культура эксплуатации испдн

1. Культура эксплуатации ИСПДн в соответствии с законодательством РФ (для организации с 100 пользователями ИСПДн, обрабатывающих данные
более 1000 субъектов ПДн)
№ Роль Мероприятие Регулярность мероприятий, в
год (в среднем)
Рекомендуемая регулярность
проверки проходимости и
выполнения
1. Руководство оператора ПДн
и
Ответственный за
организацию обработки
персональных данных
Перераспределение ответственности за
организацию обработки и обеспечение
защиты ПДн (приказы)
2
(6 чел. / раз в 3 года в среднем
меняется ответственный)
Раз в полгода
2. Утверждение перечня лиц,
обрабатывающих ПДн без
использования средств автоматизации
50/3 Еженедельно
3. Утверждение перечня лиц,
обрабатывающих ПДн в ИСПДн
100/3 Еженедельно
4. корректировка документов в области
обработки ПДн при изменении
законодательства
4 Ежеквартально
5. Контроль и (или) аудита соответствия
обработки персональных данных
законодательству
1 Ежегодно
6. Ответственный за
определение (и
поддержание) целей,
правовых оснований,
содержания, объема и
сроков хранения ПДн,
необходимости
уведомления РКН
Определение изменений целей
обработки персональных данных
1/3 Ежеквартально
7. Определены изменения перечня
категорий субъектов, персональные
данные которых обрабатываются
1
8. Определен изменений состава,
обрабатываемых персональных данных
субъектов
1
9. Определение изменений правовых
оснований для обработки ПДн
1
10. Определение изменений в сроках
хранения ПДн
1

2. № Роль Мероприятие Регулярность мероприятий, в
год (в среднем)
Рекомендуемая регулярность
проверки проходимости и
выполнения
11. Ответственный за получение
согласия субъекта на
обработку персональных
данных
Сбор согласий с субъектов ПДн 1000/3 Ежедневно
12. Ответственный за пересмотр
договоров с субъектами и
контрагентами в части
обработки персональных
данных
Внесение необходимых разделов и
приложений в договоры с
контрагентами
4 Ежеквартально
13. Ответственный за
взаимодействие с субъектом
ПДн при его обращении или
в случаях обязательного
информирования
Регистрация обращений субъектов ПДн
Подготовка разъяснений
Корректировка ПДн
20 Еженедельно
14. Информирование субъекта ПДн в
случаях, когда ПДн получены не от него
лично, за исключением определенных в
законе случаев
100/3 Еженедельно
15. Организация блокирования обработки
или прекращения обработки ПДн в
случае выявления нарушений
1 Ежегодно
16. Ответственный за
обезличивание
персональных данных
Обезличивание ПДн в ИСПДн при
достижении целей обработки ПДн или
при наличии статистических или иных
исследовательских целей
4 Ежеквартально
17. Уничтожение, вымарывание ПДн на
материальном носителе
4 Ежеквартально
18. Ответственный за
направление уведомления в
Роскомнадзор и проверку
актуальности сведений в
Корректировка уведомления РКН при
изменениях в целях обработки ПДн,
составе ПДн, правовых основаниях для
обработки ПДн, комплексе
организационных и технических мер,
4 Ежеквартально

