Добрый день, коллеги! Выкладываю таблицу с вебинара в текстовом виде для удобства. Первая колонка — что проверяем в начале проверки, вторая колонка — проверяем во вторую очередь, третья колонка — мои примечания для вас.
Также на вебинаре я поделилась фрагментом своего платного Чек-листа: Создаем систему защиты персональных данных с нуля. Вы можете скачать его бесплатно.
Хорошего дня!
Проверяем в первую очередь |
Стоит обратить внимание на |
Примечание |
Комплектность пакета документов |
Своевременное внесение изменений в документы |
Нужно предварительно составить полный перечень. |
Листы ознакомления (подписи!) |
Своевременное переознакомление |
Ознакомление при трудоустройстве, при выходе нового документа, при обнаружении инцидентов и т.д. Ведем реестр. |
Наличие согласий на обработку |
Соответствие формы согласия |
Проверяем досконально по п. 4 ст. 9 ФЗ 152. |
Наличие политики обработки ПДн |
Соответствие политики обработки ПДн закону |
Рекомендации Роскомнадзора https://rkn.gov.ru/personal—data/p908/ |
Назначено ли ЛОООПДн |
Назначены ли другие ответственные лица |
За организацию обработки отвечает руководитель уровня заместителя директора и т.п., обычно отдельно назначают ответственных за безопасность ПДн (ИБ), за обработку данных сотрудников (кадры), за обработку данных клиентов (фронт-офис). |
Наличие уведомления об обработке |
Своевременное внесение изменений в уведомление |
Ищем полное соответствие обработки на бумаге и в жизни. |
Определен ли порядок работы с СКЗИ |
Актуальность документации на СКЗИ |
Сертификаты, лицензии, списки лиц, правила работы – все имеет значение. |
Наличие журналов |
Правильное ведение журналов |
Проверяем подписи, корректные даты, заполнение всех полей согласно внутренним требованиям. |
Есть ли правила доступа пользователей |
Настройки прав доступа |
Тестируем. Заходим под пользователем и пытаемся сделать что-то запрещенное. |
Организовано ли хранение носителей |
Соответствие правил хранения на практике и на бумаге |
Бумага, флешки, диски, сейфы, шкафы, замки на шкафах, хранение на столах в открытом виде, хранение в незапертых ящиках – изучаем досконально. |
Соответствует ли документам размещение ОТСС |
Размещение ВТСС |
Проверяем соответствие физического размещения ИСПДн схемам помещений, в которых ведется обработка. |
Проводится ли оценка вреда субъектам |
Адекватность оценки вреда субъектам |
Требований со стороны закона пока нет. |
Источник — блог Ксении Шудровой «Защита персональных данных и не только — книга рецептов».