Подготовил перечень документов для обеспечения защиты персональных данных в специальной(ых) ИСПДн без использования СКЗИ. Перечень делал на основании еще действующих подзаконников с учетом предельной полноты. Считаю, что комплект документов должен быть разработан подробно и в объеме, достаточном для ознакомления и полного понимания системы защиты информации сторонним специалистом, допущенным к этим документам. Ряд документов в перечне присутствует опционально, в зависимости от самой ИСПДн.
name='more'>
1. Приказ о назначении ответственного лица за организацию обработки персональных данных.
вкл. ответственных за техническое обеспечение ИСПДн;
вкл. ответственных за техническую защиту ПДн в ИСПДн.
2.1. Приказ об обследовании ИСПДн на предприятии.
2.2. Отчет об обследовании ИСПДн на предприятии.
3. План мероприятий по приведению ИСПДн предприятия в соответствие с требованиями 152-ФЗ.
4.1. Перечень информации конфиденциального характера на предприятии.
4.2. Перечень ПДн, обрабатываемых в ИСПДн предприятия.
5. Схема контролируемых зон ИСПДн предприятия.
6.1. Положение по обработке персональных данных на предприятии.
вкл. обоснование законности обработки;
вкл. журнал обращений субъектов ПДн;
вкл. форму согласия субъекта на обработку ПДн;
вкл. форму признания субъекта об общедоступности ПДн;
вкл. порядок учета сменных носителей ПДн;
вкл. определение мест хранения материальных носителей ПДн.
6.2. Приказ о вводе Положения по обработке персональных данных.
7. Модель угроз безопасности персональных данных в ИСПДн предприятия.
8.1. Приказ о назначении комиссии по классификации ИСПДн.
8.2. Акты классификации ИСПДн предприятия.
9.0. Утверждение списка должностей осуществляющих:
9.1. техническое обслуживание СВТ, входящих в ИСПДн;
9.2. администрирование ИСПДн;
9.3. администрирование СЗПДн;
9.4. обработку ПДн.
10. Внесение изменений в должностные инструкции сотрудников, связанных с работами в ИСПДн (по п. 9).
11. Описание технологического процесса обработки ПДн в ИСПДн.
вкл. типовые формы ввода ПДн в ИСПДн.
12.1. Положение по обеспечению безопасности персональных данных
вкл. запрет на ведение переговоров с использованием ПДн;
вкл. порядок получения доступа к ИСПДн;
вкл. действия по защите ИСПДн при аварийных и чрезвычайных ситуациях;
вкл. электронный журнал регистрации обращений в ИСПДн;
вкл. журнал учета НСД к ПДн;
вкл. требования парольной политики;
вкл. требования по антивирусной защите;
вкл. требования по работе в сети "Интернет".
12.2. Приказ о вводе Положения по обеспечению безопасности персональных данных.
13.1. Инструкции пользователям ИСПДн.
13.2. Приказ о вводе Инструкций пользователям ИСПДн.
14.1. Инструкция администратору ИСПДн.
вкл. требования по резервному копированию БД ИСПДн.
14.2. Приказ о вводе Инструкции администратору ИСПДн.
15.1. Инструкция администратору СЗПДн.
15.2. Приказ о вводе Инструкции администратору СЗПДн.
16.0. Регламент доступа к информационным ресурсам ИСПДн, а именно:
16.1. Перечень информационных ресурсов ИСПДн.
16.2. Матрицу доступа к информационным ресурсам ИСПДн.
17. Технические паспорта ИСПДн.
18. Техническое задание на создание СЗПДн.
19. Технический проект СЗПДн.
20. Заключение о готовности СЗИ к использованию для защиты ПДн в ИСПДн предприятия.
21. Акт ввода СЗПДн.
22. Перечень СЗИ, используемых для защиты ПДн в ИСПДн предприятия.
23. Акт соответствия принятых мер в соответствии с 152-ФЗ.
24. План мероприятий по контролю исполнения требований по защите персональных данных на предприятии.
25.1. Политика в отношении обработки персональных данных.
