Тех Паспорт Информационной Системы Персональных Данных

Содержание

Тех Паспорт Информационной Системы Персональных Данных

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Однако в ст. 3 Закона «О персональных данных» приведено более широкое определение информационной системы: это совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Разберем составляющие этого определения, дефиниции которых можно найти в Федеральном законе «Об информации, информационных технологиях и защите информации», других законах и в нормативных актах Правительства РФ.

Что это такое государственные и частные ИСПДн?

В случае разработки СЗПДн или ее отдельных компонентов специализированными организациями подразделение ИБ отвечает за организацию и проведение мероприятий по защите информации. Разработка, внедрение и эксплуатация СЗПДн осуществляются во взаимодействии разработчика с подразделением ИБ.

Целью классификации ИС Росреестра как ИСПДн является определение по её результатам перечня обоснованных организационных и технических мероприятий, позволяющих выполнить требования по обеспечению безопасности ПДн с учётом особенностей конкретной ИСПДн. Классификация может проводиться на этапе создания ИС или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых ИС).

Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.

Не могу. Я хотел бы сделать так, чтобы мой профиль был доступен моим друзьям и недоступен моему боссу. Не могу. Я хотел бы поддерживать группу противников абортов и при этом не сообщать об этом своей маме и всему свету.

Настоящая Политика информационной безопасности (далее – Политика) Муниципальное го бюджетного общеобразовательного учреждения «Средняя общеобразовательная школа №18» (далее – Учреждения) является официальным документом.

Таким образом, в состав технических средств входят и копировальные устройства, и программное обеспечение, однако ключевым в определении информационной системы персональных данных является понятие «база данных». Из этого определения следует, что обработка базы данных осуществляется с помощью компьютера (носители должны быть машиночитаемыми).

Теперь перейдем к наиболее конкретным и одновременно головоломным, в хорошем смысле слова, документам ФСТЭК и ФСБ, устанавливающим конкретные организационные и технические меры по обеспечению безопасности ПДн при их обработке в информационных системах. Основание и необходимость применения приказов ФСТЭК и ФСБ связано с типом СЗИ, которые предполагается применить в ИСПДн.

Так же в список должны быть включены функции защиты, обеспечиваемые штатными средствами обработки ПДн операционными системами (ОС), прикладным ПО и специальными комплексами, реализующими средства защиты.

Технический паспорт информационных систем

Классификация ИСПДн осуществляется в соответствии с требованиями приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

Таким образом, рассматривая продукцию конкретных производителей и разработчиков для применения в своих ИСПДн, школа может уточнить классы защищенности в документах поставщика при принятии решения о закупке.
Соответственно, применение обычного программного обеспечения в ИСПДн школ рождает угрозы 1-го и/или 2-го типа.

Необходимо принять организационные и технические меры по обеспечению безопасности ПДн при их обработке в ИСПДн.

Аттестация ИСПДн: цена вопроса

Должно осуществляться предотвращение преднамеренных или случайных, частичных или полных несанкционированных модификаций или уничтожения данных.

Каждая ИСПДн должна иметь свою цель обработки. Именно цель обработки является основным критерием при выделении ИСПДн.

Сотрудник следит за работой средств, защищающих информацию, регулярно проводит антивирусные проверки, консультирует сотрудников по теме безопасности личных данных.

У каждой ИСПДн обязательно должна быть конкретная цель обработки. Она и служит главным критерием при выделении категории ИСПДн.

Размещение и расположения ОТСС на объекте с привязкой к границам контролируемой зоны представлено на Рисунках 3- 8.

Требование по обязательности сертификации

Хотя, казалось бы, именно операторы должны были заинтересоваться всеми ресурсоемкими «сюрпризами», заложенными законодателем в этот правовой акт.

Результаты классификации ИСПДн Росреестра оформляются актом, утверждаемым руководителем Росреестра/территориального органа Росреестра, в соответствии с Приложением № 1 к Специальным требованиям и рекомендациям по технической защите конфиденциальной информации (СТР-К), утвержденным приказом Гостехкомиссии России от 30.08.2002 № 282.

