152-ФЗ – Персональные данные

Предложение

о приведении обработки персональных данных в соответствии с
требованиями законодательства РФ

В связи с требованиями Федерального закона 152-ФЗ «О персональных данных», постановлений Правительства РФ № 687 и № 1119, приказов ФСТЭК России № 21 и ФСБ России № 378, а также поступившим запросом о проведении обработки персональных данных, обеспечения безопасности персональных данных, в
соответствии с требованиями законодательства РФ в области персональных данных, предлагаем провести следующие работы:

№ *п/п*	*Наименование услуг*	*Кол-во*
	ОБСЛЕДОВАНИЕ ПРОЦЕССОВ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1.	Проведение обследования инфраструктуры, информационных потоков, с целью получения объективной информации по процессам обработки	1
2.	Технико-юридический аудит сайта и приведение размещения, сбора персональных данных в соответствии с требованиями законодательства РФ	1
3.	Анализ существующей в организации локальной документации, регламентирующей процессы обработки и защиты персональных данных	1
4.	Консультации работников (руководителей подразделений) при проведении обследования
	РАЗРАБОТКА ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ ДОКУМЕНТОВ
5.	Документы по обработке и защите персональных данных, создающие первоочередные риски при мероприятиях систематического наблюдения Роскомнадзора в рамках ст. 13.11 и 19.7 КоАП (согласно *Приложению №1*).	1
8.	Пакет организационно – распорядительных и эксплуатационных документов по обработке и защите персональных данных согласно *Приложению №2*.	1
	РАЗРАБОТКА ДОКУМЕНТОВ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ
10.	Модель угроз и нарушителя безопасности информационной системы ПДн	2
11.	Техническое задание создания системы защиты информационной системы ПДн	2
	Пакет локальных документов согласно требованиям ФСБ России, при использовании средств криптографической защиты информации (СКЗИ) *Приложение №3* (по отдельному договору)
	ПОВЫШЕНИЕ ОСВЕДОМЛЕННОСТИ РАБОТНИКОВ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
12.	Дистанционное обучение работников, непосредственно осуществляющих обработку персональных данных, по вопросам внедрения организационно-распорядительной документации (дистанционно до 2 акад.ч.)	1
13.	Участие в бесплатном вебинаре об изменениях в законодательстве в области персональных данных и актуализации организационно-распорядительной документации (1 раз в год)	1
14.	Предоставление доступа к обучающему авторскому электронному курсу по работе с персональными данными во избежание штрафов по ст. 13.11 КоАП РФ	1
	Предоставление доступа к обучающему электронному курсу: «Защита персональных данных. К нам пришла проверка Роскомнадзора»	1
	*Итоговая стоимость проекта:*	60 000 рублей

– предложение действительно до 08.01.2020

Приложение № 1 к Предложению<u></u>

Документы по обработке и защите персональных данных, создающие
первоочередные риски при проверках/запросах Роскомнадзора в рамках ст.
13.11 и 19.7 КоАП

Политика
в отношении обработки и защиты персональных данных (в редакции по
требованиям Роскомнадзора от 27.07.2017 г.)
Формы документов, (приложение к Политике)

– форма запроса (+ответа на запрос) ознакомление с персональными данными

– форма запроса (+ответа на запрос) о неточности персональных данных

– форма запроса (+ответа на запрос) неправомерность обработки персональных
данных

– форма запроса (+ответа на запрос) отзыв обработки персональных данных

– Регламент реагирования на обращения субъектов персональных данных

Положение об обработке персональных данных с использованием средств
автоматизации
Положение об обработке персональных данных без использования средств
автоматизации
Формы Согласий:

· а) Работника-общая; б) Работника-при передаче 3 лицам (по каждому 3 лицу
в отдельности + по каждой цели 3 лицу в отдельности; в) Работника- при
размещении в общедоступных источниках (сайт, визитки, рекламные буклеты и
т.д); г) Работника-при трансграничной передаче (при выявлении случаев
выезда работников заграницу, отправке документов по запросу и т.д.); д)
Работника-при обработке специальных категорий(при выявлении случаев);е)
Работника-при обработке биометрических ПДн, выпуске удостоверения, системе
управления доступом в здание и т.д(при выявлении случае.в)

· Граждан(клиентов)-общая; Клиенты-при передаче ПДн 3 лицу (при выявлении
случаев)

Контрагента-физическое лицо
Кандидат на вакансию
Бывший работник
Временные работники (при выявлении случаев)
Пользователь сайта
и иные субъекты (при выявлении случаев)

Формы договоров
с 3 лицами, при передаче им на обработку персональных данных Граждан
(клиентов), Работников (Банки, Поликлиники, Операторы связи,
Аутсорсинговые компании и т.д.);
Формы заявлений работников, граждан(клиентов)
в соответствии с требованиями п.7 ч.II постановления Правительства №687
Формы типовых документов
, характер информации в которых предполагает или допускает включение в
них персональных данных.

