Перечень мероприятий по обеспечению безопасности персональных данных.

• Изучить бизнес-процессы с защищаемой информацией 
• Идентифицировать и описать все бизнес-процессы, связанные с обработкой защищаемых сведений (в том числе ПДн) 
• Определить какие программные и технические средства используются в данных процессах 
• Определить информационные потоки с защищаемыми сведениями 
• Изучить и выявить все информационные потоки (электронные, бумажные, аудиовизуальные и т.д.) с защищаемыми сведениями (в том числе с ПДн). 
• Определить состав обрабатываемых в организации ПДн (категория, тип, объем) 
• Определить весь персонал, участвующий в обработке защищаемых сведений (в том числе ПДн) 
• Установить степень участия персонала в обработке защищаемой информации 
• Определить цели и условия обработки защищаемой информации (в том числе ПДн) 
• Определить к какому типу (или совокупности типов) защищаемой информации (коммерческая тайна, профессиональная тайна, ПДн, конфиденциальные сведения иного характера, переданные на основании договорных или иных отношений) относится данная защищаемая информация 
• Сопоставить объем собираемых ПДн целям обработки (убрать избыточные данные) 
• Определить, выполняется ли обработка специальных категорий ПДн. Если да, то на каком основании 
• Определить, выполняется ли трансграничная передача ПДн. Если да, то убедиться что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, или в противном случае имеется обоснование для такой передачи 
• Определить ПДн, получаемые не непосредственно от субъекта ПДн и для таких случаев уведомить субъектов 
• Оценить возможности обработки ПДн в информационных системах без использования средств автоматизации 
• Разработать (или актуализировать имеющуюся) концепцию защиты 
• Разработать (или актуализировать имеющуюся) модель нарушителя 
• Разработать (или актуализировать имеющуюся) модель угроз 
• Разработать (или актуализировать имеющееся) Положение о защищаемой информации конфиденциального характера 
• Разработать (или актуализировать имеющийся) Перечень информации конфиденциального характера, подлежащей защите 
• Ввести разрешительный порядок доступа к защищаемой информации 
• Определить сроки хранения защищаемой информации (в том числе для ПДн) и конфиденциальности для КТ 
• Определить порядок уничтожения ПДн после достижения целей обработки 
• Регламентировать визуализацию конфиденциальности на материальных носителях информации конфиденциального характера (в том числе реквизиты коммерческой тайны на соответствующих носителях) 
• Регламентировать передачу защищаемых сведений сторонним организациям и лицам 
• Регламентировать порядок учета, передачи, хранения и охраны носителей защищаемой информации 
• Определить необходимость получения согласия на обработку ПДн и для тех случаев, когда необходимо, получить такое согласие в письменном виде 
• Определить договорные взаимоотношения, в рамках которых выполняется передача защищаемой информации (в том числе ПДн) 3-ей стороне и внести в такие договора требования об обеспечении конфиденциальности передаваемых сведений 
• Сформировать порядок реагирования на запросы со стороны субъектов ПДн и предоставления им их ПДн, внесения изменений, прекращения обработки ПДн 
• Определить структурное подразделение или должностное лицо, ответственное за обеспечение безопасности защищаемой информации (в том числе ПДн) 
• Провести обследование автоматизированных систем, предназначенных для обработки защищаемой информации 
• На основе анализа электронных информационных потоков разработать (актуализировать имеющуюся) схему защищаемой автоматизированной системы 
• При необходимости определить сегментацию и мероприятия по оптимизации автоматизированной системы 
• Определить комплект применяемых аппаратных, программно-аппаратных и программных средств 
• Выявить информационные системы, где из защищаемой информации обрабатываются только ПДн (выявить ИСПДн) 
• Выявить ИСПДн (в том числе государственные) и их границы (в рамках организации), в отношении которых организация не определяет цели обработки и требования по защите (например, передача отчетности в Пенсионный фонд РФ и т.п.). 
• Составить частные модели угроз для автоматизированных информационных систем с защищаемой информацией (в том числе для ИСПДн) 
• Провести классификацию ИСПДн 
• Определить необходимость уведомления уполномоченного органа по защите ПДн о начале обработки ПДн. Если необходимость есть, то составить и отправить уведомление 
• Создать (актуализировать) систему защиты информации конфиденциального характера (в том числе ПДн) 
• Провести мероприятия, направленные на предотвращение несанкционированного доступа к защищаемой информации (в том числе к персональным данным) и (или) передачи их лицам, не имеющим права доступа к такой информации 
• Определить порядок проведения контрольных мероприятий и действий по его результатам 
• Разработать должностные инструкции персоналу в части обеспечения безопасности защищаемой информации (в том числе ПДн) при их обработке 
• Разработать частное техническое задание 
• Разработать проект внедрения средств защиты (в том числе СЗПДн) 
• Произвести подбор возможных к решению задач средств защиты 
• Произвести тестирование совместимости планируемых к применению СЗИ и СКЗИ с автоматизированной информационной системой и между собой с составлением заключений о возможности их эксплуатации 
• Произвести закупку, установку СЗИ и СКЗИ 
• Провести опытную эксплуатацию и приемо-сдаточные мероприятия 
• Провести мероприятия по защите информации конфиденциального характера при ее обработке в автоматизированных информационных системах:

Защита от НСД

• Защита информации при межсетевом взаимодействии 
• Антивирусная защита 
• Обнаружение вторжений 
• DLP-решения 
• Контроль на наличие недекларированных возможностей в программном и программно-аппаратном обеспечении и анализ защищенности системного и прикладного программного обеспечения 
• При необходимости провести мероприятия по защите информации от утечки по техническим каналам
• Ввести поэкземплярный учет используемых криптосредств, эксплуатационной и технической документации к ним, материальных носителей защищаемой информации (в том числе персональных данных) 
• Назначить приказом ответственного пользователя криптосредств, имеющего необходимый уровень квалификации 
• Обеспечить размещение, специальное оборудование, охрану и организацию режима в помещениях, где установлены криптосредства или хранятся ключевые документы 
• Определить подразделения и назначить лиц, ответственных за эксплуатацию средств защиты информации с их обучением по направлению обеспечения безопасности информации конфиденциального характера (в том числе ПДн) 
• Провести обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними 
• Определить порядок действий должностных лиц в случае возникновения нештатных ситуаций 
• Провести контроль соответствия в форме оценки соответствия (аудита информационной безопасности) внешней организацией или в форме самооценки. 
• Вести учет лиц, допущенных к работе с защищаемой информацией (в том числе персональными данными) 
• Проводить служебные расследования и составлять заключения по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению режима защиты информации или другим нарушениям, приводящим к снижению уровня защищенности информации конфиденциального характера. Разрабатывать и принимать меры по предотвращению возможных опасных последствий подобных нарушений 
• Выполнять постоянный контроль за обеспечением уровня защищенности информации конфиденциального характера (в том числе ПДн) 
• Сообщать субъекту ПДн о целях обработки при сборе сведений, составляющих ПДн в предусмотренных законодательством случаях