Шаблоны документов и инструкции по их заполнению
Учреждениям Минздравсоцразвития России в обязательном порядке необходимо самостоятельно или с привлечением лицензиатов ФСТЭК России разработать и утвердить следующие внутренние нормативные документы по защите персональных данных:
1) Положение о защите персональных данных.
2) Положение о подразделении по защите информации.
3) Приказ о назначении ответственных лиц за обработку ПДн.
4) Перечень персональных данных, подлежащих защите.
5) Приказ о проведении внутренней проверки.
6) Отчет о результатах проведения внутренней проверки.
7) Акт классификации информационной системы персональных данных угроз для конкретной ИСПДн.
8) Положение о разграничении прав доступа к обрабатываемым персональным данным.
9) Модель угроз безопасности персональных данных угроз для конкретной ИСПДн.
10) План мероприятий по обеспечению защиты ПДн.
11) Порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ.
12) Должностные инструкции сотрудников, обрабатывающих ПДн:
- Должностная инструкция администратора ИСПДн.
- Инструкция пользователя ИСПДн.
- Должностная инструкция администратора безопасности ИСПДн.
- Инструкция пользователя по обеспечению безопасности обработки персональных данных, при возникновении внештатных ситуаций.
13) План внутренних проверок.
14) Журнал по учету мероприятий по контролю состояния защиты ПДн.
15) Журнал учета обращений субъектов ПДн о выполнении их законных прав.
16) Положение об Электронном журнале обращений пользователей информационной системы к ПДн.
17) Копия уведомления Роскомнадзора с исходящим номером и датой подписания
Для правильного выполнения технических мероприятий желательно иметь следующие документы:
1) Концепцию информационной безопасности ИСПДн учреждения.
2) Политику информационной безопасности ИСПДн учреждения.
3) Техническое задание на разработку системы обеспечения безопасности ИСПДн.
4) Эскизный проект на создание системы обеспечения безопасности ИСПДн.