№ п\п

Наименование

мероприятия

Срок выполнения

Примечание

1.

Оформление правового основания обработки персональных данных

При вводе информационной системы персональных данных (ИСПДн) в эксплуатацию

При создании ИСПДн необходимо оформить приказ о вводе ее в эксплуатацию. Приказ оформляется директором учреждения.

2.

Направление в уполномоченный орган (Роскомнадзор) уведомления о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации

При

необходимости

Уведомление направляется при вводе в эксплуатацию новых информационных систем персональных данных, либо при внесении изменений в существующие

3.

Документальное регламентирование работы с ПД

При необходимости

Разработка положения по обработке и защите персональных данных, регламента специалиста ответственного за безопасность персональных данных, либо внесение изменений в существующие

4.

Получение письменного согласия субъектов ПД (физических лиц) на обработку ПД в случаях, когда этого требует законодательство

Постоянно

Письменное согласие получается при передаче ПД субъектами для обработки в ИСПДн, либо для обработки без использования средств автоматизации. Форма согласия приведена в Положении об обработке и защите ПД.

5.

Пересмотр договора с субъектами ПД в части обработки ПД

При необходимости

В случае создания ИСПДн, а также приведения имеющихся ИСПДн в соответствии с требованиями закона (например, в договор может быть включено согласие субъекта на обработку и передачу его ПД).

Пересмотр договоров проводится при необходимости и оставляется на усмотрение организации – оператора ПД

6.

Ограничение доступа работников к ПД

При необходимости (при создании ИСПДн)

В случае создания ИСПДн, а также приведения имеющихся ИСПДн в соответствии с требованиями закона необходимо разграничить доступ к ПД сотрудников организации согласно (сотрудники наделяются минимальными полномочиями доступа, необходимыми для выполнения ими своих обязанностей, например, могут иметь права только на просмотр ПД).

7.

Повышение квалификации сотрудников в области защиты персональных данных

Постоянно

Ответственных за выполнение работ – не менее раз в два года, повышение осведомленности сотрудников – постоянно (данное обучение проводит ответственный за защиту персональных данных подразделения)

8.

Инвентаризация информационных ресурсов

Раз в полгода

Проводится с  целью выявления присутствия и обработки в них ПД

9.

Классификация информационных систем персональных данных (ИСПД)

При необходимости

Классификация проводится при создании ИСПДн, при выявлении в информационных системах ПД, при изменении состава, структуры самой ИСПДн или технических особенностей ее построения (изменилось ПО, топология и прочее)

10.

Выявление угроз безопасности и разработка моделей угроз и нарушителя

При необходимости

Разрабатывается при создании системы защиты ИСПДн

11.

Аттестация (сертификация) СЗПД или декларирование соответствия по требованиям безопасности ПД

При необходимости

Проводится совместно с лицензиатами ФСТЭК

12.

Эксплуатация ИСПД и контроль безопасности ПД

Постоянно

13.

Понижение требований по защите персональных данных путем сегментирования ИСПДн, отключения от сетей общего пользования, обеспечения обмена между ИСПДн с помощью сменных носителей, создания автономных ИСПДн на выделенных АРМ и прочих доступных мер

При необходимости

В случае создания ИСПДн, а также приведения имеющихся ИСПДн в соответствии с требованиями закона.