Отвечу как практикующий безопасник:
ПДн защищаются в соответствии с ФЗ-152 и его подзаконными актами.
Вот тут и начинается самое интересное. Вначале был ФЗ-152 в гордом одиночестве, потом прилепилось Постановление Правительства ПП-781 с требованиями по защите, к ПП-781 прилепился приказ ФСТЭК №58 и «трехглавый» приказ 55/86/20. Есть еще постановление 687 по неавтоматизированной обработке и ПП-512 по носителям биометр. ПДн.
Но все поменялось летом 2011 года —
ФЗ-152 был переработан. Изменились обязанности оператора, терминология и пр. (Особенно обращаю внимание на главу 4 ФЗ-152.). И сразу стали неактуальными подзаконные акты.
1 ноября 2012 было утверждено
ПП-1119, которое стало заменой ПП-781 и трехглавому приказу. Классы ПДн отменились и это не слухи. Теперь это называется «Уровень защищенности». Соответственно Приказ ФСТЭК 58 перестал быть актуальным и в настоящее время готовится ему замена (
кстати, проекты документов выкладывались на сайт и принимались замечания от общественности )
Ну что делать сейчас?
Во-первых, провести обследование бизнес-процессов компании и выявить где, в каком количестве, какого вида хранятся и обрабатываются ПДн.
Во-вторых, найти и назначить лицо, указанное в статье 22.1 ФЗ-152. Он будет все организовывать.
В -третьих, готовиться к написанию внутренних документов: Положение об обработке персональных данных, Положение о лице из статьи 22.1, Инструкции администраторам и пользователям инф. систем ПДн, различные правила по техн. защите (парольный доступ, антивирус. защите, резервное копирование, криптография). При необходимости придумать согласие на обработку ПДн. И при необходимости готовить уведомление в Роскомнадзор.
Работы может быть много и в одном ответе не опишешь. Как и методичек не дашь.
Как-то так.