№;Что указано в статьях;Что пишем, если выполнено в организации;Что делать, если не выполнено / комментарии
1;назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;В организации назначен ответственный за организацию обработки ПДн;Назначить ответственного приказом по организации
2;издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;Приняты «Положение об обработке персональных данных», «Положение об организации и проведении работ по обеспечению безопасности персональных данных при их автоматизированной обработке в информационных системах персональных данных», разработан «План мероприятий по обеспечению защиты ПДн»;Разработать и принять указанные положения и план мероприятий (*)
3;осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных;Осуществляется внутренний контроль соответствия обработки ПДн требованиям к защите ПДн, установленным законодательными актами, локальными актами организации;Наладить такой контроль
4;оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;Произведена оценка вреда, который может быть причинен субъектам в случае нарушения 152-ФЗ, определено соотношение возможного вреда и принимаемых мер обеспечения безопасности;Сделать оценку вреда (*)
5;ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;Работники, осуществляющие обработку ПДн, ознакомлены с положениями законодательства, требованиями к защите ПДн, внутренними документами организации по защите ПДн;Документы (*) принять, под роспись работников ознакомить
6;оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети;«Положение об обработке ПДн» опубликовано на сайте организации, в офисе обеспечен неограниченный доступ к документу;Положение выложить на сайт, а также в случае сбора данных через сайт, на сайте должно быть Пользовательское соглашение или Политика обработки ПДн
7;определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;Определены угрозы безопасности ПДн;Сделать Модель угроз (*)
8;применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;Определен уровень защищенности ПДн и реализован базовый набор мер по обеспечению безопасности ПДн;Определить уровень защищенности ИСПДн в соответствии с ПП РФ №1119 (уровни 1-4), определить базовый набор мер (приказ ФСТЭК №21) и обеспечить их выполнение. В части мер, относящихся к используемой облачной ИСПДн (Клиентикс ERP), хранить договор, описание мер и иные подтверждающие материалы Лицензиара для представления при проверке
9;применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;Применяются сертифицированные СЗИ;Пишите это, если применяются. Если не знаете, что это такое – не пишите.
10;учетом машинных носителей персональных данных;Ведется учет машинных носителей информации;Пишите это, если делаете копии базы данных из ИСПДн (например, Клиентикс ERP), или какие-то иные данные храните на флешках или внешних жестких дисках. Эти носители должны быть пронумерованы, внесены в "Журнал учета машинных носителей информации". Если копии не делаете, то ничего не пишите.
11;обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;Определен порядок обнаружения фактов НСД к данным и принятия мер;Как именно обнаруживаются эти факты и что делается, нужно писать в «Положение об организации и проведении работ по обеспечению безопасности персональных данных при их автоматизированной обработке в информационных системах персональных данных», о котором упоминалось в строке 2. Нужно, чтобы факты несанкционированного доступа как-то отслеживались в организации, например, если кто-то чужой работал за компьютером, где есть доступ к ПДн – это как раз такой факт. Желательно на компьютере иметь СЗИ – средство защиты информации от несанкционированного доступа (Security Studio, Dallas Lock или иное), о которых упоминается в стр.9
12;восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;Определен порядок восстановления ПД, модифицированных или уничтоженных вследствие НСД;Этот порядок также прописывается в «Положение об организации и проведении работ по обеспечению безопасности персональных данных при их автоматизированной обработке в информационных системах персональных данных»
13;установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе;Определены правила доступа к ПД, обрабатываемым в ИСПДн;Правила доступа определяются документом «Матрица доступа», также должны быть приказы о назначении работников для работы в ИСПДн, должна быть «Инструкция пользователя ИСПДн», в которой описаны правила работы в ИСПДн, учет действий, совершаемых с ПДн, ведется в «Клиентикс ERP» (указано в договоре). Об учете действий с другими ПДн, обрабатываемыми в организации, нужно позаботиться отдельно.
14;контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;Осуществляется периодический контроль за принимаемыми мерами по обеспечению безопасности ПДн в организации;Должен производиться аудит ситуации с ПДн в организации хотя бы 1 раз в год – отслеживаются изменения в законодательстве, создается комиссия, которая пишет протокол с анализом реализуемых в организации мер безопасности в соответствии с установленным уровнем защищенности, проверяет ведение журналов, ознакомление с документами новых работников, обновление приказов, выполнение Плана мероприятий. Если этот пункт написать, то нужно быть готовым при проверке предоставить хотя бы 1 такой протокол (или иной документ, подтверждающий, что была произведена актуализация).