В соответствии с действующим законодательством по защите персональных данных оператор должен принимать технические и организационные меры. Для выполнения организационных мероприятий разрабатывается комплект внутренних документов, в соответствии с которыми оператор персональных данных в дальнейшем осуществляет их обработку и защиту.
С целью выполнения требований нормативных документов по защите персональных данных, а также с целью регламентации дальнейших действий оператора персональных данных по защите таких данных необходимо с учетом реальных условий обработки персональных данных разработать внутренние документы регламентирующие:
— правила обработки персональных данных в ИСПДн;
— правила обработки персональных данных без использования средств автоматизации;
— правила и процедуры идентификации и аутентификации пользователей ИСПДн;
— правила разграничения доступа к ресурсам ИСПДн;
— правила и процедуры управления информационными потоками;
— правила и процедуры управления установкой (инсталляцией) компонентов программного обеспечения;
— правила защиты машинных носителей информации;
— правила и процедуры контроля интерфейсов ввода-вывода;
— правила и процедуры гарантированного уничтожения информации;
— использование и контроль технологий беспроводного доступа и правила защиты беспроводных соединений;
— правила взаимодействия информационных систем с внешними информационными системами;
— правила и процедуры обеспечения доверенной загрузки средств вычислительной техники;
— правила и процедуры применения удаленного доступа к ИСПДн;
— правила и процедуры обнаружения (предотвращения) вторжений;
— правила и процедуры выявления, анализа и устранения уязвимостей;
— правила и процедуры контроля установки обновлений программного обеспечения;
— правила и процедуры контроля состава технических средств, программного обеспечения и средств защиты информации ИСПДн;
— правила и процедуры контроля целостности программного обеспечения;
— правила и процедуры резервирования технических средств, программного обеспечения, баз данных, средств защиты информации и их восстановления при возникновении нештатных ситуаций;
— правила использования электронной почты и защиты от спама;
— правила и процедуры контроля использования технологий мобильного кода;
— ролевую систему доступа к ресурсам ИСПДн;
— перечень лиц, должностей, служб и процессов, допущенных к работе с ресурсами ИСПДн;
— перечень лиц, допущенных в помещения, в которых производится обработка персональных данных;
— перечень разрешенного в ИСПДн программного обеспечения;
— правила реагирования на инциденты информационной безопасности;
— другие правила и процедуры.
Помимо указанных правил и процедур дополнительно должны разрабатываться инструкции пользователей ИСПДн и ответственных лиц, формы: актов, соглашений о неразглашении, уничтожения документов, журналов учета и т. д.
В зависимости от условий функционирования ИСПДн, некоторые правила и процедуры из представленного выше списка могут исключаться, а некоторые – добавляться (например, в списке нет правил и процедур защиты виртуальной инфраструктуры). Исходя из этого, разработка комплекта документов по защите персональных данных достаточно индивидуализирована для каждого оператора.