Документация по защите персональных данных

Документация по защите персональных данных
Добрый день, коллеги! Мне часто задают вопрос - какие документы нужно сделать для того, чтобы защитить персональные данные в организации. 
Начнем с Федерального закона "О персональных данных", какие документы следуют из его положений?
Порядок восстановления ПДн (пп. 7 п. 2 ст. 19 152-ФЗ). Такой документ часто требуют при проверке, но многие забывают его сделать. Это может быть часть положения о защите персональных данных;
Журнал учета действий (пп. 8 п. 2 ст. 19 152-ФЗ). Проще всего - электронный, если нужно - распечатаете;
Заключение об оценке вреда субъекту (пп. 5 п. 1 ст. 18.1 152-ФЗ). Здесь правил нет, делаете как считаете нужным;
Заключение об оценке эффективности принимаемых мер (пп. 4 п. 2 ст. 19 152-ФЗ). Нужно оценить те меры, которые приняты для защиты персональных данных: закрывают ли они актуальные угрозы;
Модель доступа к ПДн (пп. 8 п. 2 ст. 19 152-ФЗ). Полезная вещь, особенно если есть разные уровни доступа;
Модель угроз (пп. 1 п. 2 ст. 19 152-ФЗ). Если вы слушали наш совместный вебинар с Сергеем Борисовым, то знаете, что вопрос о необходимости модели угроз - спорный.;
Политика обработки персональных данных (пп. 2 п. 1 ст. 18.1 152-ФЗ). Сделайте обязательно;
Положение об обработке ПДн (пп. 2 п. 1 ст. 18.1 152-ФЗ). Сделайте обязательно;
Поручение на обработку персональных данных (п. 3, ст. 6 152-ФЗ). Понадобится, если решите передать персональные данные на обработку третьему лицу;
Порядок контроля за принимаемыми мерами безопасности (пп. 9 п. 2 ст. 19 152-ФЗ). Может быть частью положения о ПДн;
Порядок ознакомления с нормативной документацией (пп. 6 п. 1 ст. 18.1 152-ФЗ). Сделайте такой порядок и постоянно проводить ознакомление персонала, основной ошибкой является отсутствие листов ознакомления или отсутствие подписей в них;
Порядок применения правовых, организационных и технических мер по обеспечению безопасности ПДн (пп. 3 п. 1 ст. 18.1 152-ФЗ). Может быть частью положения;
Порядок реагирования на инциденты (пп. 6 п. 2 ст. 19 152-ФЗ). Может быть частью положения;
Порядок учета машинных носителей (пп. 5 п. 2 ст. 19 152-ФЗ). Лучше сделать, например, чтобы была возможность реагировать на вынос домой рабочих флешек с базами клиентов;
Приказ о назначении лица, ответственного за организацию обработки (пп. 1 п. 1 ст. 18.1 152-ФЗ). Нужно сделать;
Уведомление об обработке персональных данных (ст. 22 152-ФЗ). Скорее всего придется сделать;
Форма согласия на обработку персональных данных (ст. 9 152-ФЗ). Сделайте разные на все случаи обработки.

Теперь посмотрим Постановление Правительства РФ от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (с изменениями и дополнениями). Будьте внимательны, оно изменялось. 
Какие документы нужно сделать?
правила обработки персональных данных. Может быть частью положения;
правила рассмотрения запросов субъектов персональных данных. Также часть положения;
правила осуществления внутреннего контроля. Часть положения;
правила работы с обезличенными данными. Не знаю, стоит ли выделять в отдельный документ;
перечень информационных систем персональных данных. Стоит сделать;
перечни персональных данных. Полезный документ, высветит интересные бизнес-процессы;
перечень должностей лиц, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных. Очень важный документ;
перечень должностей лиц, замещение которых предусматривает осуществление обработки персональных данных. Стоит сделать;
должностной регламент ответственного за организацию обработки персональных данных. Сделайте обязательно, чтобы не было путаницы, кто за что отвечает;
типовое обязательство о неразглашении. Сделайте обязательно;
типовая форма согласия на обработку персональных данных. Сделайте обязательно;
порядок доступа в помещения, в которых ведется обработка персональных данных. Сделайте.

Продолжение следует...

Валентина Михайловна Валевская. Осенний натюрморт
Вступайте в группу ВК:  https://vk.com/kshudrova
Alt text

Ксения Шудрова

эксперт по информационной безопасности, аспирант Сибирского государственного аэрокосмического университета