В статье обсудим, какие документы должны быть у оператора персональных данных и какими требованиями обусловлено их наличие. Речь пойдет только о внутренних организационно-распорядительных документах (ОРД) по защите информации (152-ФЗ и приказ ФСТЭК № 17).
Кратко: чего требует закон № 152-ФЗ?
Согласно второй статьи 19 закона № 152-ФЗ «О персональных данных», чтобы обеспечить безопасность персональных данных, необходимо:
- Определить угрозы безопасности.
- Применить организационные и технические меры по обеспечению безопасности.
- Применить средств защиты информации, прошедшие в установленном порядке процедуру оценки соответствия.
- Оценить эффективность принимаемых мер по обеспечению безопасности персональных данных (до ввода в эксплуатацию информационной системы персональных данных).
- Провести учет машинных носителей персональных данных.
- Обнаружить факты несанкционированного доступа к персональным данным и принять меры.
Более подробно меры по обеспечению безопасности информации описаны в приказе ФСТЭК № 21 от 23 марта 2017 г., а также в методическом документе «Меры защиты информации в государственных информационных системах».
Перечень обязательных документов
- Инструкция администратора информационной безопасности
- Инструкция пользователей системы персональных данных
- Инструкция осуществления антивирусного контроля в информационной системе персональных данных
- Инструкция по организации парольной защиты персональных данных и перечне мероприятий по защите персональных данных
- Приказ об утверждении мест хранения персональных данных и мест обработки ПД
- Приказ о перечне лиц, допущенных к обработке персональных данных
- Приказ о назначении лиц, ответственных за организацию обработки персональных данных
- Приказ о назначении комиссии по уничтожению персональных данных
- Приказ о вводе в действие системы персональных данных
- Журнал учета носителей информации для системы персональных данных
- Журнал учета мероприятий по контролю обеспечения защиты персональных данных
- Журнал периодической проверки и тестирования средств защиты информации
- Журнал учета обращений лиц — субъектов персональных данных о соблюдении их законных прав
- Журнал учета средств защиты информации
- Журнал проведения инструктажа по информационной безопасности
- Правила обработки персональных данных без использования средств автоматизации
- Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации
- Положение о разграничении прав доступа к обрабатываемым персональным данным
- Форма акта классификации информационной системы персональных данных
- Форма акта уничтожения документов, содержащих персональные данные соглашение о неразглашении персональных данных
- Положение об обработке и защите персональных данных
- План мероприятий по обеспечению безопасности персональных данных
- План внутренних проверок режима защиты персональных данных
- Листы ознакомления с вышеуказанными документами с подписями лиц, которых данный документ касается.
Список немаленький, и его можно долго продолжать. Однако все не так страшно, как может показаться на первый взгляд. Вы можете обратиться за помощью в подготовке документации по 152-ФЗ в компанию «ГЭНДАЛЬФ».
Подготовим за вас все, что нужно по 152-ФЗ!
«ГЭНДАЛЬФ» предлагает вам услугу по разработке организационно-распорядительной документации с учетом специфики вашей организации. Кроме этого, у нас вы можете приобрести средства защиты информации, сертифицированные ФСТЭК.
Сэкономьте время для решения более приоритетных задач!
Что будет, если не выполнить требования?
Штраф за несоблюдение требований закона может составить до 75 000 руб. Рассмотрим, за что и в каком объеме штрафуют.
- Не разместили на сайте политику конфиденциальности?
Физлица (в том числе индивидуальные предприниматели) могут быть привлечены к ответственности в виде штрафа в размере 10 000 руб., а организации — до 30 000 руб.
- Обрабатываете личные данные без разрешения клиента?
Штраф на фирму составит до 75 000 руб.
Для физлица, директора организации или индивидуального предпринимателя — до 20 000 руб.
Будьте уверены в выполнении 152-ФЗ с «ГЭНДАЛЬФ»!
Для вашей организации мы можем произвести:
- Аудит системы защиты персональных данных
- Разработку организационно-распорядительной документации
- Создание системы защиты информации Поставку средств защиты информации
- Поставку средств защиты информации
- Аттестацию информационных систем
Закажите услугу по защите персональных данных, заполнив форму ниже.
У вас возник вопрос?
Получите бесплатную консультацию специалиста на сайте.
