Ниже приведены рекомендации для подготовки к прохождению проверки Роскомнадзора России:
Сформировать и утвердить следующие документы:
Приказ об ответственном за организацию обработки ПДн
Приказ об ответственном за обеспечение безопасности ПДн в ИСПДн
Приказ об утверждении перечня ИСПДн и перечня ПДн, содержащихся в программных комплексах, входящих в состав ИСПДн
Приказ об утверждении перечня ПДн
Приказ об утверждении перечней сотрудников, осуществляющих обработку ПДн и имеющих доступ к обрабатываемым ПДн
Приказ об обеспечении безопасности материальных носителей ПДн
Приказ об обеспечении безопасности помещений, в которых размещены ИСПДн и сохранности носителей ПДн
Приказ об утверждении форм документов, необходимых в целях выполнения требований законодательства в области ПДн
Приказ об утверждении мер, направленных на выполнение требований зак-ва РФ в области защиты информации с использованием криптосредств
Приказ об утверждении перечня мер, направленных на выполнение требований законодательства РФ при ведении журнала учета посетителей
Политика в отношении обработки ПДн
Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн
Порядок хранения, использования и передачи ПДн сотрудников
Акт определения уровня защищенности ПДн — ИС «Название ИС»
Сформировать и утвердить Модель угроз для ИСПДн:
ИС «Название ИС»
Проверить информацию об отправке последнего Уведомления/информационного письма в Роскомнадзор
Обеспечить неограниченный доступ к Политике организации в отношении обработки персональных данных на официальном сайте организации
Подписать акт определения уровня защищённости ПДн:
Сотрудник, ответственный за организацию обработки ПДн, подписал Акт определения уровня защищённости ПДн при их обработке в ИСПДн
Проконтролировать ознакомление с инструкциями:
Ответственный за организацию обработки ПДн ознакомился под роспись с Инструкцией ответственного за организацию обработки ПДн
Ответственный за обеспечение безопасности ПДн ознакомился под роспись с Инструкцией по обеспечению безопасности ПДн в ИСПДн
Сотрудникам организации необходимо подписать следующие документы:
Согласие на обработку и (или) поручение обработки ПДн сотрудников
Разъяснение субъекту ПДн юридических последствий отказа предоставить свои ПДн
Уведомление о факте обработки ПДн без использования средств автоматизации
Обязательство о соблюдении конфиденциальности ПДн
Форму ознакомления с положениями Законодательства Российской Федерации о персональных данных, локальными актами организации по вопросам обработки персональных данных
Сотрудникам, осуществляющим обработку ПДн и имеющим доступ к обрабатываемым ПДн, необходимо ознакомиться под роспись с:
Политикой в отношении обработки ПДн
Инструкцией пользователя ИСПДн
Порядком хранения, использования и передачи ПДн сотрудников
Порядком доступа в помещения, в которых осуществляется обработка ПДн и размещены ИСПДн
Необходимо взять согласие с субъектов ПДн, чьи ПДн обрабатываются:
Согласие на обработку персональных данных субъектов ПДн в организации
Распечатать, оформить и поддерживать в актуальном состоянии журналы, приведенные в приложении к:
Приказу «Об утверждении форм документов, необходимых в целях выполнения требований законодательства в области ПДн»
Приказу «Об обеспечении безопасности материальных носителей ПДн»
Приказу «Об утверждении перечня мер, направленных на выполнение требований законодательства Российской Федерации в области защиты информации с использованием средств криптографической защиты»
Приказу «Об утверждении перечня мер, направленных на выполнение требований законодательства Российской Федерации при ведении журнала, содержащего ПДн, необходимые для однократного пропуска субъекта ПДн на территорию оператора»
Актуализировать должностные инструкции в соответствии с рекомендациями по внесению изменений в должностные инструкции персонала в части обеспечения безопасности ПДн при их обработке
Проверить хранение материальных носителей ПДн:
Помещения, где хранятся материальные носители ПДн, оборудованы запирающимися шкафами, либо дверьми с запирающимся замком
Обеспечен контролируемый доступ в такие помещения, в противном случае материальные носители ПДн хранятся в шкафах
Материальные носители ПДн, обрабатываемые с разными целями, хранятся раздельно