9. Уведомление в Роскомнадзор (Информационное письмо об
изменениях) об обработке и защите персональных данных.

Приложение № 2 к Предложению

Примерный перечень организационно-распорядительных документов по

защите персональных данных

1. Алгоритм применения(внедения) комплекта документов по обработке и защите
персональных данных в организации

2. Акт об уничтожении персональных данных на носителях персональных данных
субъектов

3. Акт об уничтожении носителей персональных данных субъектов персональных
данных

4. Акт(-ы) оценки вреда субъектам персональных данных

5. Акт(-ы) присвоения уровня защищенности персональных данных в
информационной системе персональных данных

6. Договоры с 3 лицами при передаче персональных данных на обработку (с
каждым 3 лицом)

7. Журнал учета машинных носителей информации

8. Журнал учета средств защиты информации, эксплуатационной и технической
документации к ним

9. Журнал учёта ключей от сейфов и помещений

10. Журнал учета обращений субъектов информационной системы персональных
данных

11. Журнал учета проверок юридического лица (при необходимости)

12. Журнал учета работ в информационной системе персональных данных.

13. Инструкция о порядке работы с персональными данными

14. Инструкция ответственного за организацию обработки персональных данных

15. Инструкция ответственного за обеспечение безопасности персональных
данных в информационных системах

16. Инструкция(-ии) по заполнению типовых форм документов, содержащих в них
персональных данных

17. Инструкция по организации антивирусной защиты

18. Инструкция по организации парольной защиты

19. Инструкция по физической охране, контролю доступа в помещения (при
необходимости)

20. Инструкция пользователя информационной системы персональных данных

21. Обязательство о неразглашении конфиденциальной информации

22. Перечень информационных систем персональных данных

23. Перечень автоматизированных рабочих мест

24. План внутренних проверок состояния защищенности персональных данных

25. План мероприятий по защите персональных данных

26. Положение о системе видеонаблюдения (при необходимости)

27. Положение по обезличиванию персональных данных (при необходимости)

28. Правила передачи персональных данных 3 лицам

29. Приказ о введении в действие организационно-распорядительных документов
по защите персональных данных

30. Приказ об определении границ контролируемой зоны

31. Приказ об организации работ по обеспечению безопасности персональных
данных

32. Приказ о введении журнала для однократного пропуска субъекта
персональных данных на территорию (при необходимости)

33. Приказ об утверждении мест хранения материальных носителей персональных
данных

34. Приказ об утверждении списка должностных лиц, которым необходим доступ
к персональным данным, обрабатываемым в информационной системе

35. Регламент резервного копирования и восстановления данных

36. Список лиц, доступ которых к персональным данным необходим для
выполнения служебных (трудовых) обязанностей

37. Список мест хранения материальных носителей персональных данных

Приложение № 3 к Предложению

Перечень документов по требованиям ФСБ РФ при использовании средств
криптографической защиты информации (СКЗИ)

Средства криптографической защиты информации (СКЗИ), например,
КриптоПро, используются в бухгалтерии для отчетности, в отделах
использующих Электронно-цифровую Подпись и т.д.

1. Алгоритм по применению комплекта документов по эксплуатации СКЗИ

2. Приказ о назначении ответственного пользователя СКЗИ

3. Инструкция «Функциональные обязанности ответственного пользователя СКЗИ»

4. Приказ об утверждении перечня пользователей СКЗИ

5. Приказ о выделении помещений с СКЗИ и утверждении списка лиц, имеющих
право доступа в помещения с СКЗИ

6. Инструкция по организации и обеспечению безопасности эксплуатации
шифровальных (криптографических) средств в ИСПДн

7. Журнал учёта хранилищ, сейфов, шкафов и ключей от них

8. Журнал приема и сдачи помещений, шкафов, сейфов и ключей от них

9. Журнал проверок исправности сигнализации

10. Журнал поэкземплярного учёта СКЗИ, эксплуатационной и технической
документации к ним

11. Схема организации криптографической защиты персональных данных в ИСПДн

12. Акт оценки соответствия организации требованиям ФСБ к эксплуатации СКЗИ

13. Заключение об обучении правилам работы с СКЗИ (слушателей обучения)

14. Форма Заключения о проверке готовности к использованию и эксплуатации
СКЗИ

15. Форма запроса в организацию – поставщик СКЗИ (спец. оператор –
организация лицензиат ФСБ России) для получения недостающих документов