Ключевые шаги для соответствия 152-ФЗ
- Назначьте ответственных
- Издайте приказ о назначении ответственного за обработку и защиту персональных данных.
- Если данные обрабатываются в информационных системах (ИС), отдельным приказом утвердите ответственного за их безопасность.
- Проведите аудит
- Оцените соответствие требованиям ст. 18.1 и 19 152-ФЗ.
- Можно провести аудит самостоятельно или привлечь лицензированных специалистов (ФСБ, ФСТЭК).
- Разработайте политику обработки ПДн
- Учтите рекомендации Роскомнадзора, размещённые на его сайте.
- Обновите договоры с контрагентами
- Включите в соглашения положения о защите персональных данных.
- Соберите согласия на обработку данных
- Получите письменные согласия от сотрудников.
- По возможности соберите согласия у клиентов (старых и новых).
- Создайте регламенты взаимодействия
- Разработайте порядок работы с обращениями субъектов ПДн и Роскомнадзором.
- Ведите журналы учёта обращений.
- Учтите требования к бумажному документообороту
- Соблюдайте Постановление Правительства №687.
- Подайте уведомление в Роскомнадзор
- Сделайте это после выполнения всех мер защиты.
Определение уровня защищённости персональных данных
Перед внедрением защиты необходимо:
- Проанализировать категории субъектов (сотрудники, клиенты и др.).
- Определить типы и объём обрабатываемых данных (ФИО, телефоны и т. д.).
- Оценить угрозы, связанные с используемым ПО.
Результат: Акт установления уровня защищённости (для каждой ИС или общий).
Приведение бизнес-процессов в соответствие с законом
Необходимо:
- Разработать политику и регламенты обработки ПДн.
- Описать технологический процесс работы с данными.
- Определить меры защиты (технические и организационные).
- Настроить взаимодействие с субъектами ПДн и регулятором.
- Подготовить типовые формы согласий и договоров.
- Обновить бумажные формы документов.
- Обеспечить безопасность помещений, где хранятся данные.
Обязательные документы
- Приказ о назначении ответственного.
- Политика обработки ПДн.
- Положения о выявлении инцидентов, внутреннем контроле, оценке вреда.
- Журналы учёта носителей данных, инцидентов, обращений.
- Инструкции для сотрудников (пользователей, администраторов).
- Регламенты взаимодействия с субъектами ПДн и Роскомнадзором.
Защита информационных систем (ИСПДн)
- Обследование ИСПДн
- Акт обследования, модель угроз, ТЗ на систему защиты.
- Проектирование и внедрение защиты
- Технический проект, установка средств защиты, разработка ОРД.
- Оценка эффективности мер
- Аттестация или декларация соответствия (ФСТЭК).
Проверка готовности к проверке Роскомнадзора
- Убедитесь, что все документы утверждены.
- Подготовьте образцы договоров для проверки.
- Проведите внутренний аудит на соответствие типовому плану РКН.
Итоговые документы:
- Протокол проверки.
- Заключение о готовности.
- Программа и методика проверки.
Вывод
Соблюдение 152-ФЗ требует системного подхода: от назначения ответственных до внедрения технических мер защиты. Чёткое следование рекомендациям поможет избежать штрафов и успешно пройти проверки.
Чтобы получить платную консультацию звоните или пишите на почту:
Телефон:
+7 (938) 146 41 00
+7 (931) 009 14 00
E-mail:
info@it-vdonsk.ru