Однако реализация началась существенно позже, поскольку в силу многочисленных административных пертурбаций функции уполномоченного органа по защите прав субъектов персональных данных закреплялись то за одним, то за другим органом исполнительной власти. Подзаконные акты Правительства и ведомств появились также с опозданием.

Общие сведения об ИСПДн… Наименование ИСПДн:.2. Физическое расположение ИСПДн:..3. Частная модель угроз безопасности ПДн в ИСПДн утверждена..200 г..4. Класс ИСПДн: K3 (акт классификации ИСПДн от..200 г).5. Перечень ПДн, обрабатываемых в ИСПДн персональных данных, обрабатываемых в ИСПДн Наименование персональных данных. Персональные данные работников.

Состав оборудования системы. 3.. Состав основных технический средств и систем (ОТСС): Таблица 3 основных технических средств и систем, входящих в состав ИСПДн Тип ОТСС АРМ начальника отдела кадров ) 2 АРМ зам.

С 1 января 2010 года информационные системы персональных данных во всех организациях, включая бюджетные учреждения, должны быть приведены в соответствие с требованиями Закона «О персональных данных»*(1).

Необходимо определить и утвердить Список работников Учреждения, допущенных в соответствии с их должностными обязанностями к обработке ПДн.

Размеры: 720 х 540 пикселей, формат: .jpg. Чтобы бесплатно скачать слайд для использования на уроке, щёлкните на изображении правой кнопкой мышки и нажмите «Сохранить изображение как…». Скачать всю презентацию «Защита персональных данных в информационных системах.ppt» можно в zip-архиве размером 1840 КБ.

Сертификация средств защиты персональных данных: революция или эволюция?

Прежде, чем приобретать документы, следует по-возможности заехать в офис ГлобалТраст и ознакомиться с документами лично. Их содержимое секретом не является, но охраняется авторским правом.

Существует точка зрения, согласно которой под использованием средств автоматизации подразумевается любая компьютерная обработка или обработка с помощью электронных устройств.

Расскажем инструкция регламентирует какие обязанности оператора ИСПДн регламентирует инструкция по обеспечению безопасности обрабатываемой информации.

Аттестация ИСПДн: камни преткновения

Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.

В данный комплект включены документы, регламентирующие вопросы обработки и защиты персональных данных, обрабатываемых в ИСПДн. Эти документы служат дополнением к выпущенным ранее комплектам типовых документов GlobalTrust по управлению информационной безопасностью и рисками и отражают специфику нормативной базы РФ в области защиты персональных данных.

Список используемых средств должен поддерживаться в актуальном состоянии.

При изменении состава технических средств защиты или элементов ИСПДн, соответствующие изменения должны быть внесены в Технический паспорт и утверждены руководителем Управления или лицом, ответственным за обеспечение безопасности ПДн. Таблица 6. Функциональные связи и каналы передачи информации при обработке персональных данных граждан .

Лицензирование шаблонов типовых документов производится по количеству систем управления персональными данными (СУПДн) или количеству систем защиты персональных данных (СЗПДн), в рамках которых производится использование этих шаблонов. Одна лицензия дает право использования шаблонов в одной организации в рамках одной СУПДн или СЗПДн.

Для проведения классификации ИСПДн соответствующим приказом руководителя Росреестра/территориального органа Росреестра назначается специальная внутренняя комиссия (рабочая группа). В состав этой комиссии (группы) включаются представители подразделения ИБ, правового обеспечения, должностные лица — обладатели информационных ресурсов ИСПДн.

Паспорт справочно информационной службы (ЦОД, ТОД, ПЦПИ и др.), функционирующей на базе общедоступной библиотеки 1.

Политика защиты и обработки персональных данных организации «аддинол»

Схема электропитания ОТСС объекта, схемы электропитания розеточной и осветительной сети объекта приведена на Рисунке 5. Электрическая подстанция располагается за пределами контролируемой зоны.

В связи с тем, что ИСПДн по своим характеристикам и номенклатуре угроз безопасности ПДн близки к наиболее распространенным, так называемым «офисным», информационным системам, целесообразно при их защите максимально использовать традиционные подходы к технической защите информации в автоматизированных системах.

