Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных

261.5 Кб
скачать

Утверждено

приказом министерства инвестиционной политики Новгородской области

от «02»__04__2018 № 498

 

 

Положение

об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных

 

 

Содержание

  1. Введение. 3
  2. Нормативные ссылки. 3
  3. Общие положения. 4
  4. Порядок организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. 7
  5. Порядок взаимодействие со сторонними организациями. 8
  6. Порядок определения уровня защищенности персональных данных в информационных системах персональных данных. 9
  7. Порядок формирования требований к защите информационных систем персональных данных 11
  8. Порядок проектирования системы защиты персональных данных. 13
  9. Порядок ввода в эксплуатацию: монтажные работы, пуско-наладка. 14
  10. Порядок ввода в эксплуатацию: опытная эксплуатация системы защиты персональных данных 15
  11. Порядок эксплуатации, включающей модернизацию.. 16
  12. Порядок вывода из эксплуатации. 17
  13. Подходы к выбору средств защиты информации. 18
  14. Порядок контроля состояния защищенности информационных систем персональных данных 19
  15. Аттестация объектов информатизации. 21
  16. Порядок подключение новых пользователей информационных систем персональных данных (тиражирование). 22
  17. Порядок организации внутреннего обучения сотрудников правилам и мерам защиты персональных данных 23
  18. Порядок контроля за обеспечением уровня защищенности информации (персональных данных) и оценки соответствия информационных систем персональных данных. 25
  19. Внутренний контроль режима безопасности информации (персональных данных) и оценки соответствия информационных систем персональных данных требованиям безопасности. 26
  20. Обследование защищенности информации (персональных данных) внешней специализированной организацией. 28
  21. Порядок оценки соответствия информационных систем персональных данных требованиям безопасности информации (персональных данных). 29

Приложение 1. Типовой план мероприятий по организации и проведению работ по защите ПДн   30

 

 

 

1.        Введение

Настоящий документ разработан на основе действующего законодательства и нормативных правовых актов Российской Федерации, а так же локальных нормативных актов министерства инвестиционной политики Новгородской области (далее – министерство).

Настоящий документ регламентирует вопросы обеспечения безопасности персональных данных (далее – ПДн) при их обработке в информационных системах персональных данных (далее – ИСПДн) в министерстве и определяет порядок организации работ по созданию и эксплуатации системы защиты персональных данных (далее – СЗПДн) и иной охраняемой информации.

Действие настоящего Положения не распространяется на вопросы, связанные с обработкой ПДн, осуществляемой без использования средств автоматизации.

Правила обработки ПДн, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальных нормативных актов министерства, определены в отдельном документе с учетом требований Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.

2.        Нормативные ссылки

Настоящее руководство основывается на следующих основных законодательных и нормативных документах:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

Указ Президента Российской Федерации от 06 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера»;

Постановление Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

Приказ ФСТЭК России от 11 февраля 2013 года № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;

Приказ ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждённая заместителем директора ФСТЭК России 14 февраля 2008 года;

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждённая заместителем директора ФСТЭК России 14 февраля 2008 года.

3.        Общие положения

  • Мероприятия по обеспечению безопасности информации должны являться составной частью работ по созданию, реконструкции и эксплуатации ИСПДн.
  • Безопасность ПДн при их обработке в ИСПДн обеспечивает оператор или лицо, осуществляющее обработку ПДн по поручению оператора в соответствии с законодательством Российской Федерации.
  • Организационные и технические меры защиты информации, реализуемые в рамках системы защиты информации ИСПДн, в зависимости от информации, содержащейся в ИСПДн, целей создания информационной системы и задач, решаемых этой ИСПДн, должны быть направлены на исключение:
  • неправомерного доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
  • неправомерного уничтожения или модифицирования информации (обеспечение целостности информации);
  • неправомерного блокирования информации (обеспечение доступности информации).
    • Для обеспечения защиты информации, содержащейся в ИСПДн, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 года № 184-ФЗ «О техническом регулировании» (Собрание законодательства Российской Федерации, 2002, № 52, ст. 5140; 2007, № 19, ст. 2293; № 49, ст. 6070; 2008, № 30, ст. 3616; 2009, № 29, ст. 3626; № 48, ст. 5711; 2010, № 1, ст. 6; 2011, № 30, ст. 4603; № 49, ст. 7025; № 50, ст. 7351; 2012, № 31, ст. 4322; 2012, № 50, ст. 6959).
    • В состав мер по защите информации, реализуемых в рамках СЗПДн с учетом актуальных угроз безопасности и применяемых информационных технологий, входят:
  • идентификация и аутентификация, субъектов доступа и объектов доступа;
  • управление доступом субъектов доступа к объектам доступа;
  • ограничение программной среды;
  • защита машинных носителей информации;
  • регистрация событий безопасности;
  • антивирусная защита;
  • обнаружение (предотвращение) вторжений;
  • контроль (анализ) защищенности;
  • обеспечение целостности;
  • обеспечение доступности;
  • защита среды виртуализации;
  • защита технических средств;
  • защита информационной системы, ее средств, систем связи и передачи данных;
  • выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования ИСПДн и (или) к возникновению угроз безопасности (далее – инциденты), и реагирование на них;
  • управление конфигурацией ИСПДн и средств защиты информации.
    • Меры по обеспечению безопасности ПДн реализуются в рамках СЗПДн, создаваемой в соответствии с Требованиями к защите ПДн при их обработке в информационных системах ПДн, утвержденными постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119, и должны быть направлены на нейтрализацию актуальных угроз безопасности ПДн.
    • Работы по обеспечению безопасности информации при создании (модернизации) ИСПДн выполняются в соответствии с заданием на проектирование. Раздел задания, содержащий требования по защите, оформляется отдельным документом и разрабатывается уполномоченным лицом (подразделением) за обеспечение безопасности ПДН в ИСПДн министерства при участии проектной организации, имеющей лицензию ФСТЭК России на соответствующий вид деятельности.
    • В задании на проектирование указываются:
  • требования по обеспечению безопасности информации;
  • цель и замысел обеспечения безопасности информации;
  • исходные данные для проектирования.
    • Подход к обеспечению информационной безопасности состоит в определении основной идеи противодействия всему комплексу угроз и в выборе основных технических решений и организационных мероприятий по реализации этого подхода. Подход для вновь строящихся и реконструируемых объектов информатизации, как правило, разрабатывает проектная организация с привлечением уполномоченных подразделений (сотрудников) министерства.
    • Исходные данные должны содержать сведения об объекте и его основных элементах. В них могут включаться требования и рекомендации, учитывающие условия и особенности эксплуатации объекта, специфика защищаемых информационных ресурсов и условия их обработки, хранения и передачи.
    • Решения по обеспечению информационной безопасности, разрабатываемые в проектах, не должны противоречить требованиям действующего законодательства Российской Федерации и локальных нормативных актов министерства.
    • Жизненный цикл СЗПДн включает в себя следующие стадии:
  • предпроектная стадия;
  • стадия проектирования (разработки проектных решений);
  • стадия ввода в эксплуатацию, включающая монтажные работы, пуско-наладку, опытную эксплуатацию и приемо-сдаточные испытания;
  • стадия эксплуатации, включающая модернизацию;
  • стадия вывода из эксплуатации.
    • Оценка эффективности реализованных в рамках СЗПДн мер по обеспечению безопасности ПДн проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.

