Редактирование: Услуги (раздел)

=== Алгоритм организации защиты информационных систем, обрабатывающих персональные данные === 

Рассмотрим алгоритм организации защиты информационных систем, обрабатывающих персональные данные:<br />

1. Назначение ответственного за организацию обработки персональных данных и администратора безопасности информационных систем, обрабатывающих персональные данные.<br />

Подготовить документы: Приказ о назначении ответственного за организацию обработки персональных данных и администратора безопасности информационных систем, обрабатывающих персональные данные.<br />

2. Документально регламентировать работу с персональными данными.<br />

Подготовить документы:<br />

- Политика в отношении обработки персональных данных;<br />
- Правила обработки и обеспечения защиты персональных;<br />
- Порядок доступа в помещения, в которых ведется обработка персональных данных;<br />
- Правила рассмотрения запросов субъектов;<br />
- Форма согласия субъекта на обработку ПДн.<br />

3. Спроектировать систему защиты информации:<br />

- определить необходимый уровень защиты;<br />
- выявить актуальные угрозы;<br />
- выбрать подходящий набор сертифицированных средств защиты информации.<br />

Подготовить документы:<br />

- Приказ о назначении комиссии по установлению уровня защищенности персональных данных;<br />
- Акт установления уровня защищенности персональных данных для каждой системы;<br />
- Частная модель угроз для каждой информационной системы персональных данных;<br />
- Пояснительная записка системы защиты информации;<br />
- Техническое задание на создание системы защиты информации;<br />
- Регламент организации антивирусной защиты;<br />
- Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации;<br />
- Регламент проведения технического обслуживания;<br />
- Перечень разрешенного к использованию программного обеспечения;<br />
- Инструкция по организации парольной защиты;<br />
- Инструкция администратора информационной системы;<br />
- Инструкция администратора информационной безопасности;<br />
- Регламент предоставления прав доступа к информации в информационных системах;<br />
- Перечень лиц, допущенных к автоматизированной обработке данных в информационных системах;<br />
- Перечень лиц, допущенных к неавтоматизированной обработке данных в информационных системах;<br />
- Обязательство о соблюдении режима защиты персональных данных;<br />
- План контролируемой зоны.<br />
                                                                                                 
4. Направить в Роскомнадзор «Уведомление об обработке персональных данных»<br />
5. Установить и настроить сертифицированные средства защиты информации<br />
Установку и настройку сертифицированных средств защиты информации могут проводить только организации, имеющие лицензию ФСТЭК на осуществление работ по технической защите конфиденциальной информации.<br />
6. Обучить сотрудников правилам работы с персональными данными и средствами защиты информации<br />
7. Сформировать план внутренних проверок<br />
Разработать документ «План проверок системы защиты информации»<br />

Если вы являетесь государственным органом, то вам необходимо будет провести аттестацию защищаемых информационных систем персональных данных.<br />