Мероприятия по защите персональных данных
|
Документы, соответствующие мероприятиям по защите ПД
|
Назначение ответственного за техническую защиту информации. Повышение его квалификации по технической защите конфиденциальной информации (Постановление Губернатора от 03.09.2007 № 347 Об обеспечении технической защиты информации, п.13 ПП РФ от 17.11.2007 № 781).
|
Приказ о назначении ответственного за техническую защиту информации в подразделении. Откорректированный должностной регламент. Удостоверение о повышении квалификации по технической защите информации установленного образца.
|
Разработка/уточнение Перечня информационных систем персональных данных (далее - ИСПДн) и обрабатываемых в них персональных данных (далее - ПД) (Основные мероприятия… от 15.02.2008, ФСТЭК России).
|
Утвержденный Перечень ИСПДн и обрабатываемых ПД.
|
Классификация ИСПДн (Рекомендации… от 15.02.2008, ФСТЭК России).
|
Акты классификации ИСПДн.
|
Уведомление Управления Россвязькомнадзора по Новосибирской области об обработке персональных данных (ФЗ от 27.07.2006 № 152-ФЗ).
|
Уведомление оператора об обработке персональных данных. Регистрационный номер Государственного реестра операторов персональных данных РФ.
|
Обеспечение согласий субъектов ПД на автоматизированную обработку их ПД (проверка договоров с субъектами ПД на предмет выполнения статей 6, 9, 10, 11 и 16 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», заключение при необходимости дополнительных соглашений с субъектами ПД).
|
Откорректированные технологические документы, формы организации.
|
Разработка перечня актуальных угроз безопасности ПД соответствующего класса информационных систем (для каждой ИСПДн) в соответствии с:
Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15.02.2008 (ФСТЭК России);
Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15.02.2008 (ФСТЭК России);
Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации" от 21.02.2008 № 149/54-144 (ФСБ России).
|
Модели угроз безопасности, перечни актуальных угроз безопасности для каждой ИСПДн.
|
Разработка мер по защите ПД (на основе моделей угроз), обеспечивающих нейтрализацию предполагаемых угроз безопасности ПД (Постановление Правительства РФ от 17.11.2007 № 781, методические документы ФСТЭК России).
|
Перечень организационных и технических мер по защите информации, перечень программных и технических средств защиты или технический (рабочий) проект защиты.
|
Ограничение доступа работников к персональным данным. Утверждение списка лиц, доступ которых к ПД необходим для выполнения служебных обязанностей. Учет лиц, допущенных к работе с ПД (для каждой ИСПДн) (Основные мероприятия… от 15.02.2008, ФСТЭК России; СТР-К, Гостехкомиссия, 2002).
|
Приказ об утверждении перечня лиц, допущенных к автоматизированной обработке ПД в организации (для каждой ИСПДн).
Приказ об утверждении перечня лиц, допущенных в помещения ИСПДн.
Инструкция о порядке допуска лиц в помещения ИСПДн.
Инструкция о порядке действия должностных лиц, имеющих право сдавать под охрану помещения.
|
Внесение изменений в должностные регламенты сотрудников (пользователей), обрабатывающих ПД, требования о соблюдении конфиденциальности ПД в период работы и после увольнения, а также ответственности за нарушение конфиденциальности ПД. Ознакомление (под роспись) сотрудников с изменениями в должностных регламентах (Основные мероприятия… от 15.02.2008, ФСТЭК России; СТР-К, Гостехкомиссия, 2002).
|
Обновленные должностные регламенты/обязанности лиц, допущенных к обработке персональных данных.
|
Организация учета и контроля за соблюдением правил пользования средствами криптографической защиты информации (далее – СКЗИ) и условий их использования, указанных в правилах пользования (эксплуатации) на них (Типовые требования… от 21.02.2008 № 149/6/6-622, ФСБ России):
|
Определение необходимости использования криптосредств для обеспечения безопасности ПД и, в случае положительного решения, определение на основе модели угроз цели использования криптосредств для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных и (или) иных неправомерных действий при их обработке;
|
Аналитическое обоснование использования криптосредств для обеспечения безопасности ПД.
|
Установка и ввод в эксплуатацию криптосредств в соответствии с эксплуатационной и технической документацией к этим средствам. Проверка готовности криптосредств к использованию с составлением заключений о возможности их эксплуатации;
|
Инструкция по эксплуатации КСЗИ в ИСПДн.
Заключение о проведении опытной эксплуатации криптосредств в целях проверки их работоспособности.