4.        Порядок организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

  • Под организацией работ по обеспечению безопасности ПДн при их обработке в ИСПДн понимается формирование совокупности мероприятий, осуществляемых на всех стадиях жизненного цикла ИСПДн, согласованных по цели, задачам, месту и времени, направленных на предотвращение (нейтрализацию) угроз безопасности информации и ПДн в ИСПДн, восстановление штатного функционирования ИСПДн после нейтрализации угрозы с целью минимизации как непосредственного, так и опосредованного ущерба от возможной реализации таких угроз.
  • Организация работ по защите информации и ПДн предусматривает формирование:
  • перечня ПДн, обрабатываемых в ИСПДн;
  • порядка определения уровня защищенности ИСПДн;
  • порядка разработки, ввода в действие, эксплуатации и вывода из эксплуатации ИСПДн в части реализации мероприятий по обеспечению безопасности ПДн;
  • порядка взаимодействия между ответственными за обеспечение безопасности ПДн и эксплуатирующими подразделениями (пользователями) по вопросам обеспечения безопасности информации и ПДн;
  • порядка привлечения структурных подразделений (специалистов) министерства и специализированных сторонних организаций к разработке и эксплуатации системы защиты ИСПДн, их задачи и функции на различных стадиях создания и эксплуатации ИСПДн в соответствии с требованиями руководящих документов по безопасности с учетом механизмов, предусмотренных Федеральным законом от 05 апреля 2013 года № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»;
  • ответственности должностных лиц за обеспечение безопасности информации и ПДн, своевременности и качества формирования требований по защите информации, за качество и научно-технический уровень разработки СЗПДн;
  • порядка контроля обеспечения требуемого уровня защищенности ПДн.

5.        Порядок взаимодействие со сторонними организациями

  • Согласование подключений сторонних организаций к локальной вычислительной сети (далее – ЛВС) министерства осуществляется после согласования схемы подключения, подписания договора на использование ЛВС между министерством и сторонней организацией и соглашения о взаимодействии между такой сторонней организацией и министерством.
  • Для разработки и осуществления мероприятий по организации и обеспечению безопасности ПДн при их обработке в ИСПДн ответственным за обеспечение безопасности информации и ПДн соответствующим приказом министерства назначается должностное лицо (сотрудник министерства) – Администратор безопасности информации.
  • Непосредственно исполнение работ по защите ПДн в ИСПДн с использованием средств автоматизации возлагается на ответственное лицо руководителя структурного подразделения (ответственное лицо) министерства, ответственного за обеспечение безопасности ПДн при их обработке в ИСПДн, утвержденного приказом министерства.
  • Для определения уровня защищенности ПДн в ИСПДн соответствующим приказом министерства назначается специальная внутренняя комиссия. В состав этой комиссии включаются представители структурных подразделений – обладателей информационных ресурсов. Для придания необходимого статуса рабочей группе могут издаваться соответствующие приказы министерства, в которых, в частности, даются поручения всем руководителям структурных подразделений об оказании содействия и необходимой помощи в работе комиссии при проведении работ.
  • Для оказания помощи на время работы группы в подразделениях руководителями этих структурных подразделений выделяются сотрудники, владеющие детальной информацией по вопросам обработки информации и ПДн в данных подразделениях.
  • Проведение обследования ИСПДн, разработка и реализация СЗПДн могут осуществляться как сотрудниками министерства, так и на договорной основе с другими специализированными организациями, имеющими соответствующие лицензии на деятельность по технической защите конфиденциальной информации, в соответствии с требованиями Федерального закона от 05 апреля 2013 года № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд».
  • В случае разработки СЗПДн или ее отдельных компонентов специализированными организациями специалист по информационной безопасности (Администратор безопасности информации) отвечает за организацию и проведение мероприятий по защите информации.
  • Разработка, внедрение и эксплуатация системы СЗПДн осуществляются во взаимодействии разработчика с Администратором безопасности информации.

6.        Порядок определения уровня защищенности персональных данных в информационных системах персональных данных

  • Внутренней комиссией, образованной приказом министерства, для каждой ИСПДн определяется перечень ПДн, уточняются цели и основание обработки ПДн, а также срок хранения и условия прекращения обработки.
  • Целью определения уровня защищенности ПДн в ИСПДн является определение по её результатам перечня обоснованных организационных и технических мероприятий, позволяющих выполнить требования по обеспечению безопасности информации (ПДн) с учётом особенностей конкретной ИСПДн.
  • Определение уровня защищенности ПДн в ИСПДн может проводиться на этапе создания ИСПДн или в ходе её эксплуатации (для ранее введенной в эксплуатацию и (или) модернизируемой ИСПДн).
  • Определение уровня защищенности ПДн в ИСПДн осуществляется в соответствии с требованиями, установленными постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите ПДн при их обработке в информационных системах ПДн» и приказом ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн».
  • Определение уровня защищенности ПДн в ИСПДн проводится внутренней комиссией (рабочей группой) и включает в себя следующие этапы:
  • сбор и анализ исходных данных по ИСПДн;
  • присвоение ИСПДн соответствующего уровня защищенности и его документальное оформление. При определении уровня защищенности ПДн в ИСПДн внутренней комиссией определяется:
  • заданные характеристики безопасности информации (ПДн), обрабатываемых в ИСПДн;
  • структура ИСПДн;
  • наличие подключений ИСПДн к сетям связи общего пользования и (или) сетям международного информационного обмена;
  • режим обработки информации (ПДн);
  • режим разграничения прав доступа пользователей ИСПДн;
  • местонахождение технических средств ИСПДн.
    • В случае выделения в составе ИСПДн подсистем, каждая из которых является ИСПДн, ИСПДн в целом присваивается уровень защищенности, соответствующий наиболее высокому классу входящих в нее подсистем, если данные ИСПДн не разделены между собой межсетевым экраном.
    • Результаты определения уровня защищенности ПДн в ИСПДн оформляются актом.
    • Сформированные по результатам определения уровня защищенности материалы являются неотъемлемой частью организационно-распорядительной документации ИСПДн.
    • Оригиналы организационно-распорядительной документации ИСПДн хранятся у лица, ответственного за организацию работ по защите информации (ПДн).
    • Уровень защищенности ИСПДн может быть пересмотрен комиссией в установленном порядке в следующих случаях:
  • на основе результатов проведенного анализа и оценки угроз безопасности информации (ПДн) с учетом особенностей и (или) изменений конкретной ИСПДн;
  • по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности информации (ПДн) при их обработке в ИСПДн.

