На основании руководящих документов, оператор персональных данных разрабатывает нормативно-организационные документы на информационную систему персональных данных. Ниже представлены образцы нормативно-организационных документов на информационную систему персональных данных, которые Оператор ПДн может использовать в качестве шаблона для своей организации. Оператор ПДн должен подготовить папку со всеми организационными документами, заверенными и подписанными соответствующими ответственными лицами.
- На основании ФЗ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»:
- Приказ о назначении ответственного за организацию обработки персональных данных.
- План мероприятий по обеспечению безопасности ПДн.
- Перечень сотрудников, допущенных к работе с ПДн.
- Перечень мест хранения и обработки ПДн.
- Положение об обработке ПДн.
- Перечень персональных данных.
- Политика в отношении обработки персональных данных.
- Регламент реагирования на запросы субъектов персональных данных.
- Инструкция пользователя информационной системы ПДн.
- Инструкция администратора системы защиты ПДн.
- Положение по обеспечению информационной безопасности персональных данных при их обработке.
- Журнал учета машинных носителей информации.
- Регламент проведения контрольных мероприятий.
- Журнал учета внутренних проверок.
- На основании Постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119:
- Приказ о создании комиссии по категорированию и классификации.
- Акт определения уровня защищенности.
- Модель угроз безопасности (конфиденциальный документ).
- Приказ об организации контролируемой зоны (конфиденциальный документ).
- В зависимости от уровня защищенности, оператор:
- организует режим обеспечения безопасности помещений, в которых размещена информационная система (перечень помещений хранения и обработки);
- обеспечивает сохранность носителей персональных данных;
- определение перечня лиц, допущенных к ПДн (приказ или распоряжение);
- назначение ответственного за обеспечение безопасности персональных данных в информационной системе (приказ или распоряжение);
- определение перечня лиц, допущенных к содержанию электронного журнала сообщений (приказ или распоряжение);
- организация автоматической регистрации в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
- создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности (приказ или распоряжение).
- На основании приказа ФСТЭК России от 18 февраля 2013 г. N 21:
- Инструкция по антивирусной защите.
- Инструкция по работе с средствами защиты информации от несанкционированного доступа (необходимо использовать инструкцию от производителя антивирусного программного обеспечения).
- Разрешительная система доступа (конфиденциальный документ).
- Технический паспорт информационной системы (конфиденциальный документ).
- Проводится оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных.
- На основании приказа ФАПСИ от 13 июня 2001 г. N 152: