Рецепт 1. Общий план мероприятий по защите персональных данных 

Ингридиенты: персональные данные, ваша фирма, лицо ответственное за защиту персональных данных, нормативно-методическая документация.

Способ приготовления:

Тема защиты персональных данных настолько популярная, что просто невозможно избежать соблазна и не написать свое мнение, руководства по данному вопросу выпускают компании даже изначально далекие от защиты информации (например, ЗАО «1С»). 

Совет: не тратьте деньги фирмы на приобретение специализированных учебников, потому что всю необходимую информацию о точках зрения специалистов и неспециалистов можно найти в свободном доступе на различных форумах. А лучше изучайте законодательство, при проверке со стороны регуляторов ссылки на понравившиеся посты с форума будут доказательством менее весомым, чем статья в законе :-)

Теперь о том, почему Вы можете ко мне прислушаться:

1. Защитой персональных данных на практике я занимаюсь с лета 2009 года, многие кто сейчас дает  советы по персоналке, имеют опыт поменьше и даже не видели ДСПшное четверокнижие :-)
2. В вечном споре лицензиатов и владельцев ИСПДн понимаю обе стороны, так как раньше работала в органе по аттестации, а теперь в одной из компаний нефтегазовой отрасли. Удивительно, кстати говоря, как меняется мировоззрение человека на вопросы защиты персональных данных в зависимости от того, оказывает ли он платные услуги по внедрению систем защиты. Появилась мечта увидеть в своем почтовом ящике коммерческое предложение по услугам – «сто АРМ за сто рублей», раньше это было моим кошмаром:-) 

Совет: рассылайте множество запросов на коммерческие предложения в разные города, цены устанавливаются, исходя из жадности лицензиата, и иногда командировочные обходятся дешевле местных. Также обязательно уточняйте, что рассматриваете несколько вариантов, дабы не попасть в графу «те, кому деваться некуда, готовы заплатить сколько скажем» :-)

Можно, конечно же, перечислять другие заслуги, но хвалить себя нехорошо (а еще я аспирант, ну теперь все :-)), поэтому перейдем наконец-то к плану по защите персональных данных.

Основные этапы работ следующие:

1. Разработка формы согласия на обработку ПДн.
2. Получение согласия на обработку ПДн.
3. Определение класса и состава ИСПДн.
4. Подготовка приказа о создании комиссии по классификации ИСПДн.
5. Подготовка актов о классификации ИСПДн.
6. Утверждение актов о классификации ИСПДн.
7. Подготовка перечня общедоступных данных и введение его в действие приказом.
8. Подготовка и согласование приказа о назначении лиц, ответственных обеспечение режима обработки ПДн.
9. Ознакомление сотрудников, участвующих в обработке ПДн с положениями и инструкциями.
10. Подготовка и согласование приказа о введении режима обработки ПДн.
11. Разработка и утверждение актов декларирования соответствия ИСПДн требованиям безопасности информации.
12. Разработка моделей угроз безопасности ПДн по требования ФСТЭК и ФСБ.
13. Утверждение моделей угроз безопасности ПДн.
14. Разработка частного технического задания на систему защиты.
15. Утверждение частных технических заданий.
16. Работа с подрядчиком по поставке, установке и настройке средств защиты.
17. Разработка и утверждение нормативной документации.

 

Этапы можно менять местами, что-то делать одновременно, например, пока лицензиат настраивает систему защиты, Вы разрабатываете документы.

 Совет: Сбор согласий и утверждение положений об обработке и защите персональных данных желательно делать как можно раньше. Роскомнадзор в основном волнуют листочки согласия (Регламент проверок, пункт 64.1), а Положение поможет в случае возникновения инциндентов. Так как работы по созданию комплексной системы защиты затягиваются на многие месяцы, в этот период есть вероятность, что кто-то случайно или преднамеренно будет способствовать утечке персональных данных. Утвержденное положение с листом ознакомления всех сотрудников поможет Вам в нелегком деле служебных расследований:-)

Резюме: Общий план мероприятий готов, подавать начальству с подписями ответственных лиц и указанными сроками.