7.        Порядок формирования требований к защите информационных систем персональных данных

  • На стадии формирования требований (технических заданий) устанавливается необходимость обработки информации ограниченного доступа на объекте информатизации в целом, оценивается степень её конфиденциальности, определяются режимы обработки, состав основных технических средств, условия расположения объекта информатизации, состав общесистемного прогаммного обеспечения, предполагаемого к использованию в информационных системах, определяется степень участия персонала в обработке (передаче, хранении, обсуждении) информации, характер их взаимодействия между собой, оценивается возможность использования имеющихся на рынке сертифицированных средств защиты информации (СЗИ), задаются требования к подсистемам информационной безопасности, включаемые в техническое задание (далее – ТЗ) на разработку.
  • ТЗ должно содержать:
  • наименование создаваемой СЗПДн;
  • основание разработки;
  • исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах;
  • ссылки на нормативные документы, с учётом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию объект информатизации;
  • цели и назначение создаваемой СЗПДн, ожидаемые результаты работ;
  • исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах (характеристика объекта информатизации/ автоматизации);
  • функциональные требования к компонентам создаваемой СЗПДн;
  • требования к подсистемам безопасности СЗПДн;
  • перечень предполагаемых к использованию в составе СЗПДн СЗИ и обоснование их выбора;
  • требования к взаимодействию компонентов СЗИ при реализации базовых функций СЗПДн;
  • требования к встроенным механизмам информационной безопасности, предусмотренных предполагаемыми к использованию программно-техническими решениями СЗПДн;
  • требования к взаимодействию ИСПДн с внешними информационными системами;
  • требования к непрерывности работы и отказоустойчивости;
  • требования к обеспечению защиты ПДн в ИСПДн;
  • требования к физической и инженерной защите объектов информатизации;
  • требования к эксплуатации, техническому обслуживанию и ремонту;
  • требования к эргономике;
  • требования к лингвистическому обеспечению СЗПДн;
  • требования к организационному обеспечению СЗПДн;
  • требования к численности и квалификации обслуживающего СЗИ персонала;
  • требования к прочим компонентам СЗПДн;
  • требования к документированию;
  • состав, содержание и сроки проведения работ на стадиях проектирования и ввода в эксплуатацию;
  • порядок контроля и приёмки СЗПДн.
  • состав, содержание и ориентировочные сроки проведения работ на стадиях проектирования и ввода в эксплуатацию;
  • перечень предъявляемых заказчику результатов работ и документации.
    • В план-график могут включаться:
  • этапы и наименование работ;
  • краткое содержание работ;
  • ориентировочные сроки выполнения этапов работ;
  • ФИО, ответственных за выполнения этапов;
  • и прочие необходимые сведения.

8.        Порядок проектирования системы защиты персональных данных

  • Рабочий проект должен содержать технические решения информационной безопасности, нормативную и техническую документацию, определять состав организационных мер в соответствии с требованиями, изложенными в технических заданиях на создание соответствующих ИСПДн.
  • Разработку рабочего проекта систем обеспечения информационной безопасности имеют право осуществлять только проектные организации, имеющие лицензию ФСТЭК России на соответствующий вид деятельности.
  • К разработке могут также привлекаться субподрядные проектные организации при условии наличия у них соответствующей лицензии. Субподрядные проектные организации участвуют в разработке технических решений по заданиям проектной организации, которые не должны раскрывать цель и подход к обеспечению информационной безопасности проектируемого объекта информатизации.
  • Все обоснования технических решений информационной безопасности, принятых в разделах рабочего проекта, приводятся в отдельном томе общей пояснительной записки. В остальной проектной документации, при необходимости, даётся только ссылка на данный том. Состав и содержание отдельного тома пояснительной записки, описывающего решения по созданию подсистем информационной безопасности, определяется уполномоченным подразделением, отвечающим за реализацию технической части информационной безопасности. К ознакомлению с данными материалами допускается ограниченный круг лиц с разрешения соответствующего подразделения.
  • Проектная документация по обеспечению безопасности информации, при необходимости, может проходить экспертизу во ФСТЭК России, ФСБ России или их территориальных органах.
  • Раздел технического проекта либо отдельный технический проект на объект информатизации в части обеспечения защиты информации должен содержать:
  • пояснительную записку/раздел в отдельном томе общей пояснительной записки с изложением решений, предлагаемых к использованию в составе СЗПДн, с указанием их соответствия требованиям технического задания;
  • структурную схему комплекса технических средств СЗПДн;
  • структурную схему ИСПДн со средствами защиты информации в составе комплекса технических средств СЗПДн;
  • ведомость покупных изделий;
  • план организационно-технических мероприятий по подготовке объекта информатизации к внедрению СЗПДн.
    • В отдельных случаях, по согласованию со структурном подразделением министерства, ответственным за обеспечение безопасности ПДн при их обработке в информационных системах ПДн (ответственным лицом), технический проект или раздел технического проекта может не разрабатываться, в случае разработки подробного ТЗ.

9.        Порядок ввода в эксплуатацию: монтажные работы, пуско-наладка

  • На стадии ввода в эксплуатацию СЗПДн на основе решений технического проекта (при отсутствии технического проекта, на основе технического задания) осуществляется закупка, поставка, монтаж и пусконаладочные работы СЗПДн.
  • Процедуры монтажных работ, пуско-наладочных работ, ввода в опытную и промышленную эксплуатацию должны быть документированы.
  • Монтажные работы и пуско-наладочные работы выполняются в выделенной тестовой среде.
  • Процедуры монтажных работ, установки и запуска СЗПДн должны обеспечивать безопасный запуск СЗПДн в тестовом режиме, а также СЗПДн в целевую среду и переход из тестового режима в режим опытной эксплуатации.
  • Предварительные испытания проводятся после монтажных и пусконаладочных работ.
  • В предварительные испытания рекомендуется включить следующие мероприятия:
  • моделирование защищаемой ИСПДн;
  • определение и согласование состава макета (тестовой среды) ИСПДн и СЗИ;
  • поставку программного/программно-аппаратного обеспечения и средств защиты информации для макетирования;
  • установку и настройку средств защиты информации, пуско-наладку испытательного стенда;
  • разработку программы и методики испытаний технологического стенда в соответствии с ГОСТ 19.301-79 и/или ГОСТ 34.603-92;
  • проведение испытаний в соответствии с разработанной методикой;
  • ведение журнала испытаний.
    • По результатам предварительных испытаний могут вноситься изменения в СЗПДн с последующим проведением повторных испытаний и/или выполняется перевод СЗПДн в опытную эксплуатацию в составе объекта информатизации.
    • Все вносимые изменения в СЗПДн по результатам предварительных испытаний должны быть документированы, согласованы и утверждены министерством.
    • При внесении изменений в СЗПДн выполняется:
  • уточнение эксплуатационной документации;
  • доработка технического проекта в соответствии с результатами испытаний.

10.   Порядок ввода в эксплуатацию: опытная эксплуатация системы защиты персональных данных

  • Стадия опытной эксплуатации осуществляется в комплексе с другими техническими и программными средствами ИСПДн, в целях проверки их работоспособности, в составе объекта информатизации и отработки технологических процессов обработки и передачи информации.
  • По результатам опытной эксплуатации проводятся приемо-сдаточные испытания СЗПДн, по результатам которых в СЗПДн могут вноситься изменения с последующим проведением повторных приемо-сдаточных испытаний, и/или выполняется перевод ИСПДн в промышленную эксплуатацию в составе объекта информатизации.
  • На стадии опытной эксплуатации разрабатываются следующие обязательные документы:
  • Эксплуатационные документы:
  • руководство пользователя;
  • руководство администратора;
  • руководство по тиражированию;
  • матрица доступа;
  • программа и методика испытаний.
    • Организационные документы:
  • акт приемки в опытную или промышленную эксплуатацию;
  • протокол испытаний;
  • приказ о вводе в опытную/опытно-промышленную/промышленную эксплуатацию.
    • При необходимости проведения сертификационных (аттестационных испытаний) испытаний СЗПДн разрабатываются:
  • технический паспорт (формуляр) СЗПДн;
  • сертификат (аттестат) или копии документов, подтверждающих соответствие требованиям к безопасности;
  • заключение о проведении сертификационных (аттестационных, приемочных) испытаний;
  • и иные документы по требованиям нормативных документов соответствующей системы сертификации.

11.   Порядок эксплуатации, включающей модернизацию

  • Эксплуатация ИСПДн осуществляется в соответствии с утвержденной организационно-распорядительной, эксплуатационной документацией, внутренними нормативно-методическими документами министерства в области обеспечения информационной безопасности.
  • Периодически должен проводиться контроль состояния информационной безопасности ИСПДн. Периодичность контроля и методы контроля должны быть регламентированы соответствующими нормативно-методическими документами и инструкциями. По результатам контроля может проводиться пересмотр модели угроз для ИСПДн, с последующим принятием мер по совершенствованию состояния информационной безопасности.
  • Должна выполняется регистрация и мониторинг всех событий, которые могут иметь отношение к информационной безопасности.
  • Должны приниматься меры по недопущению внесения в ИСПДн изменений, приводящих к нарушению ее функциональности или появлению недокументированных возможностей.
  • Эксплуатация средств защиты информации СЗПДн должна сопровождаться организацией-производителем весь срок их службы.
  • В процессе эксплуатации структурным подразделением министерства, ответственным за обеспечение безопасности ПДн при их обработке в ИСПДн (ответственным лицом), должны рассматриваться и анализироваться все предлагаемые или выполненные изменения в конфигурации ИСПДн, включая изменения политик, правил и процедур.
  • Структурным подразделением министерства, ответственным за обеспечение безопасности ПДн при их обработке в ИСПДн (ответственным лицом), не реже чем один раз в два года проводится переоценка соответствия ИСПДн актуальным требованиям информационной безопасности и внесение изменений в СЗПДн, с последующим проведением приёмо-сдаточных испытаний. Все процедуры по модернизации и внесению изменений в СЗПДн должны быть документированы.

12.   Порядок вывода из эксплуатации

  • На стадии вывода из эксплуатации СЗПДн или отдельных элементов СЗПДн должно быть обеспечено архивирование, перемещение и гарантированное удаление информации из запоминающих устройств СЗИ или отдельных элементов СЗПДн.
  • Стадия вывода из эксплуатации наступает после принятия решения о том, что объект информатизации и/или СЗПДн объекта информатизации исчерпало проектный срок службы. Такому решению предшествуют контрольные испытания с целью проверки фактического состояния объекта информатизации и/или СЗПДн объекта информатизации.
  • Процедуры вывода из эксплуатации должны быть документированы.
  • Структурное подразделение министерства, ответственное за обеспечение безопасности ПДн при их обработке в ИСПДн (ответственное лицо), должно взаимодействовать со всеми другими службами и подразделениями, участвующими в выводе объекта информатизации и/или СЗПДн объекта информатизации из эксплуатации.

13.   Подходы к выбору средств защиты информации

  • Выбор СЗИ для применения в СЗПДн должен осуществляться с учётом следующих базовых принципов:
  • функции выбранных СЗИ должны соответствовать модели угроз;
  • применяемые СЗИ должны, среди прочего, учитывать возможность утечки конфиденциальной информации по доступным для субъекта доступа каналам передачи информации;
  • приоритетным является использование типовых корпоративных СЗИ либо интеграция с ними в части организации сбора и обработки событий;
  • приоритетным является использование встроенных СЗИ программных и программно-технических средств защищаемой ИСПДн;
  • производители СЗИ должны обеспечивать надлежащее сопровождение, своевременное устранение уязвимостей и ошибок, совершенствование применяемых СЗИ в течение планируемого срока эксплуатации СЗИ;
  • применяемые СЗИ не должны вносить необоснованные риски в бизнес-процессы ИСПДн, негативно влиять на стабильность и непрерывность функционирования ИСПДн;
  • применяемые СЗИ должны отвечать условиям эксплуатации ИСПДн в том числе возможностям их сервисного обслуживания и сопровождения;
  • следует избегать необоснованного перекрытия и дублирования функций СЗИ, в т.ч. наложенных (дополнительных) и встроенных в ИСПДн;
  • приоритетным является использование в составе СЗПДн средств защиты информации, прошедших процедуру оценки соответствия в системе обязательной сертификации средств защиты информации ФСТЭК России и/или в системе обязательной сертификации средств криптографической защиты информации ФСБ России, при условии, что их выбор из числа имеющихся на рынке обеспечивает выполнение вышеуказанных принципов и является экономически обоснованным.