Техпаспорт Наименование Информационной Системы Персональных Данных Пример

Тех Паспорт Информационной Системы Персональных Данных

Если в ИСПДн все пользователи (администраторы, операторы, разработчики) обладают одинаковым набором прав доступа или осуществляют вход под единой учетной записью и вход под другими учетными записями не осуществляется, то эта ИСПДн с равными правами доступа (полномочиями) ко всей информации ИСПДн разных пользователей, в противном случае с разными правами доступа (полномочиями) ко всей информации ИСПДн разных пользователей.

Объем ПДн, обрабатываемых в ИСПДн (Хнцд). Должен быть определен объем записей ПДн в ИСПДн, может принимать значение:

1 — в информационной системе одновременно обрабатываются ПДн более чем 100 000 субъектов ПДн или ПДн субъектов ПДн в пределах субъекта Российской Федерации или Российской Федерации в целом;
2 — в информационной системе одновременно обрабатываются ПДн от 1000 до 100 000 субъектов ПДн или ПДн субъектов ПДн, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
3 — в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов ПДн или ПДн субъектов ПДн в пределах конкретной организации.

Количество рабочих станций, входящих в состав ИСПДн. Должен быть определен перечень рабочих станций, задействованных в каком-либо качестве в обработке ПДн в ИСПДн и (или) имеющих незащищенное физическое подключение к ИСПДн.
Структура ИСПДн. ИСПДн является:

АРМ, если вся обработка ПДн производится в рамках одного рабочего места;
локальной информационной системой, если вся обработка ПДн производится в рамках одной ЛВС;
распределенной информационной системой, если обработка ПДн производится в рамках комплекса АРМ и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа, т.е. элементы ИСПДн разнесены территориально, например, в ИСПДн включена сеть филиала, и связь между территориально удаленными элементами осуществляется по каналам сетей общего пользования и (или) международного обмена.

Количество пользователей, допущенных к работе в ИСПДн. Должен быть определен перечень пользователей, допущенных к ПДн в ИСПДн.
Режим обработки ПДн в ИСПДн. ИСПДн является однопользовательской, если сотрудник обрабатывающий ПДн совмещает в себе функции администратора (осуществляет настройка и поддержку технических и программных средств) и оператора. Во всех других случаях ИСПДн является многопользовательской.

Типовая форма технического паспорта информационной системы персональных данных

6 Тип ОТСС 5 Сервер базы данных С 2) 6 Принтер 22) Программные и технические характеристики Процессор: Intel Core 2 Quad Q ГГц Память: 2048 Мб Жесткий диск: 2×250 Гб Asus Striker II Extreme : 52Mb GeForce 9600GT Сетевая : Интегрированная + D-Link DFE- 520TX Microsoft Windows Server 2003 R2 С: Бухгалтерия локальный 3.2. Состав вспомогательных технических средств и систем (ВТСС): Таблица 4 вспомогательных технических средств, входящих в состав ИСПДн (средств вычислительной техники, не участвующих в обработке персональных данных) Наименование и тип ВТСС Стационарный телефонный 202, 203, аппарат 2 Факс 203 Примечание

Рекомендуем прочесть: Налоги при вступлении в наследство

Перечень ПДн, обрабатываемых в ИСПДн персональных данных, обрабатываемых в ИСПДн Наименование персональных данных. Персональные данные работников. Первичные учетные данные работников.2 Сведения о занимаемой должности.3 Финансовое состояние работника.4 Сведения о реквизитах работника.

5 Дополнительные сведения о работнике Категория ПДн Таблица Цель обработки ПДн в рамках ИСПДн Учет работников, осуществление процессов согласно трудовому законодательству РФ Поддержание иерархичности отношений между работниками, осуществление процессов согласно трудовому законодательству РФ Осуществление налоговых отчислений, осуществление процессов согласно трудовому законодательству РФ Осуществление процессов согласно трудовому законодательству РФ Выплата льгот, осуществление процессов согласно трудовому законодательству РФ 2. Технологические процессы обработки ПДн, используемые в ИСПДн. технологических процессов обработки ПДн, используемых в ИСПДн Таблица 2 Наименование технологического процесса. Прием сотрудника на работу 2. Увольнение работника 3. Начисление работнику зарплаты 4. Начисление работнику премии

