Если вы строите "пуленепробиваемую" систему защиты персональных данных, которая выдержит любую проверку любого регулятора - то вам интересно будет взглянуть на список документов, которые требует ФСБ при контроле за обработкой ПДн.
name='more'> 1. Документы, определяющие угрозы безопасности персональных данных при их обработке, формирование на их основе модели угроз;
Тут все понятно. Нужна модель угроз. Если у вас есть СКЗИ - то модель угроз должна учитывать так же рекомендации ФСБ . Рекомендуется согласовывать МУ с лицензиатом .
2. Документы, подтверждающие разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
Таким документом может быть проект системы защиты персональных данных , если он учитывает актуальные угрозы перс.данным. Так же в роли подобного документа могут выступать протоколы аттестационных испытаний (опять же, протоколы должны учитывать актуальные угрозы и контрмеры).
3. Документы, подтверждающие готовность средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
Согласно рекомендациям ФСТЭК ЮФО , должно разрабатываться заключение о возможности эксплуатации средств защиты информации (по ссылке есть шаблон).
4. Документы, подтверждающие установку и ввод в эксплуатацию средств защиты информации в соответствие с эксплуатационной и технической документацией;
Акт ввода в эксплуатацию системы защиты персональных данных.
5. Документы подтверждающие обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
Либо сертификат о соответствующих курсах, либо отметка об ознакомлении с руководством пользователя СЗИ (СКЗИ).
6. Документы, подтверждающие учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
Либо Журнал учёта средств защиты информации из тех же рекомендаций ФСТЭК ЮФО, либо Журнал поэкземлярного учёта СКЗИ из 152 приказа ФАПСИ .
7. Документы, подтверждающие учет лиц, допущенных к работе с персональными данными в информационной системе;
Приказ о допуске к ИСПДн или любой похожий документ.
8. Документы, подтверждающие контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
Инструкция о проведении контроля и акты проверки.
9. Документы, описывающие систему защиты персональных данных.
Либо проект, либо описание системы защиты из рекомендаций ФСТЭК ЮФО.
Думаю, этот перечень поможет вам определиться с составом документов по защите перс.данных, пока требования в очередной раз не поменялись :)