14.   Порядок контроля состояния защищенности информационных систем персональных данных

  • Контроль состояния информационной безопасности является неотъемлемой составной частью работ по поддержанию требуемого режима защиты ИСПДн.
  • Контроль состояния информационной безопасности в ходе эксплуатации объектов информатизации проводится с определённой периодичностью (не реже чем раз в три года), с целью подтверждения сохранения защитных функций и проверки выполнения пользователями объектов информатизации и ответственными лицами структурного подразделения министерства, ответственное за обеспечение безопасности ПДн при их обработке в ИСПДн.
  • Контроль проводится также в случаях нарушения информационной безопасности с целью определения причин произошедших нарушений и выработке мер по противодействию повторным нарушениям информационной безопасности.
  • Основными задачами контроля (аудита) являются:
  • проверка соответствия системы обеспечения информационной безопасности требованиям действующего законодательства, стандартов, положениям локальных нормативных актов;
  • проверка соответствия организации работ по обеспечению информационной безопасности требованиям установленного режима защиты ИСПДн;
  • оценка обоснованности принимаемых мер защиты информации и соответствия их установленным требованиям информационной безопасности;
  • проверка своевременности и полноты выполнения сотрудниками требований законодательства и локальных нормативных актов по обеспечению информационной безопасности.
    • Для реагирования на события безопасности в ИСПДн должны осуществляться централизованный сбор, запись, хранение, мониторинг и корреляция информации о событиях безопасности.
    • События безопасности, подлежащие регистрации в ИСПДн, и сроки их хранения соответствующих записей регистрационных журналов должны обеспечивать возможность обнаружения, идентификации и анализа инцидентов, возникших в ИСПДн.
    • Подлежат регистрации события безопасности, связанные с применением выбранных мер по защите информации в ИСПДн.
    • Перечень событий безопасности, регистрация которых осуществляется в текущий момент времени, определяется администратором информационной системы, исходя из возможностей реализации угроз безопасности информации, и фиксируется в журнале учета мероприятий по контролю режима защиты конфиденциальной информации (ПДн) и выполнения обязательных процедур.
    • Сбор, запись и хранение информации о событиях безопасности должен предусматривать:
  • возможность выбора администратором безопасности информации событий безопасности, подлежащих регистрации в текущий момент времени из перечня событий безопасности;
  • генерацию (сбор, запись) записей регистрации (аудита) для событий безопасности, подлежащих регистрации (аудиту);
  • хранение информации о событиях безопасности.
    • Объем памяти для хранения информации о событиях безопасности должен быть рассчитан и выделен с учётом типов событий безопасности, подлежащих регистрации, составом и содержанием информации о событиях безопасности, подлежащих регистрации, прогнозируемой частоты возникновения подлежащих регистрации событий безопасности, срока хранения информации о зарегистрированных событиях безопасности.
    • Реагирование на сбои при регистрации событий безопасности должно предусматривать:
  • предупреждение (сигнализация, индикация) администраторов о сбоях (аппаратных и программных ошибках, сбоях в механизмах сбора информации или переполнения объема (ёмкости) памяти) при регистрации событий безопасности;
  • реагирование на сбои при регистрации событий безопасности путём изменения администраторами параметров сбора, записи и хранения информации о событиях безопасности, в том числе отключение записи информации о событиях безопасности от части компонентов информационной системы, запись поверх устаревших хранимых записей событий безопасности.
    • Администратор безопасности информации осуществляет мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирует на них. Мониторинг (просмотр и анализ) записей регистрации (аудита) проводиться для всех событий, подлежащих регистрации, и с периодичностью, обеспечивающей своевременное выявление признаков инцидентов безопасности в ИСПДн. В случае выявления признаков событий безопасности в ИСПДн осуществляется планирование и проведение мероприятий по реагированию на выявленные инциденты безопасности.
    • Информация о событиях безопасности подлежит защите и обеспечивается применением мер защиты информации от неправомерного доступа, уничтожения или модифицирования, и включает защиту средств ведения регистрации (аудита) и настроек механизмов регистрации событий.
    • Доступ к записям аудита и функциям управления механизмами регистрации (аудита) предоставляется только администратору безопасности.

15.   Аттестация объектов информатизации

  • Объекты информатизации, предназначенные для обработки информации ограниченного доступа, подлежат обязательной аттестации (декларированию соответствия требованиям безопасности информации) в тех случаях, когда этого требует действующее законодательство. Во всех остальных случаях аттестация проводится в случае необходимости получения дополнительных свидетельств соответствия установленным требованиям безопасности.
  • В качестве организации, проводящей аттестацию объекта информатизации, должна привлекаться организация, имеющая лицензию ФСТЭК России на право деятельности по технической защите конфиденциальной информации или специально аккредитованный ФСТЭК России орган по аттестации объектов информатизации.

16.   Порядок подключение новых пользователей информационных систем персональных данных (тиражирование)

  • Вновь создаваемые (модернизируемые) объекты могут подключаться к ИСПДн при условии выполнения следующих мер защиты информации:
  • реализации необходимых требований (в соответствии с типом информационных систем, не ниже базового) по защите информации в объёме, определяемым корпоративным стандартом информационной безопасности;
  • аттестации (официального подтверждения соответствия реализованных мер защиты) объектов на соответствие требованиям по защите информации.
    • Общие требования к подключению пользователей ИСПДн:
      • Взаимодействие между участниками процесса подключения новых пользователей ИСПДн (тиражирование) выполняется с помощью форм документов на бумажном носителе или сканированных копий документов, отправленных с официальных почтовых адресов сотрудников министерства или с использованием системы электронного документооборота в соответствии с внутренними нормативными документами по делопроизводству министерства.
      • Доступ к ресурсам корпоративной сети и ИСПДн должен осуществляться зарегистрированными пользователями при предъявлении доказательств их подлинности (аутентификации).
      • Для предоставления сотрудникам министерства доступа к ресурсам корпоративной сети и ИСПДн должна осуществляться процедура их регистрации в качестве пользователей корпоративной сети, в результате которой для каждого сотрудника создается одна или несколько регистрационных записей, используемых для получения доступа к информационным ресурсам, ИСПДн, информационным сервисам.
      • Доступ к корпоративной сети и ИСПДн министерства представителям сторонних организаций (подрядчики, арендаторы, аудиторы и т.п.) может быть предоставлен только при наличии заключенного между министерством и сторонней организацией соглашения о конфиденциальности.
      • Руководители подразделений министерства несут ответственность за предоставление их подчиненным доступа (запрошенных прав доступа) к ресурсам корпоративной сети и ИСПДн министерства в строгом соответствии с их должностными обязанностями.
      • Регистрационные записи пользователя включают в себя данные, однозначно идентифицирующие данного пользователя, и служат для определения пользовательских полномочий доступа к ресурсам корпоративной сети и ИСПДн, а также для осуществления контроля над действиями пользователей.
      • Не допускается использование регистрационных записей (имён) других пользователей для осуществления доступа к ресурсам корпоративной сети и ИСПДн.
      • Всем пользователям корпоративной сети и ИСПДн присваивается уникальное имя и предлагается выбрать пароль. При регистрации в системе пользователю необходимо ввести свое уникальное имя. Пароль служит доказательством принадлежности пользователю предъявленного им идентификатора. Пользователи обязаны соблюдать меры по неразглашению пароля.
      • Все запросы на предоставление прав доступа к информационным ресурсам должны регистрироваться в автоматизированной системе службы поддержки пользователей.
      • Исполненные заявки на предоставление доступа должны храниться в течение всего периода работы сотрудника в министерстве, а также в течение 3 (трёх) лет после его увольнения, но не более 10 лет.
      • Исполненные заявки на создание информационных ресурсов должны храниться в службе поддержки пользователей в течение всего периода работы информационного ресурса, а также в течение установленного времени после прекращения его работы.

