Анастасия Белоусова

У Вас в "О проекте" пара опечаток:

"Данный проект создан с целью сделать сервис доставки посылок из зарубежных интернет магазинов в страны бывшего СССР немного удобнее, дешевле, безопаснее, с человеческим отношением и новым подходом,."
"Думаю у нас получиться и Вы оцените наши труды!"

Если Вы собираете только ФИО, то это не ПДн. ФИО + e-mail уже могут трактоваться как ПДн. ФИО + номер телефона - 100% ПДн. Комбинации данных можно долго перечислять.
Если Вы обрабатываете только те ПДн, которые необходимы для цели обработки (в данном случае - регистрация пользователя и создание для него персонального профиля, предоставление услуг соц. сети и т.д.), то при выполнении требований законодательства проблем быть не должно.
Если вынесете сайт за рубеж, но будете обрабатывать ПДн россиян - то хранить базы данных с ПДн все равно придется на серверах, которые территориально расположены в РФ.

Важно правильно обозначить, что Вам нужно - удаление информации или её уничтожение. Судя по вопросу, Вас интересует именно уничтожение информации - действия, в результате которых становится невозможно восстановить информацию.

Уничтожить информацию можно двумя способами: уничтожить саму информации с носителя, либо уничтожить сам носитель с информацией.

Уничтожение информации с машинного носителя при помощи специализированных программных средств осуществляется при помощи следующих методов:

• полная перезапись машинного носителя;
  
• частичная перезапись машинного носителя.
  

Уничтожение машинного носителя информации осуществляется при помощи следующих методов:

• механическое уничтожение;
  
• физическое;
  
• химическое.
  

Определить способ уничтожения можете только Вы, основываясь на степени ущерба от нарушения конфиденциальности информации и своем бюджете.

Можно почитать стандарты уничтожения данных:

• ГОСТ Р50739-95;
  
• DoD 5220.22-M;
  
• NAVSO P-5239-26 (RLL);
  
• NAVSO P-5239-26 (MFM);
  
• VSITR.
  
  

Работник воспользовался корпоративными ресурсами (сканер, почта) для личных (семейных?) нужд.
Если в компании есть запрет на использование корпоративных ресурсов в личных целях, то работник должен понести ответственность. Если нет - есть повод задуматься о таком регламенте.
Действие ФЗ-152 не распространяется на отношения, возникающие при обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных.

В первую очередь нужно отталкиваться от ФЗ-152 "О персональных данных".
Если государственная информационная система - реализовать меры из Приказа ФСТЭК №17. Если негосударственная - из Приказ ФСТЭК № 21. Уровень защиты зависит от того, информацию о скольких субъектах будете обрабатывать и какие категории будете собирать (если только паспортные данные - то хорошо).
Помимо этого нужно изучить и реализовать все требования от ФСТЭК, ФСБ и Роскомнадзора, а потом отправить последнему уведомление об обработке ПДн.

Основные направления технической защиты: администрирование (системный администратор, нужно уметь поддерживать инфраструктуру в рабочем состоянии, знание сетевых технологий, администрирование Windows и Unix); установка и настройка средств защиты (нужно идти в компании, продающие эти решения и получать опыт там); защита от утечек по техническим каналам (очень высокий и дорогой уровень защиты), тесты на проникновение. Универсалом быть не рекомендуется)
Про администратора: он отвечает за обслуживание инфраструктуры, должен уметь работать с ПО (инсталяция, деинсталяция, обновление), настраивать антивирусную защиту, резервирование, уничтожение данных, работать с сетями, настраивать парольные политики, обслуживать компьютеры, сервера и пр. технику. По факту он не безопасник, а технический специалист. Что и как покупать и по каким правилам настраивать решают специалисты по ИБ, администратор выполняет их поручения (если в организации занимаются безопасностью).
Сам специалист по ИБ должен знать азы по всем техническим направлениям и уметь работать с законодательством.

Вы правильно пишете, что документ по ИБ - один из важнейших документов, ведь он находится в вершине иерархии документов по защите информации.
В идеале у компании должна быть Концепция ИБ и Политика ИБ. Если компания к тому же является оператором персональных данных, то по ФЗ-152 должна быть разработана Политика обработки [и защиты] персональных данных.
Организационную документацию логично разделить на две части: организация защиты и обеспечение защиты. В первой пишутся организационные моменты, во второй - как все нужно настроить админам, чтобы соответствовало планам организаторов. Не забываем про назначение ответственности по каждому направлению работ: уничтожение данных, резервирование данных, доступ в служебные помещения и пр.