Как выполнить требования регуляторов

Работы по приведению ИСПДн в соответствие закону, можно разделить на следующие этапы:

  • Комплексное обследование;
  • Классификация ИСПДн;
  • Разработка модели угроз;
  • Разработка ТЗ на создание/модернизацию системы защиты ПДн;
  • Техническое проектирование;
  • Разработка организационно-распорядительной документации;
  • Внедрение/модернизация системы защиты ПДн.
  • Наибольший объем работ ложится на этап разработки организационно-распорядительных документов. Он включает в себя большой объем разрабатываемой документации. Часть этой работы компания может выполнить собственными силами.

Какие документы разрабатывать?

  • Положение об обработке и защите персональных данных;
  • Инструкция о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные;
  • Приказы о возложении персональной ответственности за защиту ПДн;
  • Локальный нормативный документ (перечень), аккумулирующий информацию о персональных данных, обрабатываемых оператором (в том числе их категория, объем и сроки хранения);
  • Перечень информационных систем, обрабатывающих персональные данные;
  • Регламент допуска сотрудников к обработке персональных данных;
  • Перечень допущенных сотрудников к обработке персональных данных;
  • Должностные инструкции сотрудников, имеющих отношение к обработке ПДн.

Что необходимо определить в документах?

  • Перечень обрабатываемых данных;
  • Цель обработки и сроки хранения ПДн;
  • Перечень ИСПДн;
  • Перечень сотрудников, имеющих право доступа, вид доступа и т.п. (соответственно, внесение изменений в должностные инструкции);
  • Перечень используемого оборудования, средств защиты информации, антивирусных программ, межсетевых экранов и т.п.;
  • Порядок учета носителей информации, содержащих защищаемые данные;
  • Порядок контроля доступа лиц в помещения, наличие надежных препятствий для несанкционированного проникновения в помещения ИСПДн и хранилище носителей информации, в том числе в ночное время;
  • Сроки и порядок проведения внутренних проверок защиты ПДн.

Теперь рассмотрим полный цикл действий по реализации требований регуляторов.

Действия по реализации требований 152-ФЗ, относящихся к обработке ПДн в ИСПДн:

  • Инвентаризация всех систем, обрабатывающих ПДн
  • Оценка законности обработки ПДн и наличия согласия субъектов на обработку их персональных данных
  • Контроль и корректировка договорных отношений с субъектами
  • Формирование перечня ПДн и проведение категорирования
  • Определение сроков и условий прекращения обработки ПДн
  • Разграничение доступа пользователей к ПДн в ИСПДн
  • Формирование документов, регламентирующих работу с ПДн
  • Определение класса ИСПДн
  • Формирование модели угроз, содержащей актуальные угрозы информационной безопасности ПДн при их обработке в информационной системе
  • Оценка приемлемости результата с точки зрения расходов на создание системы защиты и выработка решений по понижению класса системы*
  • Повторять пп.4-10 до получения приемлемого результата или исчерпания возможности его улучшить.
  • Утвердить акт классификации и модель угроз
  • Подготовить и направить уведомление об обработке ПДн в уполномоченный орган по защите прав субъектов персональных данных (если не попадаете в исключения)
  • Внедрить систему защиты ПДн
  • Далее эксплуатация ИС – мониторинг, выявление и реагирование на инциденты ИБ.

При выполнении всех указанных действий, Вы получаете ИСПДн, действующую в полном соответствии с требованиями Закона №152-ФЗ «О персональных данных», и избавляйтесь от пристального внимания регулирующих органов.*