ПДн обрабатываемые в ИСПДн. Должен быть определен перечень ПДн, обработка которых ведется в ИСПДн.
Категория ПДн, обрабатываемых в ИСПДн (Х п д). Исходя из особенностей ПДн определяются следующие категории обрабатываемых в информационной системе ПДн:

категория 1 — ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 — ПДн, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию, за исключением ПДн, относящихся к категории 1;
категория 3 — ПДн, позволяющие идентифицировать субъекта

категория 4 — обезличенные и (или) общедоступные ПДн.

В соответствии с пунктом 4 Приложения № 1 к «Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденных приказом ФСТЭК России от 11 февраля 2013 г. № 17, АИС ______ присвоить класс защищенностиК_.

Журнал учета паролей по информационной системе персональных данных (ИСПДн)

Возражение субъекта персональных данных на принятое на основании исключительно автоматизированной обработки персональных данных решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы

Запрос согласия субъекта персональных данных на принятие на основании исключительно автоматизированной обработки его персональных данных решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающего его права и законные интересы

Акт классификации ИСПДн

9) условие обработки персональных данных — для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.

В соответствии с Постановлением Правительства Российской Федерации от 1 ноября 2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и Приказом Генерального директора ЗАО «Компания-оператор ПДн» от «___» ___________ № ____ комиссия в составе:

Политика обработки персональных данных

8.1. Субъект ПДн вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Рекомендуем прочесть: Военная ипотека новостройки москвы

– наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

Технический паспорт на оборудование: образец оформления и назначение документа

В техническом паспорте оборудования предусмотрено место для внесения пометок во время его эксплуатации. Перечисленные сведения помогают владельцу устройства правильно и безопасно использовать его, сохраняя функциональность аппарата на протяжении полного периода эксплуатации.

Техпаспорт Информационной Системы Персональных Данных Пример

Тех Паспорт Информационной Системы Персональных Данных

Настоящий документ описывает технические характеристики каждой информационной системы персональных данных: схему сети, характеристики компьютеров, серверов и сетевого оборудования.

Также отображается информация о программном обеспечении, которое функционирует внутри информационной системы.

На основании данного документа будет строиться модель угроз персональных данных и проектироваться система защиты персональных данных (СЗПДн).

— абзац 2 п.9, п.10 Приказа ФТЭК №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

3 . Общие сведения об ИСПДн. Наименование ИСПДн:.2. Физическое расположение ИСПДн. 3. Частная модель угроз безопасности ПДн в ИСПДн утверждена..200 г..4. Класс ИСПДн: K3 (акт классификации ИСПДн от..200 г).5. Перечень ПДн, обрабатываемых в ИСПДн персональных данных, обрабатываемых в ИСПДн Наименование персональных данных.

Персональные данные работников. Первичные учетные данные работников.2 Сведения о занимаемой должности.3 Финансовое состояние работника.4 Сведения о реквизитах работника.

А вот различные программы, позволяющие переформатировать данные (в том числе из формата бухгалтерской программы в формат, например, программы Пенсионного фонда) и осуществляющие их автоматический ввод и дальнейшую передачу без обращения к каждой конкретной записи о работнике, могут быть отнесены к автоматизированной обработке данных. При этом обработка персональных данных (включая фамилию, имя, отчество, номер пенсионного свидетельства и тому подобное) является неотъемлемой частью таких программ.

: Возврат За Ипотеку

В соответствии с ч. 3 ст. 15 Конституции РФ все законы, а также любые нормативные акты, затрагивающие права, свободы и обязанности человека и гражданина, должны быть официально опубликованы для всеобщего сведения, то есть обнародованы. Неопубликованные нормативные правовые акты не применяются, не влекут правовых последствий как не вступившие в силу.

08 мая 2020 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2020 г. № 548).

Developer, приказ о перечне ПДн обычно (и логично) является составной частью приказа «Об обеспечении безопасности персональных данных при их обработке в ИСПДн», который является отправной точкой создания или приведения ИСПДн в соответствии с законами. Техпаспорт же логично составить при окончани всех работ.

