View
480
Download
1
Category
Preview:
Citation preview
Культура эксплуатации ИСПДн в соответствии с законодательством РФ (для организации с 100 пользователями ИСПДн, обрабатывающих данные
более 1000 субъектов ПДн)
№ Роль Мероприятие Регулярность мероприятий, в год (в среднем)
Рекомендуемая регулярность проверки проходимости и
выполнения
1. Руководство оператора ПДн и Ответственный за организацию обработки персональных данных
Перераспределение ответственности за организацию обработки и обеспечение защиты ПДн (приказы)
2 (6 чел. / раз в 3 года в среднем меняется ответственный)
Раз в полгода
2. Утверждение перечня лиц, обрабатывающих ПДн без использования средств автоматизации
50/3 Еженедельно
3. Утверждение перечня лиц, обрабатывающих ПДн в ИСПДн
100/3 Еженедельно
4. корректировка документов в области обработки ПДн при изменении законодательства
4 Ежеквартально
5. Контроль и (или) аудита соответствия обработки персональных данных законодательству
1 Ежегодно
6. Ответственный за определение (и поддержание) целей, правовых оснований, содержания, объема и сроков хранения ПДн, необходимости уведомления РКН
Определение изменений целей обработки персональных данных
1/3 Ежеквартально
7. Определены изменения перечня категорий субъектов, персональные данные которых обрабатываются
1
8. Определен изменений состава, обрабатываемых персональных данных субъектов
1
9. Определение изменений правовых оснований для обработки ПДн
1
10. Определение изменений в сроках хранения ПДн
1
№ Роль Мероприятие Регулярность мероприятий, в год (в среднем)
Рекомендуемая регулярность проверки проходимости и
выполнения
11. Ответственный за получение согласия субъекта на обработку персональных данных
Сбор согласий с субъектов ПДн 1000/3 Ежедневно
12. Ответственный за пересмотр договоров с субъектами и контрагентами в части обработки персональных данных
Внесение необходимых разделов и приложений в договоры с контрагентами
4 Ежеквартально
13. Ответственный за взаимодействие с субъектом ПДн при его обращении или в случаях обязательного информирования
Регистрация обращений субъектов ПДн Подготовка разъяснений Корректировка ПДн
20 Еженедельно
14. Информирование субъекта ПДн в случаях, когда ПДн получены не от него лично, за исключением определенных в законе случаев
100/3 Еженедельно
15. Организация блокирования обработки или прекращения обработки ПДн в случае выявления нарушений
1 Ежегодно
16. Ответственный за обезличивание персональных данных
Обезличивание ПДн в ИСПДн при достижении целей обработки ПДн или при наличии статистических или иных исследовательских целей
4 Ежеквартально
17. Уничтожение, вымарывание ПДн на материальном носителе
4 Ежеквартально
18. Ответственный за направление уведомления в Роскомнадзор и проверку актуальности сведений в
Корректировка уведомления РКН при изменениях в целях обработки ПДн, составе ПДн, правовых основаниях для обработки ПДн, комплексе организационных и технических мер,
4 Ежеквартально
№ Роль Мероприятие Регулярность мероприятий, в год (в среднем)
Рекомендуемая регулярность проверки проходимости и
выполнения
реестре операторов персональных данных
средств защиты информации, почтового адреса и т.п.
19. Ответы на запросы, Роскомнадзор-а по поводу уточнения уведомления или по поводу нарушения прав субъектов ПДн
1 Ежегодно
20. Ответственный за обеспечение безопасности персональных данных в ИСПДн
Определение изменений в составе ИСПДн или ключевых характеристик ИСПДн, которые могут повлиять на уровень защищенности
1 Ежегодно
21. Учет СЗИ, лицензий, сертификатов 100/3 Еженедельно
22. Учет технических средств ИСПДн 100/3 Еженедельно
23. Управление конфигурациями СЗИ 100 Еженедельно
24. Мониторинг за обеспечением уровня защищенности
4 Ежеквартально
25. Ответственный за оценку вреда и определение угроз безопасности персональных данных
Определение изменений в характеристиках ИС, используемых информационных технологиях, которые могут повлиять на появление дополнительных актуальных угроз
1 Ежегодно
26. Корректировка оценки возможного вреда при изменениях в перечне субъектов ПДн и составе ПДн
2 Раз в полгода
27. Ответственный за администрирование СЗИ (только для ГИС)
Управление доступом к ИСПДн 100 Ежедневно
28. Управление и обслуживание СЗИ 100/3 Еженедельно
29. Установка обновлений безопасности 24 Раз в 2 недели
30. Сбор и анализ событий безопасности 365 Ежедневно
31. Резервное копирование и восстановление персональных данных
24 Раз в 2 недели
№ Роль Мероприятие Регулярность мероприятий, в год (в среднем)
Рекомендуемая регулярность проверки проходимости и
выполнения
32. Ответственный за выявление инцидентов и реагирование на них
Обнаружение инцидентов, регистрация инцидентов, реагирование на инциденты
2 Раз в полгода
33. Обнаружение попыток компрометации криптоключей, вывод из действия криптоключей, информирование ОКЗИ
1 Ежегодно
34. Ответственный за обучение и информирование сотрудников, осуществляющих обработку персональных данных
Ознакомление сотрудников с внутренними документами в области обработки ПДн Ознакомление сотрудников с основными положениями законодательства
3 + 4 раза в год для 100 сотрудников (При изменениях законодательства При изменении внутренних документов)
Ежеквартально
35. Инструктаж или обучение о мерах защиты ПДн, правилах эксплуатации ИС и СЗИ
1 раз в год для 100 сотрудников (При изменении ИС При изменениях мерах защиты При изменениях СЗИ)
Ежегодно
36. Ответственный за обеспечение сохранности носителей ПДн
Учет носителей ПДн, их выдачи и передачи
100/3 Еженедельно
37. Учет помещений и хранилищ носителей ПДн
50/3 Еженедельно
38. Ответственный за обеспечение безопасности помещений с компонентами ИСПДн
Учет помещений с компонентами ИСПДн Утверждение перечня лиц, имеющих право доступа в помещения ИСПДн
30 Раз в 2 недели
39. Учет помещений с к СКЗИ Утверждение перечня лиц, имеющих право доступа в помещения с СКЗИ
30 Раз в 2 недели
40. Ответственный за контроль выполнения требований по
Ежегодный текущий контроль выполнения требований по защите ПДн
1 Ежегодно
№ Роль Мероприятие Регулярность мероприятий, в год (в среднем)
Рекомендуемая регулярность проверки проходимости и
выполнения
41. защите персональных данных
Ежегодный текущий контроль эффективности СЗПДн (или заключение договора с Лицензиатом)
1 Ежегодно
42. Орган криптографической защиты / лицо ответственное за криптографическую защиту / ответственный пользователь криптосредств
Учет СКЗИ, документации 100 / 3 Еженедельно
43. Учет лиц, допущенных к работе с СКЗИ 100 / 3 Еженедельно
44. Обучение лиц, использующих криптосредства, работе с ними
100 / 3 Еженедельно
45. Проверку готовности криптосредств к использованию с составлением заключений о возможности их эксплуатации
100 / 3 Еженедельно
46. Ежегодный контроль за соблюдением условий использования криптосредств, предусмотренных эксплуатационной и технической документацией к ним
100 Ежегодно
Recommended