Пакет организационно-распорядительных документов по защите персональных данных

уже сделано для вас

готовые пакеты документов - 3900 руб.

Все готовые пакеты содержат обезличенные документы, созданные для реальных заказчиков.

Соответствие требованиям нормативных актов:

1. Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

2. Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

3. Постановление от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

4. Приказ ФСТЭК №21 от 18 февраля 2013 года «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

5. Приказ ФСТЭК №17 от 11.02.2013 года «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;

6. Постановление Правительства от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О Персональных данных»;

7. Постановление Правительства от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации»;
8. 
Приказ ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну";
9. 
Приказ ФСБ Российской Федерации от 10 июля 2014 г. N 378 г. Москва "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".

Список документов по ПДн

1. Приказ об организации работ по защите персональных данных.
2. План мероприятий по обеспечению защиты персональных данных.
3. Акт обследования информационной системы.
4. Приказ об утверждении контролируемых зон.
5. Перечень ИСПДн.
7. Перечень персональных данных.
8. Акты определения уровня защищенности ИСПДн
9. Требования по обеспечению безопасности ПДн.
10. Заключение об оценке вреда субъектам ПДн.
11. Модель угроз.
12. Положение о защите ПДн (общее, работников, граждан).
13. Политика в отношении обработки ПДн.
14. Приказ о списке лиц, допущенных к ПДн.
15. Приказы о назначении ответственных.
16. Инструкция ответственного за обеспечение безопасности ПДн в информационных системах.
17. Инструкция ответственного за организацию обработки ПДн.
18. Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств.
19. Инструкция по организации антивирусной защиты в информационной системе персональных данных.
20. Инструкция по организации парольной защиты.
21. Инструкция по созданию копий.
22. Инструкция пользователя ИСПДн.
23. Инструкция администратора защиты.
24. Приказ об обеспечении безопасности (Положение об организации и проведении работ по обеспечению безопасности персональных данных).
25. Матрица доступа.
26. Приказ и положение об учете обращений.
27. Приказ об утверждении форм актов уничтожения бумажных носителей с ПД.
28. Приказ об утверждении мест хранения материальных носителей.
29. Приказ о списке должностей, допущенных до работы с ПД.
30. Положение о порядке обработки ПДн без использования средств автоматизации.
31. Положение по работе с инцидентами ИБ.
32. Уведомление в РКН об обработке ПДн
33. Журналы

список документов по скзи

1. Приказ о назначении лица, ответственного за эксплуатацию СКЗИ в организации, его инструкция.
2. Приказы о назначении ответственных пользователей для работы с СКЗИ.
3. Лицевые счета на пользователей СКЗИ.
4. Программа обучения пользователей для работы с СКЗИ.
5. Протокол приема зачета пользователей.
6. Заключение о готовности пользователей к самостоятельной работе с СКЗИ.
7. Перечень защищаемых помещений и ответственных за них.
8. Перечень лиц, имеющих право доступа в защищаемые помещения.
9. Правила доступа в помещения, в которых эксплуатируются или хранятся СКЗИ, ключевые экземпляры и носители СКЗИ в рабочее, нерабочее время и выходные дни.
10. Инструкция по допуску лиц в помещения, где ведется эксплуатация СКЗИ.
11. Инструкция пользователя СКЗИ.
12. Журнал учета СКЗИ
13. Журнал учета ознакомления пользователей СКЗИ с регламентирующими документами.
14. Заключение о возможности эксплуатации СКЗИ.
15. Общий регламент для персонала - с чем кого когда ознакомить, начиная от приема на работу, и что когда делать администратору защиты.

Разработка включает в себя:

- аудит имеющейся документации;

- получение данных об информационных системах;

- пояснения - какие документы и зачем нужны, на что обратить внимание и что делать;

- рекомендации по технической защите;

- подготовку необходимых документов;

- комментарии по дальнейшим действиям;

- помощь в подаче уведомления в Роскомнадзор;

- ответы на вопросы, пока документы не будут приняты.

А также:

- актуализация документов по запросу в течение следующих 3-х лет;

- помощь при прохождении проверки Роскомнадзора (пишу ответные письма, пояснительные записки, консультирую, какие копии куда и зачем прикладывать) - по запросу в течение года бесплатно.