Технический паспорт ИСПДн разрабатывается в соответствии со специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К). Прямых требований к составлению технического паспорта для ИСПДн нет, но они косвенно вытекают из других требований.

наименование ИСПДн;
адрес местонахождения ИСПДн;
данные об утвержденной частной модели угроз безопасности ПДн в ИСПДн;
перечень персональных данных, обрабатываемых в ИСПДн;
перечень технологических процессов обработки ПДн, используемых в ИСПДн;
перечень основных технических средств и систем, входящих в состав ИСПДн;
перечень вспомогательных технических средств, входящих в состав ИСПДн;
перечень средств защиты информации, установленных в ИСПДн.

Документы по персональным данным: какие бумаги должны быть в организации, чтобы успешно пройти проверку РКН

Регламент по трансграничной передаче информации — Определяет порядок передачи данных через границу РФ.
Заявление физического лица о согласии на передачу оператором данных третьим лицам — Образец заявления, которое свидетельствует о добровольном согласии субъекта.
Согласие на передачу данных работника третьим лицам — Документ, который в случае необходимости пишется наемным сотрудником в пользу работодателя, который в данном случае является оператором.

Перечень обрабатываемых ПД.
Приказ о назначении комиссии по защите.
План мероприятий по защите.
Положение о комиссии по защите.
Перечень должностей и третьих лиц, допущенных к ОПД (Обработке персональных данных).
Согласие на ОПД.
Перечень информационных систем.
Обязательство о неразглашении.
Соглашение о соблюдении безопасности.
Перечень средств защиты информации.
Техпаспорт информационных систем.
Перечень помещений.
Приказ о назначении ответственных лиц.
Положение об ОПД.
Положение по защите.
Политика в отношении ОПД.
Инструкция ответственного лица.
Инструкция администратора безопасности.
Регламент определения уровней защищенности.
Техзадание на систему защиты.
Модель угроз безопасности.
Акт определения уровней защищенности.
Протокол определения ущерба субъекту ПД.
Уведомление об ОПД.
Инструкция пользователя информационных систем.
Регламент учета, хранения и уничтожения носителей.
Регламент допуска сотрудников и других лиц.
Регламент реагирования на запросы субъектов ПД.
Регламент резервного копирования.
Регламент проведения контрольных мероприятий.
Регламент по трансграничной передаче данных.

К общим положениям относятся сведения о наименовании и обозначении изделия, целях и видах исследований, порядке отбора, количестве, комплектности, документальном сопровождении при предъявлении изделий и т. д.

Общие положения.
Требования к условиям, обеспечению и проведению испытаний.
Требования безопасности.
Определяемые показатели и точность их измерения.
Режимы испытаний техустройства.
Методы испытаний и измерений.
Отчетность.

: Компенсация 1800р Пенсионерам После 80 Лет

Бывает… «Я гражданин России, приобрел автомобиль в Минске по генеральной доверенности, автомобиль стоит на регистрационном учете в Минске. Страховая фирма выдаст вам «доппелькарту» – страховой полис для получения таможенных номеров.

Как и где это оформить в Минске?» Для этого нужно оформить договор дарения, сделать это можно в… Техпаспорт и фамилиии нескольких владельцев авто «Добрый день! Предусмотрено ли сокращение срока лишения права управления? В какой срок должен быть оплачен штраф за допущенные нарушения ПДД? Надо ли предоставлять квитанцию об оплате штрафа в ГАИ? Лишили права управления транспортными средствами на 3 месяца. Кузов. Речь идет о номере, который может быть как схож с VIN, так и, как в случае с американскими автомобилями, которые предназначены для внутреннего рынка, отличаться от него. При восстановлении техпаспорта вам могут отказать в оказании услуг, объясняя это тем, что в наличии нет пластика, необходимого для создания самого документа. Свидетельства нового образца соответствуют международным требованиям, предусмотренным Директивой Европейского Союза от 23 декабря 2003 года. «Новый техпаспорт разработан МВД ПМР, содержит 12 степеней защиты. Если техпаспорт нового образца (пластиковый), то техпаспорт должен быть с надрезанным уголком и к нему должна прилагаться учетная карточка (на обычном листе бумаги) с печатью МРЭО, снимавшего автомобиль с учета.

