Начальный шаг — начальные Оргмеры.

— В каждой бумажке типа Заявления появилась надпись маленькими буковками (дабы оставить предшествующий величина бланка) — «Выражаю разрешение для необходимое использование моих персональных данных, в том числе в информационных системах».
— В Заявлениях для детские пособия было внесено прибавление про несовершеннолетних детей.
— Также были взяты отдельные Заявления с согласием предоставления и передачи данных из других учреждений (Пенсионный Фонд, НПФ т.п.).

Очень гибель бумаг и весь немного техники
Другой этап — разработка правильной документации.
Наступал 2009 год и было известно, который Начало опять отложат. Финансирования нет. Никто особо не торопится. Дозволительно упражнять документацию. Вышестоящая контора дала образцы следующих документов:

Приказание о назначении должностных лиц, ответственных следовать защиту информации ограниченного доступа, не содержащей государственной тайны;
Ордер об определении контролируемой зоны, в которой расположены узлы автоматизированной системы предназначенной ради обработки информации ограниченного доступа, не содержащей государственно тайны;
Инструкция о запрещении обработки информации ограниченного доступа для не аттестованных объектах информатизации
Инструкцию сообразно эксплуатации средств защиты информации объекта вычислительной техники;
Инструкцию сообразно установке нового и модификации используемого программного обеспечения на автоматизированной системе обрабатывающей информацию ограниченного доступа;
Инструкцию по организации антивирусной защиты на автоматизированной системе обрабатывающей информацию ограниченного доступа;
Инструкцию администратору информационной безопасности автоматизированной системы, обрабатывающей информацию ограниченного доступа;
Инструкцию по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам автоматизированной системы обрабатывающей информацию ограниченного доступа;
Инструкцию по организации парольной защиты автоматизированной системы;
Инструкцию сообразно организации резервного копирования данных автоматизированной системы обрабатывающей информацию ограниченного доступа;
Инструкцию пользователя автоматизированной системы.
Матрицу доступа к защищаемым ресурсам автоматизированной системы;
Технический свидетельство на АС;
Журнал учета допуска к работе в автоматизированной системе обрабатывающей информацию ограниченного доступа;
Журнал учета и выдачи машинных носителей информации предназначенных ради хранения информации ограниченного доступа, не содержащей государственной тайны;
Журнал учета средств защиты информации;
Форму Заявки для внесение пользователей АС;
Форму Акта проведения технических работ для объектах информатизации АС;
Перечень сведений конфиденциального характера;
Список защищаемых информационных ресурсов;
Изображение технологического процесса обработки информации в выделенной локальной вычислительной путы;
Схему коммутации выделенной локально вычислительной силок;
Меню лиц, допущенных к самостоятельной работе в АС.

Третий остановка — закупка технических средств защиты информации.
Правильнее сказать, который закупала головная контора, мы после один забирали. В результате получились:
— Далласы для рабочие станции
— Випнет координатор ради защищенного доступа сообразно IP-MPLS каналу к вышестоящей конторе.
— Глушилки
— Проведена сертификация Windows Server (здесь подобное обсуждается)

Четвертый этап — умственно-физические работы.
Защищаемая автоматизированная система должна непременно защищена и физически. Тут весьма удачно подвернулся переезд отдела, работающего с персональными данными на противоположный этаж. Известный отдел оказался в ограниченном помещении, один из кабинетов отобрали около серверную. В результате с этажа на маршрутизатор выходят два кабеля (главный и резервный). Компьютера форматнули, установили чистую обновленную винду, офис, антивирь, рабочую прогу. В октябре 2009 приехали ребята с Питера. Установили Далласы, глушилки, настроили випнет, сделали все замеры, откорректировали документацию.

Пятый остановка — завершение.
В конце октября 2009 собралась внутренняя совет по защите персональных данных. Были назначены ответственные лица, которые должны были после неделю подготовить документы и провести работы сообразно защите персональных данных (те самые, который перечислены со второго этапа). За неделю ответственные всетаки сделали. И поручение с радостью приняла защищенную систему в эксплуатацию. Проворно был получен свидетельство на три года, для чем всегда и кончилось.

Понятно, что на самом деле кончилось вдобавок не все.
К примеру защищенная порядок является единым программно-техническим комплексом. Мышь не поменяешь. Зато единожды в год позволительно вызвать аттестатора ради проверки соблюдения всех показателей защиты. А аттестатор имеет преимущество изменять имеющиеся документы. Беспричинно сколько мышь поменять реально.
Ну и современная мнение электронного межведомственного взаимодействия. Мнение хорошая. Вот лишь, не предусмотренная предыдущей концепцией защиты персональных данных. Так который когда реализуем — будем делать аттестацию снова.

Соглашение изменениям, внесённым законом № 363-ФЗ через 27 декабря 2009 возраст, операторы персональных данных должны привести свои системы обработки персональных данных, запущенные заранее 1 января 2010 возраст, в согласие с законом прежде 1 января 2011 года. Федеральным законом от 23 декабря 2010 возраст № 359-ФЗ «О внесении изменения в статью 25 федерального закона „О персональных данных“» срок приведения информационных систем персональных данных, созданных прежде 1 января 2011 года, в согласие с требованиями закона № 152-ФЗ – не позднее 1 июля 2011 года. Последние изменения были внесены федеральным законом № 261-ФЗ после 25.07.2011. Этим законом была уточнена мир действия Федерального закона «О персональных данных», используемые в нём основные понятия, принципы и условия обработки персональных данных. Существенно переработаны действующие законодательные нормы, касающиеся трансграничной передачи персональных данных, мер сообразно обеспечению безопасности персональных данных присутствие их обработке, прав и обязанностей оператора, взаимоотношений оператора и субъекта персональных данных.

Вступил в силу федеральный основание О персональных данных 152-ФЗ
ФЗ-152 «О персональных данных»