Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

культура эксплуатации испдн

652 views

Published on

культура эксплуатации испдн

Published in: Education
  • Be the first to comment

культура эксплуатации испдн

  1. 1. Культура эксплуатации ИСПДн в соответствии с законодательством РФ (для организации с 100 пользователями ИСПДн, обрабатывающих данные более 1000 субъектов ПДн) № Роль Мероприятие Регулярность мероприятий, в год (в среднем) Рекомендуемая регулярность проверки проходимости и выполнения 1. Руководство оператора ПДн и Ответственный за организацию обработки персональных данных Перераспределение ответственности за организацию обработки и обеспечение защиты ПДн (приказы) 2 (6 чел. / раз в 3 года в среднем меняется ответственный) Раз в полгода 2. Утверждение перечня лиц, обрабатывающих ПДн без использования средств автоматизации 50/3 Еженедельно 3. Утверждение перечня лиц, обрабатывающих ПДн в ИСПДн 100/3 Еженедельно 4. корректировка документов в области обработки ПДн при изменении законодательства 4 Ежеквартально 5. Контроль и (или) аудита соответствия обработки персональных данных законодательству 1 Ежегодно 6. Ответственный за определение (и поддержание) целей, правовых оснований, содержания, объема и сроков хранения ПДн, необходимости уведомления РКН Определение изменений целей обработки персональных данных 1/3 Ежеквартально 7. Определены изменения перечня категорий субъектов, персональные данные которых обрабатываются 1 8. Определен изменений состава, обрабатываемых персональных данных субъектов 1 9. Определение изменений правовых оснований для обработки ПДн 1 10. Определение изменений в сроках хранения ПДн 1
  2. 2. № Роль Мероприятие Регулярность мероприятий, в год (в среднем) Рекомендуемая регулярность проверки проходимости и выполнения 11. Ответственный за получение согласия субъекта на обработку персональных данных Сбор согласий с субъектов ПДн 1000/3 Ежедневно 12. Ответственный за пересмотр договоров с субъектами и контрагентами в части обработки персональных данных Внесение необходимых разделов и приложений в договоры с контрагентами 4 Ежеквартально 13. Ответственный за взаимодействие с субъектом ПДн при его обращении или в случаях обязательного информирования Регистрация обращений субъектов ПДн Подготовка разъяснений Корректировка ПДн 20 Еженедельно 14. Информирование субъекта ПДн в случаях, когда ПДн получены не от него лично, за исключением определенных в законе случаев 100/3 Еженедельно 15. Организация блокирования обработки или прекращения обработки ПДн в случае выявления нарушений 1 Ежегодно 16. Ответственный за обезличивание персональных данных Обезличивание ПДн в ИСПДн при достижении целей обработки ПДн или при наличии статистических или иных исследовательских целей 4 Ежеквартально 17. Уничтожение, вымарывание ПДн на материальном носителе 4 Ежеквартально 18. Ответственный за направление уведомления в Роскомнадзор и проверку актуальности сведений в Корректировка уведомления РКН при изменениях в целях обработки ПДн, составе ПДн, правовых основаниях для обработки ПДн, комплексе организационных и технических мер, 4 Ежеквартально
  3. 3. № Роль Мероприятие Регулярность мероприятий, в год (в среднем) Рекомендуемая регулярность проверки проходимости и выполнения реестре операторов персональных данных средств защиты информации, почтового адреса и т.п. 19. Ответы на запросы, Роскомнадзор-а по поводу уточнения уведомления или по поводу нарушения прав субъектов ПДн 1 Ежегодно 20. Ответственный за обеспечение безопасности персональных данных в ИСПДн Определение изменений в составе ИСПДн или ключевых характеристик ИСПДн, которые могут повлиять на уровень защищенности 1 Ежегодно 21. Учет СЗИ, лицензий, сертификатов 100/3 Еженедельно 22. Учет технических средств ИСПДн 100/3 Еженедельно 23. Управление конфигурациями СЗИ 100 Еженедельно 24. Мониторинг за обеспечением уровня защищенности 4 Ежеквартально 25. Ответственный за оценку вреда и определение угроз безопасности персональных данных Определение изменений в характеристиках ИС, используемых информационных технологиях, которые могут повлиять на появление дополнительных актуальных угроз 1 Ежегодно 26. Корректировка оценки возможного вреда при изменениях в перечне субъектов ПДн и составе ПДн 2 Раз в полгода 27. Ответственный за администрирование СЗИ (только для ГИС) Управление доступом к ИСПДн 100 Ежедневно 28. Управление и обслуживание СЗИ 100/3 Еженедельно 29. Установка обновлений безопасности 24 Раз в 2 недели 30. Сбор и анализ событий безопасности 365 Ежедневно 31. Резервное копирование и восстановление персональных данных 24 Раз в 2 недели
  4. 4. № Роль Мероприятие Регулярность мероприятий, в год (в среднем) Рекомендуемая регулярность проверки проходимости и выполнения 32. Ответственный за выявление инцидентов и реагирование на них Обнаружение инцидентов, регистрация инцидентов, реагирование на инциденты 2 Раз в полгода 33. Обнаружение попыток компрометации криптоключей, вывод из действия криптоключей, информирование ОКЗИ 1 Ежегодно 34. Ответственный за обучение и информирование сотрудников, осуществляющих обработку персональных данных Ознакомление сотрудников с внутренними документами в области обработки ПДн Ознакомление сотрудников с основными положениями законодательства 3 + 4 раза в год для 100 сотрудников (При изменениях законодательства При изменении внутренних документов) Ежеквартально 35. Инструктаж или обучение о мерах защиты ПДн, правилах эксплуатации ИС и СЗИ 1 раз в год для 100 сотрудников (При изменении ИС При изменениях мерах защиты При изменениях СЗИ) Ежегодно 36. Ответственный за обеспечение сохранности носителей ПДн Учет носителей ПДн, их выдачи и передачи 100/3 Еженедельно 37. Учет помещений и хранилищ носителей ПДн 50/3 Еженедельно 38. Ответственный за обеспечение безопасности помещений с компонентами ИСПДн Учет помещений с компонентами ИСПДн Утверждение перечня лиц, имеющих право доступа в помещения ИСПДн 30 Раз в 2 недели 39. Учет помещений с к СКЗИ Утверждение перечня лиц, имеющих право доступа в помещения с СКЗИ 30 Раз в 2 недели 40. Ответственный за контроль выполнения требований по Ежегодный текущий контроль выполнения требований по защите ПДн 1 Ежегодно
  5. 5. № Роль Мероприятие Регулярность мероприятий, в год (в среднем) Рекомендуемая регулярность проверки проходимости и выполнения 41. защите персональных данных Ежегодный текущий контроль эффективности СЗПДн (или заключение договора с Лицензиатом) 1 Ежегодно 42. Орган криптографической защиты / лицо ответственное за криптографическую защиту / ответственный пользователь криптосредств Учет СКЗИ, документации 100 / 3 Еженедельно 43. Учет лиц, допущенных к работе с СКЗИ 100 / 3 Еженедельно 44. Обучение лиц, использующих криптосредства, работе с ними 100 / 3 Еженедельно 45. Проверку готовности криптосредств к использованию с составлением заключений о возможности их эксплуатации 100 / 3 Еженедельно 46. Ежегодный контроль за соблюдением условий использования криптосредств, предусмотренных эксплуатационной и технической документацией к ним 100 Ежегодно

×