Нормативная документация

На основании руководящих документов, оператор персональных данных разрабатывает нормативно-организационные документы на информационную систему персональных данных. Ниже представлены образцы нормативно-организационных документов на информационную систему персональных данных, которые Оператор ПДн может использовать в качестве шаблона для своей организации. Оператор ПДн должен подготовить папку со всеми организационными документами, заверенными и подписанными соответствующими ответственными лицами.

1. На основании ФЗ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»:
   • Приказ о назначении ответственного за организацию обработки персональных данных.
   • План мероприятий по обеспечению безопасности ПДн.
   • Перечень сотрудников, допущенных к работе с ПДн.
   • Перечень мест хранения и обработки ПДн.
   • Положение об обработке ПДн.
   • Перечень персональных данных.
   • Политика в отношении обработки персональных данных.
   • Регламент реагирования на запросы субъектов персональных данных.
   • Инструкция пользователя информационной системы ПДн.
   • Инструкция администратора системы защиты ПДн.
   • Положение по обеспечению информационной безопасности персональных данных при их обработке.
   • Журнал учета машинных носителей информации.
   • Регламент проведения контрольных мероприятий.
   • Журнал учета внутренних проверок.
2. На основании Постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119:
   • Приказ о создании комиссии по категорированию и классификации.
   • Акт определения уровня защищенности.
   • Модель угроз безопасности (конфиденциальный документ).
   • Приказ об организации контролируемой зоны (конфиденциальный документ).
   • В зависимости от уровня защищенности, оператор:
     • организует режим обеспечения безопасности помещений, в которых размещена информационная система (перечень помещений хранения и обработки);
     • обеспечивает сохранность носителей персональных данных;
     • определение перечня лиц, допущенных к ПДн (приказ или распоряжение);
     • назначение ответственного за обеспечение безопасности персональных данных в информационной системе (приказ или распоряжение);
     • определение перечня лиц, допущенных к содержанию электронного журнала сообщений (приказ или распоряжение);
     • организация автоматической регистрации в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
     • создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности (приказ или распоряжение).
3. На основании приказа ФСТЭК России от 18 февраля 2013 г. N 21:
   • Инструкция по антивирусной защите.
   • Инструкция по работе с средствами защиты информации от несанкционированного доступа (необходимо использовать инструкцию от производителя антивирусного программного обеспечения).
   • Разрешительная система доступа (конфиденциальный документ).
   • Технический паспорт информационной системы (конфиденциальный документ).
   • Проводится оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных.
4. На основании приказа ФАПСИ от 13 июня 2001 г. N 152:
   • Приказ о создании органа криптографической защиты или возложение обязанностей.
   • Журнал учета пользователей СКЗИ.
   • Журнал поэкземплярного учета СКЗИ.
   • Журнал приема выдачи СКЗИ.
   • Журнал приема выдачи носителей ключевой информации.