Этапы работ по защите персональных данных

Обязательные (в том числе предварительные) этапы работ по защите персональных данных:

• Определить все ситуации, когда требуется проводить обработку персональных данных (ПДн).
• Выделить бизнес-процессы, в которых обрабатываются персональные данные.
• Выбрать ограниченное число бизнес-процессов для проведения аналитики. На этом этапе формируется перечень подразделений и сотрудников компании, участвующих в обработке ПДн в рамках своей служебной деятельности.
• Определить круг информационных систем и совокупность обрабатываемых ПДн.
• Провести категорирование ПДн и предварительную классификацию информационных систем (ИС).
• Выработать меры по снижению категорий обрабатываемых ПДн.
• Сформировать актуальную модель угроз для каждой информационной системы обработки персональных данных (ИСПДн).
• Подготовить техническое задание (ТЗ) по созданию требуемой системы защиты.
• Провести уточнение классов ИС, с последующей подготовкой рекомендаций по использованию технических средств защиты ПДн.
• Подать уведомление о начале обработки персональных данных в Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) для регистрации в качестве оператора ПДн.
• Отправить заявку на получение экземпляров руководящих документов ФСТЭК России по организации системы защиты.
• Разработать требования для конкретной ИСПДн, с учетом присвоенного класса защиты.
• Подготовить технический проект по защите ИСПДн и помещений.
• Разработать пакет организационно-распорядительных документов для СЗПДн (положения, приказы, инструкции, регламенты);
• Спроектировать и внедрить систему защиты персональных данных (СЗПДн);
• Взять согласия на обработку ПДн с субъектов персональных данных;
• Проводить контрольные мероприятия по выявлению нарушений защиты персональных данных.

Проверить при трансграничной передаче находится ли получатель персональных данных в стране, где осуществляется надлежащая защита персональных данных.

Ведомством, которое уполномочено контролировать соблюдение режима персональных данных, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (сокращенно — Роскомнадзор). Однако права налагать и взыскивать штрафы у этой организации нет. Все материалы по тем проверкам, где обнаружены нарушения, Роскомнадзор передает в прокуратуру. Прокурор уполномочен принимать решения о возбуждении производства по административному правонарушению (п. 1 ст. 28.4КоАП РФ). Вопрос же о наложении штрафов решается судьей (п. 1 ст. 23.1 КоАП РФ).

Правовая база:

Требования к защите персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 1 ноября 2012 г. N 1119)

Приказ ФСБ РФ № 378 вступает в силу с 28 сентября 2014 г.