Каждое Учреждение, эксплуатирующее ИСПДн, должно выполнить до 1 января 2010 года следующие действия:
1) Разработать и утвердить внутри учреждения приказ о защите персональных данных (см. Приложение 1*).
2) Разработать и утвердить внутри учреждения приказ о подразделении по защите персональных данных (см. Приложение 2*).
3) Разработать и утвердить внутри учреждения приказ о назначении ответственных лиц за обработку персональных данных (см. Приложение 3*).
4) Разработать и утвердить внутри учреждения Концепцию информационной безопасности и Политику информационной безопасности.
5) Разработать и утвердить внутри учреждения приказ о проведении внутренней проверки (см. Приложение 7*). Результат оформить в виде отчета (см. Приложение 8*).
6) Определить состав и категории обрабатываемых персональных данных (см. раздел 3 на стр.20 настоящих рекомендаций). Результат оформить в виде перечня ПДн (см. Приложение).
7) Осуществить классификацию действующих информационных систем, обрабатывающих персональные данные (см. раздел 4 настоящих рекомендаций). Результат оформить в виде акта классификации (см. Приложение 9*).
8) Разработать и утвердить внутри учреждения положение о разграничении прав доступа к обрабатываемым персональным данным (см. Приложение 10*).
9) Адаптировать модель угроз к конкретной ИСПДн учреждения (см. Методику составления частной модели угроз). Результат оформить в виде Модели угроз (см. Приложение 11*).
10) Разработать и утвердить план мероприятий по защите ПДн (см. Приложение 12*). Необходимо учесть, что план мероприятий может быть пересмотрен через 6 месяцев ввиду опубликования новых пояснений по ФЗ-152 со стороны регуляторов.
11) Зарегистрироваться в качестве оператора персональных данных - подготовить и направить уведомление в территориальный орган Россвязькомнадзора - уполномоченный орган по защите прав субъектов персональных данных (см. Приложение 25*).
12) Назначить ответственных за обеспечение безопасности персональных данных и подготовить должностные инструкции сотрудников, обрабатывающих ПДн, в составе:
- Инструкция администратора ИСПДн;
- Инструкция администратора безопасности;
- Инструкция пользователя при работе с ИСПДн;
- Инструкция пользователя по обеспечению безопасности обработки персональных данных, при возникновении внештатных ситуаций.
13) Разработать и утвердить порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ (см. Приложение 13*).
14) Разработать и утвердить план внутренних проверок состояния защиты ПДн (см. Приложение 14*).
15) Разработать и утвердить журнал учета обращений субъектов ПДн о выполнении их законных прав (см. Приложение 16*).
16) Разработать и утвердить перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним (см. Приложение 21*).
17) Разработать и утвердить электронный журнал обращений пользователей информационной системы к ПДн (см. Приложение 24*)
__________________
* Текст приложений на сайте не приводится. - Примечание изготовителя базы данных.
18) Провести необходимые технические мероприятия для обеспечения защиты ПДн при их обработке в ИСПДн (см. раздел 6 на стр.70). В их состав входят:
а) Обязательные технические мероприятия.
б) Технические мероприятия, выполняемые, при выделении дополнительного финансирования.
19) Декларировать соответствие или провести аттестационные (сертификационные) испытания ИСПДн (см. раздел 8 на стр.86).