Приказ о проверке и классификации ИСПДн

Приказ о проведении проверки и классификации ИСПДн определяет положение о проведении проверки и классификации информационных систем персональных данных.

Приказ оформляется в соответствии с внутренним порядком документооборота организации и утверждается руководителем организации.

В Приказе о проведении проверки и классификации ИСПДн должен быть:

• установлен срок проведения проверки и классификации ИСПДн;
• указан состав комиссии по классификации ИСПДн. В состав комиссии рекомендуется включить ответственного за обеспечение безопасности, руководителей отделов, чьи подразделения участвуют в обработке персональных данных, технических специалистов, обеспечивающих поддержку технических средств. Также к участию в комиссии в качестве консультантов можно привлекать специалистов сторонних организаций;
• указаны должность и ФИО председателя комиссии и должности и ФИО членов комиссии;
• указан сотрудник, ответственный за контроль исполнения приказа. Ответственным сотрудником может быть руководитель организации, лицо, отвечающее за обеспечение режима безопасности или проведение внутренней проверки, или любой другой сотрудник, на которого возложен контроль за выполнение приказа.

Приказ о проведении проверки и классификации информационных систем персональных данных необходим в целях исполнения Федерального закона N 152-ФЗ от 27 июля 2006 года "О персональных данных".

Результаты проверки ИСПДн необходимо отразить в Акте проверки ИСПДн. В акте должны быть отражены:

• Состав и структура объектов защиты.
• Конфигурация и структура ИСПДн.
• Информация о разграничении прав доступа к обрабатываемым персональным данным.
• Режим обработки персональных данных.
• Выявленные угрозы безопасности персональных данных.
• Перечень мероприятий обеспечивающих защиту персональных данных.
• Перечень применяемых средств защиты информации, эксплуатационной и технической документации к ним.