Месторасположение ИСПДн.




В конце акта комиссия формирует и фиксирует вывод о том, какой уровень защиты желателен для данной системы, а также выдвигаются условия к ней для блокировки возможности просачивания угрозы.

Ниже расположен типовой бланк и образец акта определения уровня защищенности персональных данных, вариант которого можно скачать бесплатно.

 

2. Модель угроз безопасности ПДн при их обработке в ИСПДн (для специальных систем). Основание – (3).

По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с (1).

3. Определение границ контролируемой зоны ИСПДн.

Нормативно-методический документ ФСТЭК России «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:

Одним из основных организационных мероприятий по защите информации является установление контролируемой зоны (КЗ) вокруг ИСПДн.

Примечание: Определение границ КЗ необходимо для разработки ряда документов, в которых учитывается привязка к границам КЗ, в частности:

o технический паспорт ИСПДн;

o модель угроз безопасности ПДн при их обработке в ИСПДн.

4. Технический паспорт ИСПДн.

Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) в соответствии с требованиями которых разрабатывается технический паспорт ИСПДн установленной формы.

5. Электронный журнал регистрации обращений пользователей ИСПДн на получение ПДн. Основание – (2):

Запросы пользователей информационной системы на получение персональных данных, включая лиц, доступ которых к персональным данным, необходим для выполнения служебных (трудовых) обязанностей, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица.

6. Регламент разграничения прав доступа.

Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К):

В организации должна быть разработана соответствующая система доступа персонала к сведениям конфиденциального характера. Доступ к информации исполнителей (пользователей, обслуживающего персонала) осуществляется в соответствии с разрешительной системой допуска исполнителей к документам и сведениям конфиденциального характера, действующей в организации.

7. Приказ о назначении администратора безопасности ИСПДн.

8. Руководство администратора ИСПДн.

Методический документ ФСТЭК «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:

Описание порядка установки, настройки, конфигурирования и администрирования средств антивирусной защиты, а также порядка действий в случае выявления факта вирусной атаки или иных нарушений требований по защите от программно-математических воздействий должны быть включены в руководство администратора безопасности информации в ИСПДн.

9. Руководство пользователю ИСПДн.

10. Приказ об утверждении списка лиц, которым необходим доступ к ПДн, обрабатываемым в ИСПДн, для выполнения служебных (трудовых) обязанностей.

Основание – (2):

Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом.

11. Перечень применяемых средств защиты информации (СЗИ).

Основание – (2):

мероприятия по обеспечению безопасности ПДн при их обработке в информационных системах включают в себя:

o проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

o учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных.

12. Перечень эксплуатационной и технической документации применяемых СЗИ (правовое обоснование см. в п.11).

13. Перечень носителей ПДн (правовое обоснование см. в п.11).

14. Заключение о готовности СЗИ к эксплуатации (правовое обоснование см. в п.11).

 

2.2 Документы, регламентирующие обработку ПДн в компании (для всех ИСПДн):

1. Положение о защите персональных данных в компании.

2. Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн.

Основание - Методический документ ФСТЭК «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:

При подготовке документации по вопросам обеспечения безопасности ПДн при их обработке в ИСПДн и эксплуатации СЗПДн в обязательном порядке разрабатываются:

o положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн;

o требования по обеспечению безопасности ПДн при обработке в ИСПДн;

o должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн;

o рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации.

3. Должностные инструкции персоналу в части обеспечения безопасности ПДн при их обработке в ИСПДн (правовое обоснование см. в п.2.).

4. Рекомендации по использованию программных и аппаратных средств защиты (правовое обоснование см. в п.2.).

5. Положение по организации контроля эффективности защиты информации в компании.

Методический документ ФСТЭК «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:

Контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке их обоснованности и эффективности принятых мер. Он может проводиться оператором или на договорной основе сторонними организациями, имеющими лицензии на деятельность по технической защите информации.

6. Положение об организации режима безопасности помещений, где осуществляется работа с ПДн.

Методический документ ФСТЭК «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:

Одним из основных организационных мероприятий по защите информации является организация режима и контроля доступа в помещения, в которых установлены аппаратные средства ИСПДн.

7. Положение о порядке хранения и уничтожения носителей ПДн.

Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К):

Носители информации на магнитной (магнитооптической), оптической и бумажной основе должны учитываться, храниться и уничтожаться в подразделениях организации в установленном порядке.

8. Формы учета для организации обработки ПДн (шаблоны, бланки).

Формы учета необходимы для организации взаимодействия с субъектами персональных данных и уполномоченным органом по защите прав субъектов персональных данных.
При разработке форм руководствоваться требованиями ФЗ-152, Трудового Кодекса РФ.

9. Отчет об обследования информационных систем компании.

Методический документ ФСТЭК «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:

Порядок организации обеспечения безопасности ПДн в ИСПДн должен предусматривать оценку обстановки, в рамках которой проводится определение состава, содержания и местонахождения ПДн подлежащих защите.

10. Перечень сведений Ограниченного доступа.

Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К):

В организации должен быть документально оформлен перечень сведений конфиденциального характера, подлежащих защите в соответствии с нормативно-правовыми актами.

11. Приказ о назначении структурного подразделения или должностного лица, ответственного за обеспечение безопасности ПДн.

Основания – (2), СТР-К:

Разработка мер и обеспечение защиты информации осуществляются подразделениями по защите информации (службами безопасности) или отдельными специалистами, назначенными руководителями организации для проведения таких работ. Разработка мер защиты информации может осуществляться также сторонними организациями, имеющими лицензию на право проведения соответствующих работ.

12. Копия «Уведомления об обработке ПДн», выписка из реестра операторов ПДн.

Федеральный закон «О персональных данных» ФЗ-152

Ст.22. Уведомление об обработке персональных данных» направляется в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор).

Получение Выписки регламентируется Приказом Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28.03.2008 г. №154 «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных»:

п. 17. Операторы, включенные в Реестр, вправе получить выписку из Реестра по письменному обращению в Службу в срок не позднее тридцати дней.



Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2022-10-12 Нарушение авторских прав и Нарушение персональных данных
 

Поиск по сайту:

Читайте также:

Деталирование сборочного чертежа

Когда производственнику особенно важно наличие гибких производственных мощностей?

Собственные движения и пространственные скорости звезд

Тема 11. Банковские риски и способы их оценки

Опросник «Активность повседневной жизни»

Интересно:

История возникновения народной куклы

Как устроена магнитная головка

Что такое современная опера

Что такое объектно-ориентированное программирование

Обратная связь