Алгоритм ("Делопроизводство и кадры", N 3, март 2014 г.)

Алгоритм

Создание "с нуля"

1. Начало работ по организации системы защиты персональных данных - назначение ответственного за разработку системы, разработка локальной документации, создание комиссии по защите и обработке персональных данных;

2. Предпроектное обследование информационной системы - сбор исходных данных;

3. Классификация системы обработки персональных данных;

4. Построение частной модели угроз с целью определения их актуальности для информационной системы;

5. Разработка частного технического задания на систему защиты персональных данных;

6. Проектирование системы защиты персональных данных;

7. Уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации;

8. Реализация и внедрение системы защиты персональных данных; Выполнение требований по инженерной защите помещений, требований по пожарной безопасности, охране, электропитанию и заземлению, санитарных и экологических требований;

9. Аттестация (сертификация) по требованиям безопасности информации (при необходимости!);

10. Повышение квалификации сотрудников в области защиты персональных данных;

11. Сопровождение (аутсорсинг) системы защиты персональных данных.

Внедрение на работающем предприятии

1. Проверить, как ведется в организации обработка ПД на данный момент, устранить выявленные нарушения, не ждать проверки надзирающего органа исполнительной власти.

2. Подготовить требуемую постановлениями Правительства РФ документацию по обработке ПД, разработать инструкции для сотрудников, довести. Разработать (уточнить в соответствии с новой редакцией 152-ФЗ и подзаконными актами) и утвердить Положение об обработке ПД в организации.

3. Заключить согласие с субъектами ПД (в пяти случаях в соответствии с ч. 4 ст. 9, в остальных случаях - простой формой согласия на обработку ПД).

4. Утвердить списки лиц, допущенных к обработке ПД.

5. Довести до сотрудников, которые допущены к обработке ПД:

- факт допуска их к обработке ПД;

- способ обработки ПД;

- перечень категорий персональных данных, которые они будут обрабатывать.

Обязать работников (сотрудников), обрабатывающих ПД, обеспечить безопасность обработки ПД.

6. Обеспечить надежное хранение носителей ПД.

7. Зарегистрироваться установленным порядком в Реестре операторов ПД в РФ.

8. Дополнить договора (ч. 3 ст. 6 условия обработки ПД) с организациями, которым оператор поручил обработку ПД, перечнем действий (операций) с ПД, целями обработки ПД, обязанностью обеспечения конфиденциальности при обработке ПД, переданных им для выполнения условий данного договора, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 ФЗ N 152-ФЗ от 25.07.2011.

9. Привести в соответствие с требованиями Закона и постановлений Правительства РФ информационные системы и обработку ПД (если этого ещё не сделано).

10. Организовать периодический контроль руководства организации за работой лиц, допущенных к обработке персональных данных.

11. Проверить порядок хранения документов, содержащих персональные данные, и порядок их уничтожения по достижению цели обработки этих персональных данных.

"Делопроизводство и кадры", N 3, март 2014 г.

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.

Получить бесплатный доступ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.