вкл. оценку вреда субъектам в случае нарушения принятой политики;
вкл. официальную общедоступную публикацию.
25.2. Приказ о вводе Политики в отношении обработки персональных данных.
26. Уведомление об обработке персональных данных.
name='more'>
1. Приказ о назначении ответственного лица за организацию обработки персональных данных.
вкл. ответственных за техническое обеспечение ИСПДн;
вкл. ответственных за техническую защиту ПДн в ИСПДн.
2.1. Приказ об обследовании ИСПДн на предприятии.
2.2. Отчет об обследовании ИСПДн на предприятии.
3. План мероприятий по приведению ИСПДн предприятия в соответствие с требованиями 152-ФЗ.
4.1. Перечень информации конфиденциального характера на предприятии.
4.2. Перечень ПДн, обрабатываемых в ИСПДн предприятия.
5. Схема контролируемых зон ИСПДн предприятия.
6.1. Положение по обработке персональных данных на предприятии.
вкл. обоснование законности обработки;
вкл. журнал обращений субъектов ПДн;
вкл. форму согласия субъекта на обработку ПДн;
вкл. форму признания субъекта об общедоступности ПДн;
вкл. порядок учета сменных носителей ПДн;
вкл. определение мест хранения материальных носителей ПДн.
6.2. Приказ о вводе Положения по обработке персональных данных.
7. Модель угроз безопасности персональных данных в ИСПДн предприятия.
8.1. Приказ о назначении комиссии по классификации ИСПДн.
8.2. Акты классификации ИСПДн предприятия.
9.0. Утверждение списка должностей осуществляющих:
9.1. техническое обслуживание СВТ, входящих в ИСПДн;
9.2. администрирование ИСПДн;
9.3. администрирование СЗПДн;
9.4. обработку ПДн.
10. Внесение изменений в должностные инструкции сотрудников, связанных с работами в ИСПДн (по п. 9).
11. Описание технологического процесса обработки ПДн в ИСПДн.
вкл. типовые формы ввода ПДн в ИСПДн.
12.1. Положение по обеспечению безопасности персональных данных
вкл. запрет на ведение переговоров с использованием ПДн;
вкл. порядок получения доступа к ИСПДн;
вкл. действия по защите ИСПДн при аварийных и чрезвычайных ситуациях;
вкл. электронный журнал регистрации обращений в ИСПДн;
вкл. журнал учета НСД к ПДн;
вкл. требования парольной политики;
вкл. требования по антивирусной защите;
вкл. требования по работе в сети "Интернет".
12.2. Приказ о вводе Положения по обеспечению безопасности персональных данных.
13.1. Инструкции пользователям ИСПДн.
13.2. Приказ о вводе Инструкций пользователям ИСПДн.
14.1. Инструкция администратору ИСПДн.
вкл. требования по резервному копированию БД ИСПДн.
14.2. Приказ о вводе Инструкции администратору ИСПДн.
15.1. Инструкция администратору СЗПДн.
15.2. Приказ о вводе Инструкции администратору СЗПДн.
16.0. Регламент доступа к информационным ресурсам ИСПДн, а именно:
16.1. Перечень информационных ресурсов ИСПДн.
16.2. Матрицу доступа к информационным ресурсам ИСПДн.
17. Технические паспорта ИСПДн.
18. Техническое задание на создание СЗПДн.
19. Технический проект СЗПДн.
20. Заключение о готовности СЗИ к использованию для защиты ПДн в ИСПДн предприятия.
21. Акт ввода СЗПДн.
22. Перечень СЗИ, используемых для защиты ПДн в ИСПДн предприятия.
23. Акт соответствия принятых мер в соответствии с 152-ФЗ.
24. План мероприятий по контролю исполнения требований по защите персональных данных на предприятии.
25.1. Политика в отношении обработки персональных данных.
вкл. оценку вреда субъектам в случае нарушения принятой политики;
вкл. официальную общедоступную публикацию.
25.2. Приказ о вводе Политики в отношении обработки персональных данных.
26. Уведомление об обработке персональных данных.