Организация защиты персональных данных с нуля - Форум по вопросам информационной безопасности

В организации имеются информационные системы обработки персональных данных
1С:Кадры, 1С:Бухгалтерия, где обрабатываются ПДн сотрудников. Также, на рабочих станциях некоторых сотрудников ведется обработка ПДн контрагентов, они же отправляюся по электронной почте.

Суть вопроса. Всюду и везде написано что нужно данные защищать, организовать техническую защиту, и подготовить комплект организационно-распорядительной документации. НО нигде нет типового алгоритма, какой порядок действий, какой документ из какого должен "вытекать" и за каким следовать. Минимальный и максимальный перечень организационных документов, включая приказы, положения, инструкции, журналы и т.д.

Неужели ФСТЭК или другие регуляторы не в состоянии сделать методические рекомендации такого плана?
Если есть требования, почему нет методичек?

>>на рабочих станциях некоторых сотрудников ведется обработка ПДн контрагентов

А лицензия на ТЗКИ у вашей компании есть?
Если есть, то должны быть и обученные специалисты, которые обязаны знать, что и как делать.

Мы не осуществляем деятельность по защите персональных данных для других организаций. Мы своими силами,, согласно букве закона имеем право и обязаны защитить те данные, которые обрабатываем в своей организации. Лицензия требуется тем юридическим лицам (сторонним организациям), кто оказывает такие услуги по договору.

*они же отправляюся по электронной почте*

корпоративная почта или гугл/яндекс/и тд?

Откройте 21 приказ ФСТЭК России. Там внизу меры защиты есть.
Откройте меры защиты информации в ГИС. Там их хорошее описание.
Ну вот примерно так и защищать.

152 ФЗ тоже в помощь. Там описаны всякие инструкции, журналы и тд.