Техпаспортом автомобиля называют СТС — свидетельство о регистрации транспортного средства. Этот документ является обязательным в списке бумаг, которые должны быть на руках у водителя в момент проверки документов на посту ГИБДД. Поэтому без него ездить на автомобиле нельзя.

Вы можете воспользоваться услугой восстановления СТС, заказав его дубликат в органах дорожной полиции. Кстати, интересно, что многие забывают о необходимости смены техпаспорта при изменении фамилии или постоянного места жительства. Эта процедура необходима, чтобы СТС оставалось легитимным.

Чтобы восстановить или поменять техпаспорт необходимо пройти следующую процедуру:

Оператор (персональных данных) – государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Доступ в операционную среду компьютера (информационной системы персональных данных) – получение возможности запуска на выполнение штатных команд, функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных программ.

Технический паспорт

Так же стоит знать, что срок технического паспорта не ограничен, любые заявления по поводу того, что такой документ имеет срок годности – противозаконны. Однако стоит знать, что раз в 5 лет службами должна проводиться плановая проверка, чтобы зафиксировать какие либо изменения и внеплановая, если произведены какие либо работы.

Определенного срока годности для этого документа не существует, но формально он требует замены, каждые 5 лет при проведении планового осмотра или в том случае, если помещение перестраивалось или велась перепланировка. Однако плановая проверка это всего лишь формальность и в данном случае ее проводят редко.

Аттестация ИСПДн в компании — ООО

Тех Паспорт Информационной Системы Персональных Данных

Закон вступил в силу 07.06.2006 г. и требует, чтобы каждый оператор выполнил требования статей 18.1 и 19 закона путем подготовки (защиты) и оценки защищенности (аттестации) компьютерных систем.

Под подготовкой понимается реализация системы защиты персональных данных в составе ИСПДн, которая создается на базе целого ряда подсистем защиты: антивирусная подсистема, подсистема обнаружения вторжений, подсистема межсетевого экранирования, подсистема анализа защищенности, криптографическая подсистема, подсистема защиты от несанкционированного доступа и другие подсистемы в зависимости от требуемого уровня защищенности той или иной ИСПДн.

Сначала кажется, что все просто, но, открыв статьи 18.1 и 19, можно лишь сказать, что защищать компьютерные системы нужно, но как именно — непонятно.

В законе сказано, что конкретные требования по защите ИСПДн регламентируются регуляторами в области защиты информации, а это ФСБ и ФСТЭК России. Уровень защищенности ИСПДн определяется в соответствии с постановлением Правительства № 1119, а требования к самим мерам (подсистемам) защиты установлены приказами ФСТЭК России № 17, 21 и ФСБ России № 378.

Также необходимо отметить, что при реализации технических мер защиты, нужно разработать отдельные организационно-распорядительные документы (ОРД), регламентирующие каждое из направлений защиты (антивирусная защита, обнаружение вторжений, межсетевое экранирование, анализ защищенности, криптографическая защита, защита от несанкционированного доступа и др.). Кроме того, необходимы документы, описывающие общие вопросы обработки и защиты персональных данных в ИСПДн (разрешительная система доступа, описание технологического процесса обработки персональных данных и др.).

Как аттестовать ИСПДн?

Порядок аттестации регламентирован уполномоченными регуляторами в области защиты информации — ФСБ и ФСТЭК России.

В основном методология аттестации ИСПДн базируется на нормативно-методической документации ФСТЭК России, которая состоит более чем из 30 документов.

Но основные документы, на которые стоит опираться, это приказы ФСТЭК № 17 и 21, а также приказ ФСБ № 378. Если ваша организация не является лицензиатом ФСТЭК России, то проводить работы по аттестации нельзя.

Порядок работ по методологии ФСТЭК России выглядит следующим образом:

Кто проводит аттестацию ИСПДн?

