Что нужно делать?

  1. В первую очередь, руководителю организации необходимо ознакомиться с законодательством и провести консультации с юристами и представителями организаций, специализирующихся в области защиты информации. Принять решение о начале проекта и назначить ответственных лиц.
  2. Провести аудит (инвентаризацию информационных систем), который должен ответить на следующие вопросы:
    • Перечень информационных систем, обрабатывающих персональные данные на предприятии.
    • ценка законности обработки персональных данных и наличия согласий субъектов на такую обработку.
    • Определение предельных сроков и условий прекращения обработки персональных данных.
  3. Сформировать перечень персональных данных.
  4. Провести классификацию информационных систем персональных данных.
  5. Документально регламентировать работу с персональными данными. Разработать организационно-распорядительные документы по защите персональных данных. Получить согласие субъектов на обработку ПДн и, при необходимости, заключить договоры на обработку персональных данных с взаимодействующими организациями.
  6. Определить актуальные угрозы безопасности персональным данным и сформировать модель угроз.
  7. Уточнить класс специальных информационных систем персональных данных по результатам оценки актуальных угроз.
  8. Привести систему защиты персональных данных в соответствие с требованиями нормативно-правовых актов и регулирующих органов — ФСБ и ФСТЭК России. Установить необходимые средства защиты информации (антивирусной защиты, шифрования, защиты от несанкционированного доступа, защиты при межсетевом взаимодействии, защиты от утечки конфиденциальной информации и т. д.).
  9. Обучить лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними.
  10. Лицензировать деятельность по технической защите конфиденциальной информации (при необходимости проведения работ силами предприятия).
  11. Аттестовать информационную систему персональных данных по требованиям безопасности информации (для ИСПДн 1, 2 и 3 классов).
  12. Уведомить Роскомнадзор — уполномоченный орган по защите персональных данных об обработке персональных данных в установленных законодательством случаях.
  13. Организовать эксплуатацию, мониторинг и реагирование на угрозы информационной системы персональных данных в соответствии с требованиями по безопасности.


все статьи