Особых требований к операторам связи закон не устанавливает. Требования общие.
Выполнение СОРМ никак не связано с требованиями по защите перс.данных, установленными 152-ФЗ.
Начните с того, что прочитайте 152-ФЗ,
затем Межведомственный приказ о классификации систем перс.данных,
и 58-ой приказ ФСТЭК.
В результате у вас сложится достаточно целостная картина того, чего от вас хочет регулятор и что нужно делать.
Затем вам нужно:
- документально описать имеющиеся в организации информационные системы обработки персональных данных, их назначение, состав данных, правовые основания для их обработки, обозначить круг лиц, работающих с персональными данными и имеющих к ним доступ;
- для всех ресурсов и подсистем, содержащих персональные данные, определить их статус (на основании чего они созданы: для исполнения договора об оказании услуг связи, в соответствии с законодательством, по собственной инициативе и т.п.);
- уточнить и зафиксировать состав персональных данных и источники их получения (от клиента, из публичных источников, от третьих лиц и т.п.);
- установить сроки хранения и сроки обработки данных в каждой инф. системе;
- определить способы обработки (автоматизированная, ручная...);
- определить лиц, имеющих доступ к данным;
- сформулировать юридические последствия обработки персональных данных (см. 152-ФЗ, готовимся к запросу от субъекта ПД);
- определить порядок реагирования на возможные обращения субъектов персональных данных, возможные варианты ответов и действий;
- определиться с классом своей системы (для оператора домосети скорее всего К3);
- подготовить ряд нормативных документов (google поможет), описывающих модели угроз и средства защиты персональных данных от этих угроз;
- направлении уведомление об обработке перс.данных в Роскомнадзор (а оно вам надо, т.к. пп.2 п.2 ст.22 152-ФЗ к Вам скорее всего не относится в связи с СОРМ и передачей перс.данных в ФСБ, с возможной передачей перс.данных абонентов зоновому оператору/оператору МГМН телефонии, и тп..);
- внимательно прочитать, разобраться в ст.6 152-ФЗ, и определиться с необходимостью получения согласия субъектов на обработку их перс.данных, в случае необходимости - разработать форму и получить согласие каждого субъекта на обработку его персональных данных, причем такое согласие помимо всего прочего обязательно должно содержать собственноручную подпись субъекта (либо его цифровую подпись);
- обеспечить защиту персональных данных техническими и организационными методами (в соответствии с классом ПД, актуальными угрозами, которые вы можете сами определить, руководствуясь методиками ФСТЭКа).
Ещё порекомендовал бы Вам найти и заключить договор с адекватным лицензиатом ФСТЭК, который за небольшие деньги взялся бы оценить все те документы, что вы подготовите, всю вашу систему документов и мер по защите.
Т.к. существует некоторая неразбериха относительно того, вправе ли предприятие, не имеющее лицензии ФСТЭК, само внутри себя выполнить комплекс мер по защите перс.данных. (Я бы прикрылся договором с лицензиатом.)
Всё зависит от того, какой вы присвоите класс перс.данным и как организуете/опишете свою систему.
Допустим, если вы обезличите данные об абонентах в биллинге, заменив их имена-фамилии и паспортные данные на внутренние идентификаторы, а привязку идентификаторов к именам и пасп.данным будете хранить на отдельном защищенном рабочем месте, не подключенном ни к каким сетям, то фаерволов не понадобится.
PS
Документы на бумаге тоже надо защищать в соответствии со 152-ФЗ