О компании Услуги Ситуации Отрасли Органы Блог Отзывы F.A.Q. Кейсы Контакты
+7 (901) 499-39-49
Главная
Кейсы
Организация системы защиты персональных данных на предприятии

Организация системы защиты персональных данных на предприятии

+7 (495) 134-80-68

Вводные данные

Компания: ООО «Технологическое предприятие»

Деятельность: Разработка и продажа промышленного оборудования

Штат: 50 сотрудников

Работа с ПДн:

    персонал (кадровое делопроизводство, бухгалтерия),

    клиенты (заявки через сайт, сервисное обслуживание),

    контрагенты (договоры, реквизиты, контактные лица).

Используемые ИСПДн: 1С, CRM, корпоративная почта, сайт, Google Диск.

Передача ПДн за рубеж: нет

Специальные категории ПДн: не обрабатываются

Цель

Построить систему обработки и защиты персональных данных, соответствующую 152-ФЗ и подзаконным актам.

✅ Решение — пошаговое внедрение

  1. Назначение ответственного (Шаг 1.1)
    1. Издан приказ о назначении ответственного за организацию обработки ПДн.
    2. Разработана должностная инструкция.
    3. Внесены изменения в трудовой договор.
    4. Основание: ст. 18.1 ФЗ-152, ПП № 1119
  2. Формирование рабочей группы (Шаг 1.2)
    1. Создана межфункциональная группа: юрист, ИТ, HR, бухгалтер.
    2. Разработано положение о группе.
    3. Утверждён план-график внедрения.
    4. Основание: п. 9 ПП № 1119, п. 4 Приказа ФСТЭК № 21
  3. Определение объёмов и целей обработки ПДн (Шаг 1.3)
    1. Составлен Перечень обрабатываемых ПДн по категориям субъектов.
    2. Подготовлена матрица «Субъект — цель — основание — состав».
    3. Разработаны положения по сотрудникам и по клиентам/контрагентам.
    4. Основание: ст. 5, 6, 18.1 ФЗ-152
  4. Подготовка и утверждение политики (Шаг 4.1)
    1. Опубликована Политика на сайте компании.
    2. Внутренние положения по работникам и клиентам утверждены директором.
  5. Оформление согласий (Шаг 4.2)
    1. Подготовлены согласия на обработку ПДн сотрудников.
    2. На сайте реализована форма публичного согласия (чекбокс, ссылка на политику).
    3. Заведен журнал регистрации согласий.
  6. Разработка организационно-распорядительных документов (Шаг 4.3 – 4.4)
    1. Изданы приказы: о допуске, об уничтожении ПДн, об утверждении мест хранения.
    2. Подписаны обязательства о неразглашении.
    3. Подготовлены формы заявлений субъектов (на доступ, отзыв, исправление и т.д.).
  7. Реализация мер защиты в ИСПДн (Шаг 5.1 – 5.3)
    1. Выбраны меры защиты с учетом угроз (2-й уровень защищенности).
    2. Настроены политики доступа, резервное копирование, антивирус.
    3. Внедрено логирование событий.
    4. Проведена оценка вреда субъектам ПДн (приказ, акт, протокол).
  8. Инструктаж и обучение сотрудников (Шаг 6.1)
    1. Разработана программа вводного инструктажа.
    2. Ведется журнал проведения инструктажей.
    3. Подписываются обязательства о неразглашении.
  9. Взаимодействие с субъектами ПДн (Шаг 6.2)
    1. Реализованы каналы для подачи заявлений субъектов.
    2. Организован контроль сроков ответов (до 30 дней).
    3. Ведется журнал запросов.
  10. Уведомление в Роскомнадзор (Шаг 7.1)
    1. Подано уведомление через личный кабинет.
    2. Получено подтверждение.
    3. Подготовлено обоснование по исключениям (для части направлений).
  11. Ведение журналов проверок и внутренний контроль (Шаг 7.2, 8.1)
    1. Ведется журнал внутренних и внешних проверок.
    2. Разработано положение о системе внутреннего контроля.
    3. Назначены сроки регулярного аудита.

Результаты

  • Все обязательные документы утверждены.
  • Права субъектов реализуются.
  • Сформирована структура управления защитой ПДн.
  • Уведомление в РКН подано.
  • Внедрены организационные и технические меры защиты.

Предприятие выполнило требования 152-ФЗ, ПП № 1119, Приказа ФСТЭК № 21.

Система обработки ПДн стала управляемой, защищённой и готовой к проверкам.

Оставить заявку

Возврат к списку