Положение по организации и проведению работ по обеспечению безопасности ПДн

- Совместный приказ ФСТЭК/ФСБ/Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных».

- «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утв. заместителем директора ФСТЭК России 15 февраля 2008 г.).

- «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. заместителем директора ФСТЭК России 15 февраля 2008 г.).

- «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах» (утв. заместителем директора ФСТЭК России 15 февраля 2008 г.).

- «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. заместителем директора ФСТЭК России 14 февраля 2008 г.).

- «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. руководством 8 Центра ФСБ России 21 февраля 2008 г. № 149/6/6-622).

- «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утв. руководством 8 Центра ФСБ России 21 февраля 2008 г. № 149/5-144).

2. ПОРЯДОК ОРГАНИЗАЦИИ И ПРОВЕДЕНИЯ РАБОТ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАНОСТИ ПДН ПРИ ИХ ОБРАБОТКЕ В ИСПДН Под организацией обеспечения безопасности ПДн при их обработке в ИСПДн понимается формирование и реализация совокупности согласованных по цели, задачам, месту и времени организационных и технических мероприятий, направленных на минимизацию ущерба от возможной реализации угроз безопасности ПДн. Обеспечение безопасности ПДн осуществляется путем выполнения комплекса организационных и технических мероприятий, реализуемых в рамках создаваемой СЗПДн. Структура, состав и основные функции СЗПДн определяются исходя из класса ИСПДн. СЗПДн включает организационные меры и технические средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки, а также используемые в информационной системе информационные технологии.

2.1 Организационные мероприятия Организационные меры по защите ПДн включают в себя следующие мероприятия:

2.1.1 Определение перечня персональных данных, обрабатываемых на предприятии. В первую очередь, необходимо установить перечень персональных данных (ПДн) физических лиц, которые обрабатываются на предприятии.

2.1.2 Определение цели обработки персональных данных. Затем нужно определить цели обработки персональных данных: трудовые отношения с работниками; оформление пропусков для входа на территорию предприятия; договор оказания услуг и т.п.

2.1.3 Определение сроков обработки и хранения ПДн. Хранение ПДн должно быть не дольше, чем этого требуют цели их обработки, по достижению которых ПДн подлежат уничтожению. Установить перечень ПДн, по которым цели обработки достигнуты. Для целей, указанных в п.п. 2.1.1-2.1.3 формируется и утверждается «Перечень ПДн» (Форма в Приложении 1).

2.1.4 Определение ответственных за обеспечение безопасности ПДн. Для разработки и осуществления мероприятий по организации и обеспечению безопасности ПДн при их обработке в ИСПДн руководством Организации назначается структурное подразделение (или должностное лицо), ответственное за обеспечение безопасности ПДн. Для каждого вида ПДн может быть назначен свой ответственный за обеспечение безопасности ПДн.