17.   Порядок организации внутреннего обучения сотрудников правилам и мерам защиты персональных данных

  • Решение основных вопросов обеспечения защиты информации (ПДн) предусматривает соответствующую подготовку сотрудников. Проведение обучения сотрудников министерства позволяет организовать обработку информации в соответствии с требованиями законодательства и нормативно-методических документов в области обеспечения безопасности информации (ПДн) при их обработке в ИСПДн и реализовать установленный комплекс организационных и технических мер по защите информации (ПДн)
  • Систему внутреннего обучения сотрудников в области защиты информации (ПДн) составляет:
  • проведение инструктажа пользователей ИСПДн;
  • самостоятельное изучение сотрудниками министерства необходимых для работы документов, средств и продуктов;
  • проведение курсов повышения квалификации сотрудников в области защиты ПДн.
    • В результате прохождения обучения сотрудники министерства получают необходимые знания и навыки в отношении:
  • правил использования средств защиты информации;
  • содержания основных нормативных правовых актов, руководящих и нормативно-методических документов в области обеспечения безопасности информации (ПДн) при их обработке в ИСПДн;
  • основных мероприятий по организации и техническому обеспечению безопасности информации (ПДн) при их обработке в ИСПДн;
    • Пользователи ИСПДн, допущенные к работе с информацией (ПДн), обязаны пройти инструктаж по вопросам обеспечения безопасности информации (ПДн) с целью подтверждения своих знаний и уяснения своих обязанностей по поддержанию установленного режима защиты информации (ПДн).
    • Инструктаж представляет собой ознакомление сотрудников министерства, допущенных к работе в ИСПДн, с положениями настоящего документа и действующих нормативных документов по обеспечению безопасности информации при ее обработке в ИСПДн, в том числе и с Инструкцией пользователя ИСПДн.
    • Ознакомление с положениями нормативной документации сотрудник министерства подтверждает своей личной подписью в журнале инструктажа (обучения), что свидетельствует о прохождении инструктажа (обучения).
    • Контроль проведения инструктажа и периодическая проверка знаний пользователями ИСПДн положений нормативной документации по вопросам обеспечения безопасности ПДн возлагается на Администратора безопасности информации совместно с руководителями структурных подразделений, использующих ИСПДн.
    • Ответственность за непосредственное проведение инструктажа возлагается на руководителей структурных подразделений министерства.
    • Сотрудники министерства, не прошедшие инструктаж, к работе в ИСПДн не допускаются.
    • Инструктаж проводится перед началом работы в ИСПДн и вновь принятых на работу сотрудников, а также не реже одного раза в год для всех пользователей ИСПДн.
    • Проверка знаний пользователями ИСПДн положений законодательства Российской Федерации в области ПДн и нормативных правовых документов по вопросам обеспечения безопасности информации (ПДн) проводятся: лицом, назначенным ответственным за организацию обработки ПДн в министерстве и/или администратором безопасности информации, не реже одного раза в год, а также в ходе периодического контроля, соблюдения режима безопасности информации (ПДн).
    • Самостоятельное изучение.

При данном виде подготовки сотрудниками министерства, осуществляющими обработку информации (ПДн), самостоятельно изучаются (в части касающейся):

  • нормативные правовые документы в области защиты информации (ПДн);
  • руководящие и нормативно-методические документы в области обеспечения безопасности информации (ПДн);
  • правила (инструкции) по использованию программных и аппаратных средств защиты информации.
  • внутренние положения (локальные акты) министерства, устанавливающие порядок обращения с информацией (ПДн) и их защиты. Время для самостоятельного изучения определяется руководителями структурных подразделений.

18.   Порядок контроля за обеспечением уровня защищенности информации (персональных данных) и оценки соответствия информационных систем персональных данных

  • Контроль обеспечения требуемого уровня защищенности информации (ПДн) заключается в проверке выполнения требований нормативных документов по защите информации (ПДн), а также в оценке обоснованности и эффективности принятых мер. Мероприятия по контролю защищенности информации (ПДн) могут проводиться как уполномоченными сотрудниками министерства, так и на договорной основе сторонней организацией, имеющей лицензию ФСТЭК Росии на деятельность по технической защите конфиденциальной информации. Мероприятия по контролю защищенности информации (ПДн) и оценке соответствия ИСПДн включают:
  • - внутренний контроль режима безопасности информации (ПДн) (оперативный и периодический);
  • - обследование защищенности информации (ПДн) с привлечением сторонней организации;
  • - оценку соответствия ИСПДн требованиям безопасности информации (ПДн).

19.   Внутренний контроль режима безопасности информации (персональных данных) и оценки соответствия информационных систем персональных данных требованиям безопасности

  • Внутренний оперативный контроль соблюдения режима безопасности информации (ПДн) проводится администратором безопасности информации ежедневно в режиме «реального времени».
  • Внутренний контроль заключается в анализе защищенности информации (ПДн) посредством используемых в составе СЗПДн программных и программно-аппаратных средств (систем) анализа защищенности, систем мониторинга и регистрации событий безопасности.
  • В ходе проведения контроля соблюдения режима безопасности информации ПДн администратор безопасности информации:

- осуществляет анализ журналов регистрации событий безопасности, производимых средствами защиты и другими элементами СЗПДн (ОС, прикладные программы);

- просматривает оповещения средств защиты ИСПДн;

- принимает меры по результатам анализа полученных оповещений.

