Цитата:
Сообщение от greenvis
Увы, похоже, так оно и есть.
Причем под Закон попадают все без исключения типографии и РА, работающие с использованием интернета.
Т.е. вообще ВСЕ. Короче говоря — 100%.
Так что, друзья, готовьте документы по списочку:
- Приказ о назначении комиссии по приведению в соответствие с требованиями законодательства в области персональных данных.
- Положение о комиссии по приведению в соответствие с требованиями законодательства в области персональных данных.
- План мероприятий по приведению в соответствие с требованиями законодательства в области персональных данных.
- Перечень должностей и третьих лиц, допущенных к обработке персональных данных.
- Форма Обязательства о неразглашении персональных данных.
- Форма Соглашения о соблюдении конфиденциальности персональных данных, переданных на обработку.
- Перечень обрабатываемых персональных данных.
- Форма Согласия на обработку персональных данных.
- Форма Согласия на обработку персональных данных для сайта.
- Перечень информационных систем персональных данных.
- Перечень применяемых средств защиты информации.
- Перечень помещений, в которых ведется обработка персональных данных.
- Технический паспорт информационных систем персональных данных.
- Приказ о назначении лиц, ответственных за обработку и защиту персональных данных.
- Инструкция администратора информационной безопасности.
- Инструкция менеджера обработки персональных данных.
- Положение по обработке персональных данных.
- Политика компании в отношении обработки персональных данных.
- Положение об обеспечении безопасности персональных данных.
- Уведомление об обработке персональных данных.
- Приказ об утверждении Инструкции пользователя информационных систем персональных данных.
- Инструкция пользователя информационных систем персональных данных.
- Регламент по учёту, хранению и уничтожению носителей персональных данных.
- Регламент по допуску сотрудников и третьих лиц к обработке персональных данных.
- Регламент по реагированию на запросы субъектов персональных данных.
- Регламент по взаимодействию с органами государственной власти в области персональных данных.
- Регламент по резервному копированию персональных данных.
- Регламент по проведению контрольных мероприятий и реагированию на инциденты информационной безопасности.
|
Это только документы, которые надо готовить.
Кроме них надо предпринимать собственно сами технические и административные меры по защите.
А они включают в себя согласно приказу:
... В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
идентификация и аутентификация субъектов доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
ограничение программной среды;
защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
регистрация событий безопасности;
антивирусная защита;
обнаружение (предотвращение) вторжений;
контроль (анализ) защищенности персональных данных;
обеспечение целостности информационной системы и персональных данных;
обеспечение доступности персональных данных;
защита среды виртуализации;
защита технических средств;
защита информационной системы, ее средств, систем связи и передачи данных;
выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;
управление конфигурацией информационной системы и системы защиты персональных данных.
Мы этой херней давно уже озаботились.
Так что уверенно заявляю - дело это не простое, довольно затратное и в общем не решаемое в принципе.
Но другого государства у нас нет.
Так что - вы держитесь там! Главное - это здоровье!
С уважением,