Соответствие требованиям законодательства

1. Защита данных и конфиденциальность персональных данных (п. 15.1.4)

1.1. Разработка политики защиты данных и персональных данных.

1.2. Назначение ответственного за защиту данных (например, DPO).

1.3. Осведомление сотрудников об ответственности за обработку персональных данных.

1.4. Реализация технических и организационных мер защиты.

2. Предотвращение нецелевого использования средств обработки информации (п. 15.1.5)

2.1. Установление четких рамок разрешенного использования ИТ-ресурсов.

2.2. Мониторинг использования систем и информирование сотрудников.

2.3. Введение санкций за несанкционированное использование.

3. Регулирование криптографических мер и средств контроля (п. 15.1.6)

3.1. Соблюдение ограничений на импорт/экспорт криптографического ПО и аппаратных средств.

3.2. Обязательное соблюдение национальных законодательных требований по криптографии.

3.3. Консультации с юристами перед передачей зашифрованной информации за границу.

4. Определение применимого законодательства (п. 15.1.1)

4.1. Документация всех правовых, нормативных и договорных требований.

4.2. Регулярное обновление информации по применимым нормам.

4.3. Назначение ответственных лиц за выполнение требований.

5. Права на интеллектуальную собственность (п. 15.1.2)

5.1. Контроль использования программного обеспечения из надежных источников.

5.2. Меры контроля: реестр активов, подтверждение лицензий, аудит ПО.

5.3. Информирование сотрудников о последствиях нарушений.

6. Защита документов организации (п. 15.1.3)

6.1. Классификация документов (счета, базы данных, журналы).

6.2. Процедуры хранения данных на разных носителях (бумага, микрофиш, магнитные и оптические носители).

6.3. Система идентификации и уничтожения документов по истечении срока хранения.