптосредств, эксплуатационной и технической документации к ним;
  • журнал учета и выдачи носителей с ключевой информацией;
  • журнал учета пользователей криптосредств;
  • журнал учета хранилищ ключевых документов и технической документации (сейфов);
  • журнал учета ключей от хранилищ ключевых документов и технической документации;
  • журнал учета проверок сигнализации.

Вернуться к описанию услуг «Разработка документов политики ИБ»