Согласовано 2

Разработано 2

Термины и определения 7

Обозначения и сокращения 13

Введение 14

6.1 Типы учреждений 27

6.2 ИСПДн бухгалтерии и кадрового учета 28

6.3 Обязательные ИСПДн от вышестоящих организаций 28

6.4 Собственные ИСПДн 29

6.5 Автоматизированное рабочее место 30

6.6 Локальная информационная система 31

6.7 Распределенная информационная система 33

6.8 Таблица типизации ИСПДн 34

7 Рекомендации по классификации ИСПДн Учреждений, выбору модели угроз и нарушителя 37

обрабатываются исключительно свойственные для данной совокупности технических средств категории ПДн; 38

ставятся цели обработки ПДн, отличные от целей обработки Пдн в других сегментах сети. 38

7.1 Разработка и утверждение Акта классификации 39

выделить категорию обрабатываемых в информационной системе персональных данных – Хпд; 44

определить объем обрабатываемых персональных данных (количество субъектов персональных данных, чьи персональные данные обрабатываются в информационной системе) – Хнпд; 44

выявить характеристики безопасности персональных данных, обрабатываемых в информационной системе. 44

8 Уведомление уполномоченного органа по защите прав субъектов персональных данных 47

9 Определение действующих механизмов защиты 50

автоматизированные рабочие места (АРМ). В данном типе ИСПДн данные обрабатываются на одном компьютере. Данные не выкладываются в общий доступ в сеть; 50

локальные информационные системы (ЛИС). ИСПДн данного типа характеризуются обработкой на нескольких компьютерах связанных между собой локальной вычислительной сетью (ЛВС) Учреждения; 50

распределенные информационные системы (РИС). Данный тип ИСПДн характеризуется либо территориальной распределенностью ЛВС Учреждения (например, в нескольких зданиях), либо осуществлением обработки с помощью удаленного доступа к ИСПДн. Большинство ИСПДн Учреждений относится к АРМ и ЛИС. 50

10.1 Приказ о введении режима обработки персональных данных 60

10.2 Положение о порядке обработки персональных данных 61

10.3 Приказ о подразделении по защите информации 61

10.4 Положение о подразделении по защите информации 62

10.5 Положение о разграничении прав доступа к обрабатываемым персональным данным 62

10.6 Приказ о проведении внутренней проверки 63

10.7 Модели угроз безопасности персональных данных 63

10.8 Акт классификации информационной системы, обрабатывающей персональные данные 72

10.9 Перечень персональных данных, подлежащих защите 73

10.10 Инструкция пользователя ИСПДн 73

10.11 Инструкция администратора ИСПДн 74

10.12 Инструкция администратора безопасности ИСПДн 74

10.13 План мероприятий по обеспечению защиты ПДн 75

10.14 План внутренних проверок состояния защиты персональных данных 79

10.15 Приказ о назначении ответственных лиц за обработку ПДн 79

10.16 Приказ об утверждении мест хранения материальных носителей персональных данных 80

10.17 Приказ об Электронном журнале обращений пользователей информационной системы к персональным данным 80

10.18 Концепция информационной безопасности 80

10.19 Рекомендации по разработке Политики информационной безопасности 81

10.20 Проект договора о поручении обработки персональных данных третьим лицам 81

10.21 Согласие субъекта на обработку персональных данных 81

10.22 Согласие законного представителя на обработку персональных данных подопечного 82

10.23 Согласие сотрудника на обработку персональных данных 82

10.24 Соглашение о неразглашении персональных данных 82

10.25 Отчет о результатах проведения внутренней проверки 82

10.26 Рекомендации по разработке уведомления в территориальный орган Роскомнадзора 83

10.27 Декларация соответствия 83

10.28 Акт об уничтожении персональных данных субъекта(-ов) персональных данных 83

10.29 Рекомендации по разработке Порядка резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ 84

10.30 Положение об Электронном журнале обращений пользователей информационной системы к ПДн 84

11 Рекомендации по выполнению нормативно-организационных мероприятий по обеспечению безопасности персональных данных, обрабатываемых неавтоматизированным способом 86

12 Рекомендации по ведению необходимых форм учета 87

12.1 Набор бланков предоставления сведений, отказа в предоставлении, уведомлений, разъяснений 87

12.2 Набор бланков уведомления уполномоченного органа по защите прав субъектов ПДн 94

12.3 Набор шаблонов требований, запросов, возражений и заявлений субъектов ПДн 98

12.4 Комплект форм учета, предусмотренный нормативными правовыми актами и методическими документами регуляторов 99

13 Рекомендации по понижению класса ИСПДн 103

14 Рекомендации по применению программно-аппаратных средств защиты персональных данных в ИСПДн Учреждений 109

14.1 Обязательные технические мероприятия 109

14.2 Технические мероприятия, выполняемые для распределенных систем и при подключение к сетям общего пользования 109

15 Рекомендации по проведению аттестационных испытаний и по декларированию соответствия для ИСПДн Учреждений 120

16 Рекомендации в случае создания новых ИСПДн 122

17 Рекомендации по прохождению проверок контролирующих органов 123

возникновение угрозы причинения вреда жизни, здоровью граждан; 124

причинение вреда жизни, здоровью граждан; 124

нарушение прав потребителей (в случае поступления в адрес Службы или ее территориального органа обращений и заявлений граждан и (или) юридических лиц по вопросам, связанным с нарушением прав потребителей при предоставлении Оператором услуги, в рамках которой осуществляется обработка персональных данных). 125

содержащиеся в уведомлении об обработке персональных данных, поступивших от Оператора и фактической деятельности Оператора; 125

о фактах, содержащих признаки нарушения законодательства Российской Федерации в области персональных данных, изложенных в обращениях граждан и информации, поступившей в Роскомнадзор или его территориальный орган; 125

о наличии у Оператора письменного согласия субъекта персональных данных на обработку его персональных данных; 125

о соблюдении требований конфиденциальности при обработке персональных данных; 126

о фактах уничтожения Оператором персональных данных субъектов персональных данных по достижении цели обработки; 126

локальные акты Оператора, регламентирующие порядок и условия обработки персональных данных; 126

об иной деятельности, связанной с обработкой персональных данных. 126

17.1 Общие рекомендации 128