Акт о вводе в эксплуатацию криптосредств защиты информации (КСЗИ).
|
Обучение лиц, использующих криптосредства, работе с ними;
|
Удостоверение о повышении квалификации по использованию крипто-средств.
|
Решение оператора ПД о допуске пользователей криптосредств к работе с ними;
|
Приказ о допуске пользователей криптосредств к работе с ними.
|
Поэкземплярный учет криптосредств, предназначенных для обеспечения безопасности ПД в ИСПДн, эксплуатационной и технической документации к ним и пользователей криптосредств;
|
Журнал поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, пользователей криптосредств.
|
Контроль за соблюдением условий использования криптосредств, предусмотренных эксплуатационной и технической документацией к ним;
|
Технический (аппаратный журнал).
|
Описание организационных и технических мер, которые оператор обязуется осуществлять при обеспечении безопасности ПД с использованием криптосредств при их обработке в информационных системах, с указанием в частности:
а) индекса, условного наименования и регистрационных номеров используемых криптосредств;
б) соответствия размещения и монтажа аппаратуры и оборудования, входящего в состав криптосредств, требованиям нормативной документации и правилам пользования криптосредствами;
в) соответствия помещений, в котором размещены криптосредства и хранится ключевая документация к ним, требованиям Методических рекомендаций от 21.02.2008 № 149/54-144 (ФСБ России) с описанием основных средств защиты;
г) выполнения Требований к материальным носителям биометрических ПД и технологиям хранения таких данных вне ИСПДн;
|
Акт о нарушении. План устранения недостатков.
|
Разбирательство и составление заключений по фактам нарушения условий хранения носителей ПД, использования криптосредств, которые могут привести к нарушению конфиденциальности ПД или другим нарушениям, приводящим к снижению уровня защищенности ПД, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
|
Инструкция о порядке организации и проведении работ по обеспечению безопасности ПД с использованием криптосредств.
|
Разработка документов (Основные мероприятия… от 15.02.2008, ФСТЭК России; СТР-К, Гостехкомиссия, 2002):
|
Регламенты работы с ПД;
|
Инструкция о порядке организации и проведении работ по защите ПД.
|
Разработка матриц доступа к информации (с учетом минимизации доступа пользователей ИСПДн к обрабатываемым ПД);
|
Матрицы доступа к защищаемым ресурсам.
|
Описание технического, программного, информационного обеспечения, конфигурации и топологии ИСПДн и взаимосвязи ее с другими системами, информационных потоков, технологии обработки (передачи) информации;
|
Перечень технических и программных средств ИСПДн.
Описание топологии ИСПДн и взаимосвязи ее с другими системами.
Описание информационных потоков ИСПДн.
Описание технологии обработки (передачи информации).
|
Подготовка пояснительной записки с изложением решений по комплексу организационных мер и программно-техническим средствам обеспечения безопасности информации, составу средств защиты информации;
|
Пояснительная записка с изложением решений по комплексу организационных мер и программно-техническим средствам обеспечения безопасности информации, составу средств защиты информации.
|
Разработка плана организационно-технических мероприятий по подготовке к внедрению средств и мер защиты информации;
|
План организационно-технических мероприятий по подготовке к внедрению средств и мер защиты информации.
|
Разработка технических паспортов ИСПДн;
|
Технические паспорта ИСПДн.
|
Разработка инструкций и руководств по эксплуатации технических и программных средств защиты информации для пользователей, администраторов системы, ответственных за защиту ПД в ИСПДн, системному администратору;
|
Инструкции по эксплуатации технических и программных средств защиты информации для пользователей, администраторов, ответственных за защиту ПД в ИСПДн.
Инструкция системному администратору (включить процедуры восстановления серверов, баз данных, операционных систем, программных средств, файлов).
|
Опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности и отработки технологического процесса обработки информации;
|
Заключение о проведении опытной эксплуатации средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности и отработки технологического процесса обработки информации.
|
Приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации;
|
Заключение о приемо-сдаточных испытаниях средств защиты информации по результатам опытной эксплуатации и Акт внедрения средств защиты информации.
|
Введение журнала учета носителей информации;
|
Журнал учета МНИ с ПД.
|
Описание системы защиты персональных данных.
|
Документ «Система защиты ПД ИСПДн «Хххх».
|
Лицензирование деятельности по технической защите конфиденциальной информации для операторов, осуществляющих обработку ПД в ИСПДн 1, 2 классов и распределенных системах 3 класса (Основные мероприятия… от 15.02.2008, ФСТЭК России).
|
Лицензия ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации.
|
Для операторов, использующих криптосредства при обработке ПД в ИСПДн 1, 2 классов и распределенных системах 3 класса, получение лицензий ФСБ России (ст.17 Федерального закона от 08.08.2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности»):
на деятельность по распространению шифровальных (криптографических) средств,
на деятельность по техническому обслуживанию шифровальных (криптографических) средств,
на предоставление услуг в области шифрования информации.
|
Лицензия ФСБ на деятельность по распространению шифровальных (криптографических) средств.
Лицензия ФСБ на деятельность по техническому обслуживанию шифровальных (криптографических) средств.
Лицензия ФСБ на предоставление услуг в области шифрования информации.
|
Эксплуатация ИСПДн, мониторинг, выявление и реагирование на инциденты информационной безопасности (ПП РФ от 17.11.2007 № 781).
|
Совершенствование системы защиты ИСПДн (корректировки документации).
|
Аттестация ИСПДн 1 и 2 класса (Основные мероприятия… от 15.02.2008, ФСТЭК России).
|
Аттестат соответствия требованиям безопасности информации ИСПДн.
|
Подготовка к комплексной проверке Управлением Россвязькомнадзора по Новосибирской области, Управлением ФСТЭК России по Сибирскому федеральному округу и Управлением ФСБ России по Новосибирской области.
|
План подготовки к проверке состояния защиты конфиденциальной информации.
|