В соответствии с ФЗ-99 «О лицензировании отдельных видов деятельности» и постановлением правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» аттестацию ИСПДн имеет право проводить только лицензиат ФСТЭК России (лицензия ФСТЭК на техническую защиту конфиденциальной информации) с пунктами «а» и «г».

К лицензиатам ФСТЭК предъявляются особые требования, такие как:

Лицензиаты ФСТЭК проходят специальную процедуру лицензирования и далее периодически подтверждают свою компетентность по регламенту ФСТЭК России.

Может ли аттестацию ИСПДн провести оператор самостоятельно?

Не может. Работы по технической защите конфиденциальной информации являются лицензируемым видом деятельности, и аттестация, относящаяся к технической защите, не исключение.

Это прямо установлено постановлением правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».

Поэтому оператор не может провести аттестацию самостоятельно, без привлечения на договорной основе лицензиата ФСТЭК России.

Для привлечения лицензиата ФСТЭК к работам по аттестации ИСПДн необходимо:

Заполнить анкету по сбору исходных данных, необходимых для оценки стоимости и сроков работ по аттестации (скачать анкету можно по ссылке).
Отправить анкету для просчета стоимости работ лицензиату ФСТЭК России (например, в отдел аттестации ООО «ЦБИС»: att@ciss.su, не обязательно находящегося в вашем регионе, так как лицензиаты имеют право работать на территории всей России.
Заключить договор на аттестацию ИСПДн, сверив состав работ по договору с правильной методологией (см выше «как аттестовать ИСПДн»).

Скачать коммерческое предложение на аттестацию ИСПДн

СКАЧАТЬ PDF

Какие документы необходимы для аттестации ИСПДн?

Для того, чтобы аттестовать ИСПДн, в первую очередь необходима следующая документация по 19 статье закона и постановлению правительства № 1119:

Внимание: указанный выше перечень документов не является достаточным для аттестации ИСПДн, так как дополнительно нужно учитывать требования других подзаконных нормативно-правовых актов в области защиты персональных данных.

Лайфхак по правильной аттестации ИСПДн

Чтобы правильно аттестовать ИСПДн, необходимо учесть следующее:

Помимо организационно-распорядительной документации, которую нужно разработать для выполнения требований статьи 19 закона, также необходимо разработать дополнительные документы в соответствии с подзаконными нормативно-правовыми актами в области обеспечения безопасности персональных данных (см перечень ниже).
Для коммерческих организаций не обязательно применение именно сертифицированных в ФСБ и ФСТЭК России средств защиты информации, но обязательна их оценка соответствия требованиям безопасности информации с документальным подтверждением оценки (программа и методика оценки, протокол оценки, заключение, декларация соответствия). На практике часто бывает, что приобрести сертифицированные средства защиты проще (менее трудоемко), легитимнее и менее рисково, чем делать оценку не сертифицированных средств защиты.
Разрабатывать модель угроз по методологи ФСБ России и применять средства криптографической защиты необходимо, только если защищаемая информация (персональные данные) выходит за пределы контролируемой зоны, т.е. передается через небезопасную среду, такую как интернет.
В обязательном порядке необходимо разрабатывать технический проект на систему защиты персональных данных, в котором отражаются результаты выбора базовых мер защиты, их адаптации, уточнения и дополнения в соответствии с методологией ФСТЭК России.
Если какие-то меры защиты применить к ИСПДн невозможно, ввиду, например, отсутствия на рынке средств защиты информации для данной архитектуры ИСПДн, экономической нецелесообразности и др., то нельзя просто исключать неподходящие меры, а следует написать обоснование и выбрать компенсирующие меры. Все указанное отражается в техническом проекте на систему защиты персональных данных, чтобы доказать легитимность выбора.

Подзаконные нормативно-правовые акты по аттестации ИСПДн

Чтобы аттестовать ИСПДн полноценно, необходимо также учитывать требования следующих подзаконных нормативно-правовых актов в области обеспечения безопасности персональных данных:

Что предлагаем мы?

Мы предлагаем вам аттестацию ИСПДн по требованиям ФСТЭК России для полноценного соответствия 152-ФЗ и прохождения проверок регуляторов (Роскомнадзор, ФСБ и ФСТЭК России) с гарантиями по договору.