Этапы работ по защите персональных данных

 

 

 

 

  1. Обследование информационных систем персональных данных:
    • cбор и анализ исходных данных с точки зрения организационно-правовой и технической защиты;
    • анализ процессов обработки ПДн, состава ИСПДн, степени участия персонала в обработке ПДн, уже принятых мер по обеспечению информационной безопасности;
    • классификация информационных систем персональных данных;
    • формирование и подача уведомления об обработке персональных данных в Федеральный реестр операторов;
    • финальный отчет об обследовании в терминах законодательства (описание выявленных недостатков, рекомендации по выполнению требований по защите ПДн).
  2. Разработка организационно-распорядительной документации:
    • частная модель угроз безопасности ПДн;
    • перечень ПДн;
    • перечень ИСПДн;
    • перечень допущенных к обработке ПДн;
    • положения, журналы, регламенты, инструкции, приказы и др.;
    • разработка технического задания для построения системы защиты персональных данных.
  3. Внедрение системы защиты персональных данных:
    • проектирование системы защиты персональных данных;
    • поставка средств защиты информации;
    • подготовка объекта защиты к вводу СЗПДн в действие (в том числе обучение персонала);
    • ввод СЗПДн в действие;
    • оценка соответствия системы.
  4. Сопровождение системы защиты персональных данных:
    • консультирование сотрудников по вопросам организационного характера в сфере защиты ПДн;
    • консультирование сотрудников по вопросам эксплуатации СЗПДн;
    • модернизация организационно-распорядительной документации в случае изменений в законодательстве.

Результаты выполнения работ по защите персональных данных

Снижение рисков, связанных с:

  • гражданско-правовыми исками со стороны сотрудников, клиентов и контрагентов;
  • привлечением организации, руководителя и сотрудников к административной ответственности;
  • возможным принудительным приостановлением деятельности по обработке ПДн;
  • возможным приостановлением действия или аннулированием лицензий.

Снижение финансовых затрат, связанных с необходимостью реагирования на перечисленные выше риски.

Подготовленность организации к подтверждению надлежащего обеспечения защиты персональных данных перед регулирующими органами.

Реальное обеспечение безопасности обрабатываемой информации конфиденциального характера, в том числе содержащей персональные данные.