3. № Роль Мероприятие Регулярность мероприятий, в
год (в среднем)
Рекомендуемая регулярность
проверки проходимости и
выполнения
реестре операторов
персональных данных
средств защиты информации, почтового
адреса и т.п.
19. Ответы на запросы, Роскомнадзор-а по
поводу уточнения уведомления или по
поводу нарушения прав субъектов ПДн
1 Ежегодно
20. Ответственный за
обеспечение безопасности
персональных данных в
ИСПДн
Определение изменений в составе
ИСПДн или ключевых характеристик
ИСПДн, которые могут повлиять на
уровень защищенности
1 Ежегодно
21. Учет СЗИ, лицензий, сертификатов 100/3 Еженедельно
22. Учет технических средств ИСПДн 100/3 Еженедельно
23. Управление конфигурациями СЗИ 100 Еженедельно
24. Мониторинг за обеспечением уровня
защищенности
4 Ежеквартально
25. Ответственный за оценку
вреда и определение угроз
безопасности персональных
данных
Определение изменений в
характеристиках ИС, используемых
информационных технологиях, которые
могут повлиять на появление
дополнительных актуальных угроз
1 Ежегодно
26. Корректировка оценки возможного
вреда при изменениях в перечне
субъектов ПДн и составе ПДн
2 Раз в полгода
27. Ответственный за
администрирование СЗИ
(только для ГИС)
Управление доступом к ИСПДн 100 Ежедневно
28. Управление и обслуживание СЗИ 100/3 Еженедельно
29. Установка обновлений безопасности 24 Раз в 2 недели
30. Сбор и анализ событий безопасности 365 Ежедневно
31. Резервное копирование и
восстановление персональных данных
24 Раз в 2 недели

4. № Роль Мероприятие Регулярность мероприятий, в
год (в среднем)
Рекомендуемая регулярность
проверки проходимости и
выполнения
32. Ответственный за
выявление инцидентов и
реагирование на них
Обнаружение инцидентов, регистрация
инцидентов, реагирование на
инциденты
2 Раз в полгода
33. Обнаружение попыток компрометации
криптоключей, вывод из действия
криптоключей, информирование ОКЗИ
1 Ежегодно
34. Ответственный за обучение
и информирование
сотрудников,
осуществляющих обработку
персональных данных
Ознакомление сотрудников с
внутренними документами в области
обработки ПДн
Ознакомление сотрудников с
основными положениями
законодательства
3 + 4 раза в год для 100
сотрудников
(При изменениях
законодательства
При изменении внутренних
документов)
Ежеквартально
35. Инструктаж или обучение о мерах
защиты ПДн, правилах эксплуатации ИС
и СЗИ
1 раз в год для 100 сотрудников
(При изменении ИС
При изменениях мерах защиты
При изменениях СЗИ)
Ежегодно
36. Ответственный за
обеспечение сохранности
носителей ПДн
Учет носителей ПДн, их выдачи и
передачи
100/3 Еженедельно
37. Учет помещений и хранилищ носителей
ПДн
50/3 Еженедельно
38. Ответственный за
обеспечение безопасности
помещений с компонентами
ИСПДн
Учет помещений с компонентами ИСПДн
Утверждение перечня лиц, имеющих
право доступа в помещения ИСПДн
30 Раз в 2 недели
39. Учет помещений с к СКЗИ
Утверждение перечня лиц, имеющих
право доступа в помещения с СКЗИ
30 Раз в 2 недели
40. Ответственный за контроль
выполнения требований по
Ежегодный текущий контроль
выполнения требований по защите ПДн
1 Ежегодно

5. № Роль Мероприятие Регулярность мероприятий, в
год (в среднем)
Рекомендуемая регулярность
проверки проходимости и
выполнения
41. защите персональных
данных
Ежегодный текущий контроль
эффективности СЗПДн (или заключение
договора с Лицензиатом)
1 Ежегодно
42. Орган криптографической
защиты / лицо
ответственное за
криптографическую защиту /
ответственный пользователь
криптосредств
Учет СКЗИ, документации 100 / 3 Еженедельно
43. Учет лиц, допущенных к работе с СКЗИ 100 / 3 Еженедельно
44. Обучение лиц, использующих
криптосредства, работе с ними
100 / 3 Еженедельно
45. Проверку готовности криптосредств к
использованию с составлением
заключений о возможности их
эксплуатации
100 / 3 Еженедельно
46. Ежегодный контроль за соблюдением
условий использования криптосредств,
предусмотренных эксплуатационной и
технической документацией к ним
100 Ежегодно