Задачи самооценки (проверки)
Цели самооценки (проверки)
Понятия
Содержание самооценки обработки и защиты персональных данных
Виды проверок обработки и защиты ПДн в организации
1. Мониторинг и контроль мер обработки и защиты ПДн.
2. Проведение самооценки обработки и защиты ПДн.
3. Проведение аудита обработки и защиты ПДн. Не можем делать сами, это должна быть внешняя организация.
Самооценка обработки и защиты ПДн – систематический документированный процесс получения свидетельств в деятельности организации по обеспечению защиты ПДн и установления степени выполнения в организации установленных критериев самооценки обработки и защиты ПДн.
Критерии самооценки обработки и защиты ПДн – совокупность требований в области обработки и защиты ПДн, характеризующих некоторый уровень их защиты.
Свидетельства (доказательства) самооценки обработки и защиты ПДн– записи, изложение фактов или другая информация, которые имеют отношение к критериям самооценки обработки и защиты ПДн и могут быть проверены.
Проверка выполнения обязательных требований в области обработки и защиты ПДн, определённых в нормативных правовых актах Российской Федерации на соответствие установленным критериям.
1. Анализ и оценка проведённых работ по выполнению обязательных требований в области защиты ПДн в организации:
a. В информационных системах обработки ПДн (ИСПДн);
b. Обработки ПДн без использования средств автоматизации, в т.ч. биометрических ПДн и ПДн работника.
2. Оценка достаточности и эффективности принятых правовых, организационных, технических, криптографических, экономических и морально-этических мер при обработке ПДн и их защите.
3. Подготовка заключения (акта) проведения самооценки (проверки) достаточности выполнения обязательных требований, регламентирующих обработку ПДн и их защиту и её соответствия определённым критериям и мер по совершенствованию.
Содержание проведения самооценки обработки и защиты ПДн
1. Уяснение целей и задач самооценки.
2. Определение состава комиссии по проведению самооценки (проверки) обработки и защиты ПДн.
3. Разработка Программы самооценки (проверки) обработки и защиты ПДн.
4. Издание приказа о проведении самооценки (проверки) обработки и защиты ПДн:
a. Состав комиссии;
b. Сроки проведения и представления результатов самооценки;
c. Утверждение Программы самооценки (проверки) обработки и защиты ПДн. Жуков, Шеметов
5. Проведение самооценки.
6. Подготовка Заключения (акта) и его утверждение у руководителя организации.
7. Издание приказа о результатах самооценки.
8. Разработка Плана устранения недостатков, выявленных в ходе самооценки.
Содержание Программы самооценки (проверки) обработки и защиты ПДн
1. Название: Программа самооценки (проверки) обработки и защиты персональных данных в (наименование организации).
2. Разделы программы:
2.1. Цели самооценки (проверки).
2.2. Задачи проверки.
2.3. Нормативные правовые акты и стандарты, использованные для составления программы самооценки (проверки).
2.4. Мероприятия самооценки (проверки).
2.4.1.1. Номер по порядку.
2.4.1.2. Наименование мероприятия самооценки (проверки).
2.4.1.3. Требования НПА, стандарта, рекомендаций, методик.
2.4.1.4. Ответственный (-ые).
2.4.1.5. Сроки.
2.4.1.6. Представлено сделано.
| № п/п | Наименование мер. | Треб. НПА | Ответств. | Срок | Пров. (сделано) |
| I. Общие вопросы. | |||||
| 1.1 | Наличие увед. | С.22 ФЗ №152 | Юр. Сп. | 20.12.2011 | |
| 1.2 |
Подпись всех членов комиссии.
2.5. Раздел – мероприятия самооценки (проверки) целесообразно разделить на:
2.5.1. Общие вопросы.
2.5.2. Обработка и защита ПДн в ИСПДн.
2.5.3. Обработка ПДн без использования средств автоматизации.
2.5.4. Обработка биометрических ПДн без использования средств автоматизации.
2.5.5. Обработка ПДн работника.
Подписывается программа членами комиссии и утверждается приказом и/или руководителем организации.
Содержание Справки о самооценке (проверке) пункта X.XX. Программы
1. Наименование мероприятия самооценки (проверки) Программы:
2. Содержание оцениваемого (проверяемого) требования НПА, стандарта, рекомендаций:
3. Место проведения самооценки (проверки): (наименование комнаты (помещения), рабочего места):
4. Самооценка (проверка):
5. Номер по порядку.
6. Последовательность действий и содержание самооценки (проверки) пункта Программы.
7. Используемые технические средства (оборудование) (название, номер), программное обеспечение (название), используемые протоколы (название) и т.п.
8. Наличие сертификатов соответствия (название, номер, дата).
9. Результаты самооценки (проверки).
10. Выводы.
11. Предложения.
Подпись, инициалы и Фамилия (соответствующего должностного лица (лиц), проводившего (-их) самооценку.
Содержание заключения (акта) о результатах самооценки (проверки) обработки и защиты ПДн
Разделы заключения
12. Результаты работы комиссии по каждому пункту Программы.
13. Выводы комиссии.
14. Предложения комиссии по результатам самооценки (проверки).
Подписи всех членов комиссии.
Заключение, как правило, утверждается руководителем организации.
Содержание Плана устранения недостатков, выявленных в ходе самооценки (проверки) обработки и защиты ПДн в организации
1. Название: Плана.
2. Разделы Плана:
I. Цели.
II. Задачи.
III. Мероприятия.
1)Номер по порядку.
2)Наименование недостатка.
3)Мероприятия по устранению.
4)Ответственный (-ые) исполнитель (-ли).
5)Сроки устранения.
6)Отметка о выполнении.
Подписи членов комиссии.
План, как правило, утверждается руководителем организации.
Итого, документы:
1. Приказ о составе комиссии.
2. Программа самооценки.
3. Справка.
4. Заключение.
5. Приказ о результатах.
6. План устранения недостатков.