Допустим, вы только сейчас узнали о существовании закона «О персональных данных» (ПДн), он же 152-ФЗ, и не хотите нарваться на предписания Роскомнадзора или административный штраф за его невыполнение. С чего же начать? Рассказываем по пунктам.
1. Проводим обследование текущего порядка обработки персональных данных (ПДн)
· Определяем процессы обработки ПДн, всех субъектов ПДн (лиц, чьи ПДн обрабатываются), цели обработки, перечень ПДн и т.д.
· Выявляем системы, в которых происходит обработка ПДн, а также ПДн, которые хранятся в этой системе, IT-архитектуру информационных систем и ее особенности
2. Вносим изменения на официальный сайт вашей компании
· Размещаем Политику обработки ПДн, содержащую перечень субъектов ПДн, цели обработки ПДн, перечень ПДн, сроки обработки и т.д.
· При наличии формы сбора ПДн размещаем в ней (или под ней) чек-бокс для подтверждения согласия на обработку ПДн и ссылку на согласие и политику · Размещаем согласие на сбор cookie, если сбор ведется
3. Разрабатываем внутренние организационно-распорядительные документы
· Положение о защите и обработке ПДн
· Приказ о назначении ответственного за обработку ПД
· Приказ о лицах, допущенных к обработке ПДн
· Акт определения уровня защищенности информационных систем, в которых происходит обработка персональных данных (ИСПДн)
· Модель угроз безопасности информации в отношении этих систем · Акт оценки вреда субъектам ПДн
· Другие инструкции и регламенты в отношении защиты ПДн
4. Обеспечиваем защиту ИСПДн организационными и техническими мерами
С учетом актуальных угроз безопасности ПДн реализуем управление доступом, идентификации и аутентификации, антивирусную защиту, защиту машинных носителей информации и другие меры в соответствии с требованиями Приказа ФСТЭК № 21, в котором указан состав этих мер в зависимости от уровня защищенности информационный системы ПДн.
5. Ну и не забываем подать уведомление об обработке ПДн в Роскомнадзор!
Этого требует регулятор от всех операторов ПДн за небольшими исключениями. Уведомление можно подать несколькими способами: в бумажном виде, на портале Роскомнадзора с использованием усиленной квалифицированной подписи, на портале Госуслуг при наличии подтвержденной учетной записи.
Само уведомление содержит основные сведения об операторе ПДн, правовые основания и цели обработки ПДн, описание применяемых организационных и технических мер защиты ПДн, дату начала обработки ПДн, срок и условие прекращения обработки ПДн, категории ПДн и их субъектов, перечень действий с ПДн, перечень и адреса баз данных, содержащих ПДн, сведения о лицах, ответственных за обработку ПДн.
Может показаться, что это всё? Не совсем так. Ведь теперь это нужно поддерживать в актуальном состоянии! Команда Infosecurity предлагает свою поддержку на всех этапах.
втор: Ирада Литаврина, ведущий консультант отдела аудита Infosecurity a Softline Company