ГОСТ Р 53647.6— 2012
организации. Организация также должна обеспечить осведомленность каждого работника в вопросах,
связанных с менеджментом персональной информации, например, путем проведения обучения или
обеспечения соответствующей информацией.
Организация должна быть в состоянии продемонстрировать понимание всем персоналом своей
ответственности за защиту и обработку персональной информации в соответствии с установленными
процедурами и требованиями безопасности.
Весь персонал организации должен пройти обучение методам обработки персональной
информации в соответствии с установленными документированными процедурами организации.
Обучение должно соответствовать функциям, обязанностям и полномочиям работника в организации.
4.4 Оценка риска
Цель: Обеспечение осведомленности организации обо всех видах риска, связанных с
обработкой конкретных видов персональной информации._______________________________________
Организация должна внедрить процесс оценки риска для физических лиц. связанного с
обработкой их персональной информации. Такая оценка также должна включать обработку
персональных данных, осуществляемую другими организациями. Организация должна управлять
риском, выявленным в процессе его оценки риска для снижения вероятности несоблюдения политики в
области защиты персональной информации.
Процесс оценки риска должен включать в себя процедуры, в соответствие с которыми риск
нанесения ущерба и/или причинения вреда физическим лицам при обработке персональной
информации должен быть передан для анализа ответственным за защиту информации лицам и учтен
(см. п.3.5) в системе менеджмента персональной информации.
ПримечаниеОрганизация может использовать различные методы оценки риска, например
установленные ГОСТ Р ИСО/МЭК 31010. Кроме того, могут быть использованы иные нормативные
документы, связанные с оценкой воздействия нарушения личной тайны.
4.5 Поддержка СМПИ
Цель: Оценка соответствия СМПИ для поддержки и постоянного улучшения соблюдения
законодательных и обязательных требований и соответствия передовому опыту в области защиты
персональных данных._______________________________________________________________________
Персонал, ответственный за выполнение политики (см. п. 4.1.2), должен постоянно оценивать
способность СМПИ демонстрировать соблюдение законодательных и обязательных требований и
соответствие передовому опыту в области защиты персональных данных.
Данная оценка должна включать в себя пересмотр СМПИ при изменении требований и/или
методов работы организации.
4.6 Уведомление
Цель: Обеспечение необходимой отчетности организацией об обработке персональной
информации перед уполномоченным органом в соответствии с требованиями [1].___________________
СМПИ должна включать в себя процедуры уведомления уполномоченного органа (если
организация не освобождена от требования подавать уведомления согласно [1]). а также должна
обеспечивать точность и актуальность таких уведомлений.
4.7 Добросовестная и законная обработка информации
Цель: Обеспечение квалифицированной обработки персональной информации и установления
законных оснований для обработки персональной информации до начала ее обработки._____________
4.7.1 Сбор и обработка персональной информации
СМПИ должна включать в себя процедуры, обеспечивающие:
a)квалифицированную и законную обработку персональной информации организацией:
b
)обработку организацией персональной информации особой ответственности только в
соответствии с требованиями [1J;
c)обработку организацией персональной информации особой ответственности только для
достижения установленных целей организации и в соответствии с требованиями (1);
d)выдачу лицу, передающему организации свою персональную информацию, «уведомления
о конфиденциальности» или заявления о конфиденциальности в режиме он-лайн, полностью или
частично со ссылкой на полный текст уведомления с указанием следующей информации:
6