  • Внутренний периодический контроль соблюдения режима безопасности информации (ПДн) (контрольные обследования защищенности ИСПДн) организуется лицом, ответственным за организацию обработки ПДн по ежегодно разрабатываемым планам.
  • По решению руководителя министерства внутренний контроль может проводиться во внеочередном порядке в случаях выявления нарушений безопасности информации (ПДн) с целью определения причин произошедших нарушений и разработки мер по их устранению.
  • Внутренний периодический контроль заключается в оценке выполнения требований нормативных (методических, руководящих) документов по обеспечению безопасности информации (ПДн), обрабатываемых в ИСПДн. В ходе проведения внутреннего периодического контроля проверяются следующие вопросы:

– соответствие состава и структуры программно-технических средств, обрабатывающих защищаемую информацию (ПДн), документированному составу и структуре средств, разрешённых для обработки такой информации;

– знание персоналом руководящих документов, технологических инструкций, предписаний, актов, заключений и уровень овладения персоналом технологией безопасной обработки информации, описанной в этих инструкциях;

– проверка наличия документов, подтверждающих возможность применения технических и программных средств вычислительной техники для обработки информации (ПДн) и применения СЗИ (сертификатов соответствия и других документов);

– проверка правильности применения СЗИ;

– проверка выполнения требований по условиям размещения АРМ в рабочих помещениях;

– соответствие реального уровня полномочий по доступу к защищаемой информации (ПДн) различных пользователей установленному в списке лиц, допущенных к обработке информации (ПДн), уровню полномочий;

– знание инструкций по обеспечению безопасности информации пользователями ИСПДн;

 – организация хранения носителей информации (ПДн) и допуска в помещения, в которых размещены средства обработки и осуществляется обработка информации (ПДн);

– прохождение инструктажа пользователей по вопросам обеспечения безопасности информации (ПДн) и выполнение ими установленных требований.

  • По фактам несоблюдения условий хранения носителей информации (ПДн), использования СЗИ, которые могут привести к нарушению конфиденциальности информации (ПДн) или другим нарушениям, приводящим к снижению уровня защищенности информации (ПДн), составляется соответствующее заключение, на основе которого впоследствии осуществляется разработка и реализация мер по предотвращению возможных опасных последствий подобных нарушений.
  • Результаты контроля оформляются актом, в котором делаются выводы о состоянии обеспечения безопасности информации (ПДн) на проверяемом объекте информатизации и приводятся рекомендации по его совершенствованию.

20.   Обследование защищенности информации (персональных данных) внешней специализированной организацией

  • Обследование защищенности информации (ПДн) внешней специализированной организацией проводится при создании СЗПДн (формирование требований к защите информации, содержащейся в информационной системе) или при доработке (модернизации) СЗПДн в случае, если:

- изменился состав или структура ИСПДн или технические особенности её построения (состав или структура ПО, ТС обработки информации (ПДн), топология и т.п.);

- изменился состав угроз безопасности информации (ПДн);

- изменился уровень защищенности ПДн в ИСПДн.

  • Привлекаемая для проведения обследования внешняя специализированная организация обязана иметь лицензию на деятельность по технической защите информации.

21.   Порядок оценки соответствия информационных систем персональных данных требованиям безопасности информации (персональных данных)

  • Оценка соответствия ИСПДн требованиям безопасности информации (ПДн) проводится в форме проверки готовности СЗПДн к использованию.
  • Проверка готовности СЗПДн к использованию осуществляется в ходе приёмо-сдаточных испытаний с составлением протоколов проверки и заключений о возможности их эксплуатации.
  • Для проверки готовности СЗПДн к использованию или для проведения аттестации ИСПДн привлекается организация, имеющая лицензию ФСТЭК России на право деятельности по технической защите конфиденциальной информации в соответствии с постановлением Правительства Российской Федерации от 03 февраля 2012 года № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».
  • Проверка готовности СЗПДн к использованию проводится в соответствии с разрабатываемой программой и методикой испытаний, соответствующих СЗПДн, определяющих порядок проверки выполнения СЗПДн заявленных функций защиты.
  • Аттестация проводится в соответствии с действующими нормативными и методическими документами ФСТЭК России.

 

 

 

1.        Приложение 1. Типовой план мероприятий по организации и проведению работ по защите ПДн

№ п/п

Срок выполнения

Наименование мероприятия

Периодичность выполнения

Результат мероприятия

Ответственное лицо

Примечание

план

факт

Первоочередные мероприятия

1.                

 

 

Назначить лицо, ответственное за организацию обработки ПДн

Разовое

Приказ о назначении лица, ответственного за организацию обработки ПДн

Министр

 

2.                

 

 

Назначить администратора безопасности информационных систем ПДн

Разовое

Приказ о назначении администратора безопасности ИСПДн

Министр

 

3.                

 

 

Создание постоянной комиссии по обеспечению безопасности ПДн

Разовое

Приказ о создании комиссии

Министр

Функции комиссии по ПДн: установление уровней защищенности ПДн, уничтожение материальных носителей, проведение внутренних проверок и др.

4.                

 

 

Выявить функционирующие в информационные системы ПДн

Разовое

Перечень ИСПДн

Администратор безопасности ИСПДн

 

5.                

 

 

Классифицировать функционирующие в ИСПДн

Разовое

Акты об установлении уровней защищенности ПДн в ИСПДн

Комиссия по ПДн

 

6.                

 

 

Определить категории обрабатываемых ПДн, а также цели, основания и сроки (условия) их обработки

Разовое

Перечень обрабатываемых ПДн

Ответственный за организацию обработки ПДн

 

7.                

 

 

Утвердить перечень лиц, доступ которых к ПДн необходим для выполнения ими служебных (трудовых) обязанностей

Разовое

Перечень лиц, допущенных к обработке ПДн

Ответственный за организацию обработки ПДн

 

8.                

 

 

Издать и обеспечить свободный доступ к документу, определяющему политику в отношении обработки ПДн

Разовое

Политика обработки ПДн

Ответственный за организацию обработки ПДн

Документ, в котором отображены основные принципы обработки ПДн (законность, обоснованность и т.п.)

9.                

 

 

Издать Положение об обработке ПДн

Разовое

Положение об обработке

Ответственный за организацию обработки ПДн

 

10.            

 

 

Издать внутренние документы, касающиеся обработки и защиты ПДн

Разовое

Комплект организационно-распорядительных документов оператора ПДн

Ответственный за организацию обработки ПДн

Положения, инструкции, регламенты, журналы и пр.