Image description

информация

Периодический аудит и актуализация документов

Законодательство в сфере персональных данных время от времени меняется, принимаются новые регламентирующие документы ФСТЭК, поправки и пояснения к существующим. Также постоянно накапливается опыт проверок Роскомнадзора, запросы которого к операторам в различных регионах пока еще различаются, и требуют различных подтверждающих документов.

И, конечно же, внутри самой организации происходят кадровые перестановки, появляются новые работники, добавляются информационные системы или меняется оборудование.

В соответствии с этим для поддержания документов и ситуации с персональными данными в организации в актуальном состоянии, рекомендуется проводить периодический аудит хотя бы раз в год.

Аудит предполагает обследование вновь введенных в эксплуатацию информационных систем, актуализацию перечня персональных данных и корректировку базового набора мер обеспечения безопасности в зависимости от уровня защищенности введенной в эксплуатацию информационной системы и др.

Также актуализируются все приказы, проверяется исполнение инструкций, порядок получения ПД (берутся ли согласия), ведение журналов, осуществление периодических действий в соответствии с Планом мероприятий по защите ПД в организации .

В результате аудита разрабатываются недостающие документы, актуализируются имеющиеся в наличии, проводится инструктаж для новых сотрудников, если не был проведен. Если аудит проводится комиссией, то подписывается протокол заседания комиссии. Если аудит проводила привлеченная организация, то подписывается акт обследования и акт выполнения работ.

Модель угроз из шаблона документов. Что в ней?

В Модели угроз рассматривается, как реализованы в организации:

- требования к установленному уровню защищенности ИСПДн, предусмотренные Постановлением Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" для каждой ИСПДн;

- базовый набор мер для установленного уровня защищенности ИСПДн, предусмотренный Приказом ФСТЭК №21 от 18 февраля 2013 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» для каждой ИСПДн.

Далее в Модели угроз в соответствии с «Методикой определения актуальных угроз безопасности персональных данных при обработке в информационной системе персональных данных», утвержденной 14 февраля 2008 года для каждой ИСПДн определяется:

- степень исходной защищенности;

- перечень угроз (209 штук), которые берутся из Банка данных угроз безопасности информации ФСТЭК (http://bdu.fstec.ru/), которые потенциально могут иметь отношение к данной организации.

Для каждой ИСПДн определяется вероятная частота реализации каждой угрозы, показатель опасности угрозы, проводится анализ реализованных мер защиты и, в итоге, выводится актуальность угроз.

ПОМОЩЬ ПРИ ПРОХОЖДЕНИИ ПРОВЕРКИ РОСКОМНАДЗОРА

Как выглядит?

Вы присылаете скан письма РКН и сканы имеющейся у вас сейчас организационно-распорядительной документации (ОРД) по защите персональных данных (ПДн).

Мы делаем аудит, рассказываем ситуацию, в чем могут быть замечания, делаем недостающие документы.

По каждому пункту запроса РКН даем комментарии и рассказываем, копии каких документов нужно приложить по каждому пункту.

Пишем пояснительную записку для РКН по ИСПДн (информационным системам персональных данных), с описанием выполнения требований законодательства и применяемых мерах, со ссылками на ОРД.

Говорим, что нужно срочно-срочно исправить, чтобы избежать или уменьшить штраф, если ошибки уже были допущены в прошлом, и совсем все плохо. Или что лучше совсем скрыть и как правильно это сделать.

Чаще всего проблемы при проверках возникают от незнания того, как все должно быть и для чего, и где искать ответ на тот или иной вопрос проверяющего. Это когда вся ОРД в порядке, но никто ее не читал и не исполнял. Тут как раз нужно быстро изучить тему и разобраться в самом основном, что нужно знать, чтобы понимать, где, что и зачем, и что говорить проверяющему.

Наша пояснительная записка сильно упрощает дело и вам, и РКН, и в ней можно описать моменты законодательства, запрошенные проверяющим, которые не имеют к вам отношения, или не имеют больше нигде подтверждения, но ответ по ним дать нужно.

В общем, когда вы ждете проверку и не знаете, что и как у вас с ПДн, сменился человек, который был в теме, или давно не актуализировали документы и не собирали согласия, то наша помощь придется весьма кстати.

Делаем быстро, за 1-2 дня. Стоимость в зависимости от объема работы, от 10 000 руб.

Контакты

Адрес

г. Курган, ул. К.Мяготина, 74-38

Телефон

+7-961-7500-977

Email

it45@it45.ru