Этапы работ по защите персональных данных

Обязательные (в том числе предварительные) этапы работ по защите персональных данных:

  • Определить все ситуации, когда требуется проводить обработку персональных данных (ПДн).
  • Выделить бизнес-процессы, в которых обрабатываются персональные данные.
  • Выбрать ограниченное число бизнес-процессов для проведения аналитики. На этом этапе формируется перечень подразделений и сотрудников компании, участвующих в обработке ПДн в рамках своей служебной деятельности.
  • Определить круг информационных систем и совокупность обрабатываемых ПДн.
  • Провести категорирование ПДн и предварительную классификацию информационных систем (ИС).
  • Выработать меры по снижению категорий обрабатываемых ПДн.
  • Сформировать актуальную модель угроз для каждой информационной системы обработки персональных данных (ИСПДн).
  • Подготовить техническое задание (ТЗ) по созданию требуемой системы защиты.
  • Провести уточнение классов ИС, с последующей подготовкой рекомендаций по использованию технических средств защиты ПДн.
  • Подать уведомление о начале обработки персональных данных в Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) для регистрации в качестве оператора ПДн.
  • Отправить заявку на получение экземпляров руководящих документов ФСТЭК России по организации системы защиты.
  • Разработать требования для конкретной ИСПДн, с учетом присвоенного класса защиты.
  • Подготовить технический проект по защите ИСПДн и помещений.
  • Разработать пакет организационно-распорядительных документов для СЗПДн (положения, приказы, инструкции, регламенты);
  • Спроектировать и внедрить систему защиты персональных данных (СЗПДн);
  • Взять согласия на обработку ПДн с субъектов персональных данных;
  • Проводить контрольные мероприятия по выявлению нарушений защиты персональных данных.

Проверить при трансграничной передаче находится ли получатель персональных данных в стране, где осуществляется надлежащая защита персональных данных.

Ведомством, которое уполномочено контролировать соблюдение режима персональных данных, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (сокращенно — Роскомнадзор). Однако права налагать и взыскивать штрафы у этой организации нет. Все материалы по тем проверкам, где обнаружены нарушения, Роскомнадзор передает в прокуратуру. Прокурор уполномочен принимать решения о возбуждении производства по административному правонарушению (п. 1 ст. 28.4КоАП РФ). Вопрос же о наложении штрафов решается судьей (п. 1 ст. 23.1 КоАП РФ).

Правовая база:

Требования к защите персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 1 ноября 2012 г. N 1119)

Приказ ФСБ РФ № 378 вступает в силу с 28 сентября 2014 г.

 

Этапы защиты персональных данных