Разработка комплекта организационно-распорядительной документации для ИСПДн

№.

п.п.

Наименование организационно-распорядительного Документа.

Содержание документа.

Приказ об организации работ по обеспечению безопасности персональных данных при их обработке в ИСПДн.

• — организационная структура системы обеспечения безопасности ПДн;
• — назначение и обязанности ответственного за организацию обработки персональных данных в ИСПДн;
• — назначение и обязанности администратора безопасности информации в ИСПДн;
• — назначение и обязанности ответственных за эксплуатацию ИСПДн;
• — назначение и обязанности ответственного за резервирование и восстановление баз ПДн;
• — обязательство о неразглашении информации, содержащей персональные данные;
• — утверждение списка сотрудников, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения должностных обязанностей;
• — учет лиц, допущенных к работе с ПДн;
• — организация парольной защиты в ИСПДн;
• — организация антивирусной защиты в ИСПДн;
• — порядок работы пользователей ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн;
• — порядок проверки электронного журнала обращений к ИСПДн;
• — использование средств защиты информации в ИСПДн;
• — заявление-согласие сотрудника, обрабатывающего ПДн без использования средств автоматизации;
• — утверждение списка сотрудников, обрабатывающих данные без использования средств автоматизации;
• — инструкция сотруднику, ведущему обработку ПДн без использования средств автоматизации.

Положение об обработке и защите ПДн.

• — порядок сбора, хранения, передачи и любого другого использования ПДн;
• — общие требования при обработке ПДн;
• — права и обязанности субъектов ПДн и оператора;
• — ответственность за нарушение норм, регулирующих обработку и защиту ПДн;
• — заявление-согласие субъекта на обработку его ПДн;
• — заявление-согласие субъекта на обработку ПДн подопечного;
• — отзыв согласия на обработку ПДн;
• — заявление-согласие субъекта на получение его ПДн у третей стороны;
• — заявление-согласие субъекта на передачу его ПДн третьей стороне.

План мероприятий по защите ПДн.

список мероприятий по защите персональных данных, сроки их выполнения и ответственных по контролю за выполнением этих мероприятий.

Приказ о постоянно действующей комиссии по классификации ИСПДн.

• — утверждение состава постоянно действующей комиссии по классификации ИСПДн;
• — протокол заседания постоянно действующей комиссии по классификации ИСПДн.

Приказ о проведении внутренней проверки условий обработки ПДн.

Разрабатывается на основании пункта 1 Постановления Правительства Российской Федерации от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом „О персональных данных“ и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», пункта 2 статьи 19 Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных».

Частная модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных.

• — модель нарушителя;
• — уровень исходной защищенности ИСПДн;
• — актуальные угрозы безопасности ИСПДн.

В соответствии с нормативными документами ФСТЭК России и ФСБ России.

Акт классификации ИСПДн.

разрабатывается в соответствии с Приказом № 55/86/20 ФСТЭК, ФСБ, Мининформсвязи от 13 февраля 2008 г., который утверждает «Порядок проведения классификации информационных систем персональных данных».

Приказ об утверждении перечня конфиденциальной информации.

разрабатывается на основании пункта 3 перечня сведений конфиденциального характера, утверждённого Указом Президента Российской Федерации от 06.03.1997 № 188, главой 14 Трудового кодекса Российской Федерации и федеральными законами.

Приказ об утверждении перечня ПДн.

разрабатывается на пункта 1 перечня сведений конфиденциального характера, утверждённого Указом Президента Российской Федерации от 06.03.1997 № 188 и пункта 1 статьи 3 Федерального закона «О персональных данных» от 27.07.2006 № 152.

Приказ об утверждении перечня ИСПДн.

разрабатывается в целях выполнения требований постановления Правительства РФ от 01 ноября 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Приказ об установлении границ контролируемой зоны.

схема объекта информатизации с указанием границ контролируемой зоны.

Приказ об утверждении перечня автоматизированных рабочих мест, общесистемного и прикладного программного обеспечения.

Разрабатывается в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», «Порядком проведения классификации информационных систем персональных данных», утвержденным ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 № 55/86/20.

Требования по обеспечению безопасности ПДн при их обработке в ИСПДн.

разрабатывается на основании приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» и частной модели угроз ИСПДн.

Приказ об утверждении перечня информационных ресурсов, подлежащих защите в ИСПДн.

Разрабатывается в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», постановлением Правительства Российской федерации от 1 ноября 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», с целью определения информационных ресурсов используемых на автоматизированных рабочих местах и в ИСПДн.

Приказ об утверждении матриц доступа к информационным ресурсам и объектам доступа в ИСПДн.

разрабатывается в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

Описание технологического процесса обработки информации в ИСПДн.

• — описание объектов и субъектов доступа, средств обработки и передачи персональных данных;
• — схема технологического процесса с привязкой к конкретным средствам обработки и передачи информации и пользователями ИСПДн.

Приказ о вводе в эксплуатацию автоматизированного рабочего места.

разрабатывается в целях обеспечения защиты информации и режима безопасности проводимых работ и в соответствии с требованиями руководящих документов ФСТЭК России по защите информации, содержащей персональные данные.

Технический паспорт на ИСПДн.

описание состава и схем размещения оборудования информационных систем.

Инструкция о пропускном и внутриобъектовом режимах.

порядок охраны и допуска посторонних лиц в защищаемые помещения.

Инструкция по обработке запросов субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных.

• — регулирование отношений, возникающих при выполнении оператором обязательств согласно требованиям статей 14, 20 и 21 Федерального закона «О персональных данных» 152-ФЗ от 27 июля 2006 года;
• — сводная таблица действий в ответ на запросы по ПДн;
• — форма запроса субъекта ПДн о наличии и ознакомлении с ПДн;
• — форма запроса субъекта ПДн на уточнение ПДн;
• — форма запроса субъекта ПДн на уничтожение ПДн;
• — форма запроса субъекта ПДн с отзывом согласия на обработку ПДн;
• — форма ответа назапроса субъекта ПДн о наличии и ознакомлении с ПДн;
• — форма ответа назапроса субъекта ПДн на уточнение ПДн;
• — форма ответа на запрос субъекта персональных данных на уничтожение ПДн;
• — форма ответа на запрос субъекта персональных данных отзывом согласия на обработку ПДн;
• — форма уведомления субъекта ПДн, его законного представителя или уполномоченного органа по защите прав субъектов ПДн при выявлении недостоверности ПДн;
• — форма уведомления субъекта ПДн, его законного представителя или уполномоченного органа по защите прав субъектов ПДн при выявлении неправомернсоти действий с ПДн.

Журналы.

• — журнал антивирусных проверок автоматизированных систем;
• — журнал периодического тестирования средств защиты информации;
• — журнал учета журналов;
• -журнал поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов;
• — журнал учета лиц, допущенных к работе с персональными данными в ИСПДн;
• — журнал учета машинных носителей информации (установленных в ПЭВМ), использующихся в ИСПДн для обработки, хранения, транспортировки информации;
• — журнал учета машинных носителей информации (отчуждаемых), использующихся в ИСПДн для обработки, хранения, транспортировки информации;
• — журнал учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн;
• — журнал учета передачи ПДн;
• — журнал учета проверок электронных журналов обращений к ИСПДн;
• — журнал учета средств защиты информации, эксплуатационной и технической документации к ним;
• — журнал учета хранилищ;
• — учетная карточка резервного носителя ПДн.