УТВЕРЖДАЮДиректор МБУ ДО
ЦВР ст. Полтавской
__________ Е.Е.Воловик
«__» _______ 2017 г.
ПЛАН
мероприятий по защите персональных данных сотрудников
в муниципальном бюджетном учреждении дополнительного образования
центр внешкольной работы станицы Полтавской
№ п\п |
Наименование мероприятия |
Срок выполнения |
Примечание |
1. |
Оформление правового основания обработки персональных данных |
При вводе информационной системы персональных данных (ИСПДн) в эксплуатацию |
При создании ИСПДн необходимо оформить приказ о вводе ее в эксплуатацию. Приказ оформляется директором учреждения. |
2. |
Направление в уполномоченный орган (Роскомнадзор) уведомления о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации |
При необходимости |
Уведомление направляется при вводе в эксплуатацию новых информационных систем персональных данных, либо при внесении изменений в существующие |
3. |
Документальное регламентирование работы с ПД |
При необходимости |
Разработка положения по обработке и защите персональных данных, регламента специалиста ответственного за безопасность персональных данных, либо внесение изменений в существующие |
4. |
Получение письменного согласия субъектов ПД (физических лиц) на обработку ПД в случаях, когда этого требует законодательство |
Постоянно |
Письменное согласие получается при передаче ПД субъектами для обработки в ИСПДн, либо для обработки без использования средств автоматизации. Форма согласия приведена в Положении об обработке и защите ПД. |
5. |
Пересмотр договора с субъектами ПД в части обработки ПД |
При необходимости |
В случае создания ИСПДн, а также приведения имеющихся ИСПДн в соответствии с требованиями закона (например, в договор может быть включено согласие субъекта на обработку и передачу его ПД). Пересмотр договоров проводится при необходимости и оставляется на усмотрение организации – оператора ПД |
6. |
Ограничение доступа работников к ПД |
При необходимости (при создании ИСПДн) |
В случае создания ИСПДн, а также приведения имеющихся ИСПДн в соответствии с требованиями закона необходимо разграничить доступ к ПД сотрудников организации согласно (сотрудники наделяются минимальными полномочиями доступа, необходимыми для выполнения ими своих обязанностей, например, могут иметь права только на просмотр ПД). |
7. |
Повышение квалификации сотрудников в области защиты персональных данных |
Постоянно |
Ответственных за выполнение работ – не менее раз в два года, повышение осведомленности сотрудников – постоянно (данное обучение проводит ответственный за защиту персональных данных подразделения) |
8. |
Инвентаризация информационных ресурсов |
Раз в полгода |
Проводится с целью выявления присутствия и обработки в них ПД |
9. |
Классификация информационных систем персональных данных (ИСПД) |
При необходимости |
Классификация проводится при создании ИСПДн, при выявлении в информационных системах ПД, при изменении состава, структуры самой ИСПДн или технических особенностей ее построения (изменилось ПО, топология и прочее) |
10. |
Выявление угроз безопасности и разработка моделей угроз и нарушителя |
При необходимости |
Разрабатывается при создании системы защиты ИСПДн |
11. |
Аттестация (сертификация) СЗПД или декларирование соответствия по требованиям безопасности ПД |
При необходимости |
Проводится совместно с лицензиатами ФСТЭК |
12. |
Эксплуатация ИСПД и контроль безопасности ПД |
Постоянно |
|
13. |
Понижение требований по защите персональных данных путем сегментирования ИСПДн, отключения от сетей общего пользования, обеспечения обмена между ИСПДн с помощью сменных носителей, создания автономных ИСПДн на выделенных АРМ и прочих доступных мер |
При необходимости |
В случае создания ИСПДн, а также приведения имеющихся ИСПДн в соответствии с требованиями закона. |