11.            

 

 

Уведомить Уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор) об обработке ПДн

Разовое,

при необходимости уточнения сведений

Уведомление об обработке ПДн/ Письмо о внесении изменений в реестр операторов ПДн

Ответственный за организацию обработки ПДн

Письмо о внесении изменений в сведения в реестре операторов ПДн подается каждый раз, когда меняются условия обработки (ответственный за организацию обработки, структура и состав ИСПДн, меры по защите ПДн и др.)

12.            

 

 

Получение письменного согласия субъектов ПДн (физических лиц) на обработку ПДн в случаях, когда этого требует законодательство

Разовое,

с новых сотрудников

Согласия с сотрудников, контрагентов

Ответственный за организацию обработки ПДн

 

 

13.            

 

 

Получить у сотрудников, допущенных к обработке ПДн, обязательства о неразглашении ПДн

Разовое,

с новых сотрудников

Обязательства о неразглашении ПДн

Ответственный за организацию обработки ПДн

 

14.            

 

 

Разработка моделей угроз и нарушителя безопасности ИСПДн, выявление актуальных угроз безопасности

Разовое,

при изменении состава и структуры ИСПДн

Актуальная модель угроз и нарушителя безопасности ИСПДн по методикам ФСБ России и ФСТЭК России

Администратор безопасности ИСПДн

 

15.            

 

 

Выявить и исключить случаи неправомерной обработки ПДн, обработки ПДн, избыточных по отношению к целям обработки

Разовое,

контроль – ежегодно

Уточнение перечня обрабатываемых ПДн

Ответственный за организацию обработки ПДн

 

16.            

 

 

Уточнить договорные отношения c контрагентами в плане обработки/передачи ПДн), заключить соглашения с контрагентами о конфиденциальности передаваемых ПДн

Разовое

Дополнения к действующим договорам с контрагентами

Ответственный за организацию обработки ПДн

 

17.            

 

 

Организация порядка резервного копирования и восстановления ИСПДн

Разовое

Инструкция по организации резервного копирования и восстановления работоспособности ИСПДн. Принятие мер по защите ИСПДн от технических сбоев.

Администратор безопасности ИСПДн

 

18.            

 

 

Организовать автоматическое ведение электронных журналов/логов обращений (чтения и записи) пользователей ИСПДн к защищаемым ресурсам средствами ПО ИСПДн

Разовое

Автоматическое ведение электронных журналов обращений к ИСПДн

 

Администратор безопасности ИСПДн

 

19.            

 

 

Выбрать и установить сертифицированные средства защиты информации (средства защиты от несанкционированного доступа, межсетевые экраны, антивирусы, криптографические средства) в зависимости от уровня защищенности ИСДПн

Разовое

Система защиты ПДн в ИСПДн

Администратор безопасности ИСПДн

 

 

Регулярные мероприятия

1.                  

 

 

Ознакомление сотрудников, допущенных к обработке ПДн, с нормативно-правовыми актами в области обработки и защиты ПДн, внутренними утвержденными документами по обработке и защите ПДн, контроль знаний сотрудников

Ежегодно

Ознакомление сотрудников с действующим законодательством в области защиты ПДн, с внутренними актами, регламентами и инструкциями, обучение правильной работе в ИСПДн

Ответственный за организацию обработки ПДн

При принятии нового сотрудника на работу, при изменении законодательства, а также при изменении внутренних документов, все изменения доводятся до ответственных сотрудников

1.                

 

 

Контроль функционирования средств защиты информации

Ежемесячно

в случае инцидентов ИБ

 

Администратор безопасности ИСПДн

 

2.                

 

 

Контроль разграничения доступа пользователей к ИСПДн

При изменении прав доступа пользователей

Разграничение прав доступа в соответствии с должностными обязанностями пользователей ИСПДн, с матрицами доступа

Администратор безопасности ИСПДн

 

3.                

 

 

Контроль безопасности и анализ защищенности в ИСПДн

Ежегодно,

при изменении состава и структуры ИСПДн

Актуальные сведения о наличии уязвимостей в ИСПДн

Администратор безопасности ИСПДн

 

4.                

 

 

Контроль за работой средств антивирусной защиты

Еженедельно

Журнал учета проведения внутренних проверок

Администратор безопасности ИСПДн

 

5.                

 

 

Контроль за работой средств резервного копирования ИСПДн

Ежемесячно

Журнал учета проведения внутренних проверок

Администратор безопасности ИСПДн

 

6.                

 

 

Контроль за соблюдением пользователями парольной политики

Раз в полгода

Журнал учета проведения внутренних проверок

Администратор безопасности ИСПДн

 

7.                

 

 

Контроль за соблюдением пользователями правил работы в корпоративных вычислительных сетях, с электронной почтой и сетью Интернет

Раз в полгода

Журнал учета проведения внутренних проверок

Администратор безопасности ИСПДн

 

8.                

 

 

Контроль выполнения организационных и технических мер хранения и эксплуатации СКЗИ (в соответствии с действующими нормативно-правовыми и методическими документами ФСБ России и эксплуатационно-технической документацией на СКЗИ).

Раз в полгода

Журнал учета проведения внутренних проверок

Администратор безопасности ИСПДн

 

9.                

 

 

Проведение внутренних проверок на предмет выявления изменений в режиме обработки и защиты ПДн

Ежегодно

Регламент и журнал учета проведения внутренних проверок в области обработки ПДн

Комиссия по ПДн

 

10.            

 

 

Ведение Журнала учета проверок юридического лица органами государственного контроля (надзора) и поддержание его в актуальном состоянии

В случае проведения проверки

Журнал учета проверок юридического лица органами государственного контроля (надзора)

Ответственный за организацию обработки ПДн

 

11.            

 

 

Ведение Журнала учета обращений субъектов ПДн, их законных представителей и государственных контролирующих органов по вопросам обработки ПДн и поддержание его в актуальном состоянии

По запросам субъектов, уполномоченных органов

Журнал учета обращений субъектов ПДн, их законных представителей и государственных контролирующих органов по вопросам обработки ПДн

Ответственный за организацию обработки ПДн

 

12.            

 

 

Поддержание в актуальном состоянии организационно-распорядительных документов

Ежегодный контроль, при изменении условий обработки ПДн, при изменении законодательства в области обработки ПДн

Актуальные документы (Положения, инструкции, регламенты)

Ответственный за организацию обработки ПДн

 

Сообщение об ошибке
Закрыть
Отправьте нам сообщение. Мы исправим ошибку в кратчайшие сроки.
Расположение ошибки:
Текст ошибки:
Комментарий или отзыв о сайте: