Технический Паспорт Информационной Системы Персональных Данных

Технический Паспорт Информационной Системы Персональных Данных В Школе 2019

Здравствуйте, в этой статье мы постараемся ответить на вопрос «Технический Паспорт Информационной Системы Персональных Данных В Школе 2019». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

Этап, на котором устанавливается уровень защищённости ПДн, может быть совмещен с этапом проведения предпроектного обследования. Однако мы рекомендуем классификацию провести после анализа и изучения материалов 1 этапа.

В соответствии с Руководящим документом Гостехкомиссии России «Защита от несанкционированного доступа к информации.

№ 9. Аттестация информационных систем персональных данных

Модель угроз (совокупность предположений о возможных атаках) разрабатывается на основе «Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденной ФСТЭК России 15 февраля 2008 года.

Аналитики компании изучили действующий подход к обеспечению ИБ корпоративного сектора и его перспективы. Оценены основные критерии при выборе решений по информационной безопасности и их поставщиков, а так же факторы, влияющие на выделение ИБ-бюджета.

Пользователь в своей работе руководствуется настоящей инструкцией и регламентирующими документами учреждения.

Защита информации – теория и практика

Хоть и кажется, что тут все сложно, на самом деле нужно просто заранее при подготовке к построению системы защиты продумать возможные варианты типовых сегментов. Но на самом деле, если все учесть (а требований не так уже и много), то и с распространением аттестата проблем не будет.

Необходимо отметить, что нормативные документы ФСТЭК на настоящее время не охватывают требования ко всем средствам технической защиты информации в области ПД.

Наиболее остро вопрос защиты персональных данных стоит в сферах здравоохранения, образования, финансов, и в государственных органах.

Экран монитора в помещении располагать во время работы так, чтобы исключалась возможность несанкционированного ознакомления с отображаемой на них информацией посторонними лицами, шторы на оконных проемах должны быть завешаны (жалюзи закрыты).

Мифы вокруг аттестации по принципу типовых сегментов

Сведения о системах защиты информации (средства, методы и способы защиты информации, реквизиты доступа, матрицы доступа и процедуры доступа к информационным системам и ресурсам). Сведения об оценке эффективности защиты информации.

Вновь создаваемые и вводимые в эксплуатацию информационные системы персональных данных должны соответствовать требованиями Закона «О персональных данных».

Настоящий документ представляет собой Технический паспорт ИСПДн и включает в себя: общие сведения об ИСПДн, перечень обрабатываемых ПДн, перечень технологических процессов обработки ПДн, состав оборудования, ПО и СЗИ в составе ИСПДн, структурную схему и схему размещения.

Выявляется топология локальной сети, ее архитектура и технологические связи внутренней сети, а также основные информационные потоки.

6. Готовы ли Вы рекомендовать нашу школу?

Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководства по защите информации и распоряжений, регламентирующих порядок действий по защите информации.

Основной целью обработки персональных данных обучающихся является обеспечение наиболее полного исполнения образовательным учреждением своих обязанностей, обязательств и компетенций, определенных Федеральным законом «Об образовании».

Отдельные разделы посвящены вопросам защиты информации в органах государственной власти и государственных информационных системах (ГИС), а также защите информации в информационных системах персональных данных (ИСПДН).

Лист согласия заполняется родителем (законным представителем) ребенка и прикрепляется к личному делу обучающегося.

Отдельные разделы посвящены вопросам защиты информации в органах государственной власти и государственных информационных системах (ГИС), а также защите информации в информационных системах персональных данных (ИСПДН).

Следовательно, ответственными сотрудниками этих организаций должно обеспечиваться соблюдение вышеуказанного закона.

Сведения о доступе к информационным системам и телекомуникационным сетям

Организации,имеющие право на осуществление медицинских осмотров и психиатрического освидетельствования в г.

Перенос файлов из резервной копии может выполняться пользователем только после восстановления работоспособности АРМ.

Обращаем внимание, что сервис «Калькулятор» носит информационно-справочный характер и не отображает ряда дополнительных параметров, влияющих на цену и не является офертой.

В сегментах информационной системы, на которые распространяется аттестат соответствия, оператором обеспечивается соблюдение эксплуатационной документации на систему защиты информации информационной системы и организационно-распорядительных документов по защите информации.

Аттестована только серверная часть, но хочется распространить аттестат на автоматизированные рабочие места (АРМ).

Можно ли так делать?
Порядок сертификации устанавливается уполномоченными органами, которыми в случае защиты ПД являются ФСТЭК и ФСБ России. Сертификации подлежат системы, продукты и услуги защиты информации от НСД.

В рамках систем обязательной сертификации организации должны сертифицировать средства и продукты.

В зависимости от величины организации целесообразно назначить либо одного человека, ответственного за обеспечение информационной безопасности, либо создать специальную комиссию по защите персональных данных.

В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных.

В соответствии с приведённым регламентом работа по созданию системы защиты персональных данных или приведению уже существующей системы в соответствие с требованиями действующего законодательства предлагаем проводить в три этапа:

1. Анализ защищаемых активов (технические средства обработки и обрабатываемые персональные данные) и оценка угроз безопасности персональных данных (ПДн).
2. Проектирование и создание системы защиты персональных данных (СЗПДн).
3. Оценка соответствия ИСПДн требованиям безопасности информации.

До февраля 2010 года проведение аттестации ИСПД было обязательным этапом построения системы защиты. После введения Приказа ФСТЭК №58 ситуация изменилась, так как документ отменил обязательность аттестации, предоставив операторам самим решать, проводить ее или нет.

Председателем комиссии целесообразно назначить кого – либо из первых заместителей руководителя организации, начальника службы безопасности организации или руководителя кадровой службы организации.

Документ этот ограниченного доступа и получить его можно только в территориальном управлении ФСТЭК России.

Субъект персональных данных самостоятельно решает вопрос их передачи кому-либо, оформляя свое намерение документально.

Все персональные данные о работнике администрация школы может получить только от него самого. Работник принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.

Согласно статье 86 Трудового кодекса РФ, работники и их представители должны быть ознакомлены под роспись с теми документами работодателя, которые устанавливают порядок обработки персональных данных работников, а также их права и обязанности в этой области.

Политика определяет цели, принципы обработки и реализуемые требования к защите персональных данных в Муниципального казенного общеобразовательного учреждения «Центр образования Смородинский».

Хорошо, мы учли этот косяк и добавили в модель угроз «на вырост», угрозы для мобильных устройств. Теперь можно распространить аттестат на ноутбук большого босса?

Организация защиты персональных данных должна производиться в несколько этапов:

• инвентаризация информационных ресурсов;
• ограничение доступа работников к персональным данным;
• документальное регламентирование работы с персональными данными;
• формирование модели угроз безопасности персональных данных;
• классификация информационных систем персональных данных (ИСПДн) образовательных организаций;
• составление и отправка в уполномоченный орган уведомления об обработке персональных данных;
• приведение системы защиты персональных данных в соответствие с требованиями регуляторов;
• создание подсистемы информационной безопасности ИСПДн и ее аттестация (сертификация) – для ИСПДн классов К1, К2;
• организация эксплуатации и контроля безопасности ИСПДн.

Данная статья отредактирована с учетом изменений законодательства и нормативных актов ФСТЭК России, вступающих в силу с 1 сентября 2013 г.

Аттестация ИСПДн в компании — ООО

Закон вступил в силу 07.06.2006 г. и требует, чтобы каждый оператор выполнил требования статей 18.1 и 19 закона путем подготовки (защиты) и оценки защищенности (аттестации) компьютерных систем.

Под подготовкой понимается реализация системы защиты персональных данных в составе ИСПДн, которая создается на базе целого ряда подсистем защиты: антивирусная подсистема, подсистема обнаружения вторжений, подсистема межсетевого экранирования, подсистема анализа защищенности, криптографическая подсистема, подсистема защиты от несанкционированного доступа и другие подсистемы в зависимости от требуемого уровня защищенности той или иной ИСПДн.

Сначала кажется, что все просто, но, открыв статьи 18.1 и 19, можно лишь сказать, что защищать компьютерные системы нужно, но как именно — непонятно.

В законе сказано, что конкретные требования по защите ИСПДн регламентируются регуляторами в области защиты информации, а это ФСБ и ФСТЭК России. Уровень защищенности ИСПДн определяется в соответствии с постановлением Правительства № 1119, а требования к самим мерам (подсистемам) защиты установлены приказами ФСТЭК России № 17, 21 и ФСБ России № 378.

Также необходимо отметить, что при реализации технических мер защиты, нужно разработать отдельные организационно-распорядительные документы (ОРД), регламентирующие каждое из направлений защиты (антивирусная защита, обнаружение вторжений, межсетевое экранирование, анализ защищенности, криптографическая защита, защита от несанкционированного доступа и др.). Кроме того, необходимы документы, описывающие общие вопросы обработки и защиты персональных данных в ИСПДн (разрешительная система доступа, описание технологического процесса обработки персональных данных и др.).

Как аттестовать ИСПДн?

Порядок аттестации регламентирован уполномоченными регуляторами в области защиты информации — ФСБ и ФСТЭК России.

В основном методология аттестации ИСПДн базируется на нормативно-методической документации ФСТЭК России, которая состоит более чем из 30 документов.

Но основные документы, на которые стоит опираться, это приказы ФСТЭК № 17 и 21, а также приказ ФСБ № 378. Если ваша организация не является лицензиатом ФСТЭК России, то проводить работы по аттестации нельзя.

Порядок работ по методологии ФСТЭК России выглядит следующим образом:

Кто проводит аттестацию ИСПДн?

В соответствии с ФЗ-99 «О лицензировании отдельных видов деятельности» и постановлением правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» аттестацию ИСПДн имеет право проводить только лицензиат ФСТЭК России (лицензия ФСТЭК на техническую защиту конфиденциальной информации) с пунктами «а» и «г».

К лицензиатам ФСТЭК предъявляются особые требования, такие как:

Лицензиаты ФСТЭК проходят специальную процедуру лицензирования и далее периодически подтверждают свою компетентность по регламенту ФСТЭК России.

Может ли аттестацию ИСПДн провести оператор самостоятельно?

Не может. Работы по технической защите конфиденциальной информации являются лицензируемым видом деятельности, и аттестация, относящаяся к технической защите, не исключение.

Это прямо установлено постановлением правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».

Поэтому оператор не может провести аттестацию самостоятельно, без привлечения на договорной основе лицензиата ФСТЭК России.

Для привлечения лицензиата ФСТЭК к работам по аттестации ИСПДн необходимо:

1. Заполнить анкету по сбору исходных данных, необходимых для оценки стоимости и сроков работ по аттестации (скачать анкету можно по ссылке).
2. Отправить анкету для просчета стоимости работ лицензиату ФСТЭК России (например, в отдел аттестации ООО «ЦБИС»: att@ciss.su, не обязательно находящегося в вашем регионе, так как лицензиаты имеют право работать на территории всей России.
3. Заключить договор на аттестацию ИСПДн, сверив состав работ по договору с правильной методологией (см выше «как аттестовать ИСПДн»).

Скачать коммерческое предложение на аттестацию ИСПДн

СКАЧАТЬ PDF

Какие документы необходимы для аттестации ИСПДн?

Для того, чтобы аттестовать ИСПДн, в первую очередь необходима следующая документация по 19 статье закона и постановлению правительства № 1119:

Внимание: указанный выше перечень документов не является достаточным для аттестации ИСПДн, так как дополнительно нужно учитывать требования других подзаконных нормативно-правовых актов в области защиты персональных данных.

Аттестация ИСПДн: камни преткновения

Со следующими проблемами сталкиваются большинство операторов при реализации технических мер защиты персональных данных (при аттестации ИСПДн): 

1. Не знают, какие средства защиты информации нужно применять и как трактовать требование закона о необходимости применения средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия. В итоге применяют несертифицированные средства защиты, надеясь на авось.
2. Не знают, что работы по аттестации имеют право проводить только специальные организации — лицензиаты ФСТЭК России с определенными пунктами в лицензии (пункты «а» и «г»). И проводят работы по аттестации самостоятельно, тем самым нарушая закон.
3. Не знают, какие конкретно организационно-распорядительные документы необходимо разработать для аттестации ИСПДн, в том числе, ввиду незнания подзаконных нормативно-правовых актов в области обеспечения безопасности персональных данных.
4. Не знают методологию выполнения работ, так как не являются лицензиатами ФСТЭК России и не имеют доступ к нормативно-методической базе ФСТЭК России. В связи с этим не представляют, какие отчетные документы обязательно должны быть разработаны для аттестации ИСПДн и по результатам ее выполнения.
5. Думают, что применение штатных функций защиты операционной системы и лицензионного антивируса достаточно для реализации мер защиты персональных данных, даже не подозревая, что для информационной системы самого низкого уровня (класса) защищенности требуется реализовать более 7 (семи) подсистем безопасности: антивирусная подсистема, подсистема межсетевого экранирования, подсистема анализа защищённости, криптографическая подсистема, подсистема защиты от несанкционированного доступа, подсистема защиты среды виртуализации и другие подсистемы в зависимости от модели угроз и нарушителя. 

Лайфхак по правильной аттестации ИСПДн

Чтобы правильно аттестовать ИСПДн, необходимо учесть следующее:

1. Помимо организационно-распорядительной документации, которую нужно разработать для выполнения требований статьи 19 закона, также необходимо разработать дополнительные документы в соответствии с подзаконными нормативно-правовыми актами в области обеспечения безопасности персональных данных (см перечень ниже).
2. Для коммерческих организаций не обязательно применение именно сертифицированных в ФСБ и ФСТЭК России средств защиты информации, но обязательна их оценка соответствия требованиям безопасности информации с документальным подтверждением оценки (программа и методика оценки, протокол оценки, заключение, декларация соответствия). На практике часто бывает, что приобрести сертифицированные средства защиты проще (менее трудоемко), легитимнее и менее рисково, чем делать оценку не сертифицированных средств защиты.
3. Разрабатывать модель угроз по методологи ФСБ России и применять средства криптографической защиты необходимо, только если защищаемая информация (персональные данные) выходит за пределы контролируемой зоны, т.е. передается через небезопасную среду, такую как интернет.
4. В обязательном порядке необходимо разрабатывать технический проект на систему защиты персональных данных, в котором отражаются результаты выбора базовых мер защиты, их адаптации, уточнения и дополнения в соответствии с методологией ФСТЭК России.
5. Если какие-то меры защиты применить к ИСПДн невозможно, ввиду, например, отсутствия на рынке средств защиты информации для данной архитектуры ИСПДн, экономической нецелесообразности и др., то нельзя просто исключать неподходящие меры, а следует написать обоснование и выбрать компенсирующие меры. Все указанное отражается в техническом проекте на систему защиты персональных данных, чтобы доказать легитимность выбора.

Подзаконные нормативно-правовые акты по аттестации ИСПДн

Чтобы аттестовать ИСПДн полноценно, необходимо также учитывать требования следующих подзаконных нормативно-правовых актов в области обеспечения безопасности персональных данных:

Аттестация ИСПДн: цена вопроса

Трудоемкость аттестации ИСПДн достаточно велика ввиду многоэтапности и необходимости документирования каждого этапа работы. Также стоит сказать, что методология аттестации одинакова для ИСПДн любого масштаба, даже для ИСПДн, состоящей из одного компьютера.

Стоимость аттестации зависит от количества объектов вычислительной техники, входящих в состав ИСПДн, технологий обработки и уровня (класса) защищенности, который требуется обеспечить.
Само собой, чем ИСПДн масштабнее, тем аттестация будет дороже. Итоговая стоимость включает стоимость услуг и средств защиты, необходимых для реализации системы защиты.

Для небольшой ИСПДн, состоящей из 1 сервера и примерно 10 рабочих станций, стоимость составит около 300 тысяч за услуги под ключ и около 300 тысяч за средства защиты. Для более крупных ИСПДн, состоящих из 10 серверов и примерно 100 рабочих станций, стоимость составит около 1,5 млн. за услуги под ключ и около 1,5 — 2 млн. за средства защиты.

Аттестация ИСПДн, как правило, выделяется в отдельный проект подготовки по требованиям 152-ФЗ с отдельным бюджетом. Набор необходимых средств защиты определяется по результатам предпроектного обследования и разработки самого технического проекта на систему защиты персональных данных. Работы по аттестации проводятся на договорной основе между заказчиком работ и лицензиатом ФСТЭК России.

Что предлагаем мы?

Мы предлагаем вам аттестацию ИСПДн по требованиям ФСТЭК России для полноценного соответствия 152-ФЗ и прохождения проверок регуляторов (Роскомнадзор, ФСБ и ФСТЭК России) с гарантиями по договору.

Рекомендуемый перечень организационно-распорядительной документации ИСПДн

Лицензирование деятельности по защите персональных данных..

Уничтожение производится комиссией. Факт уничтожения ПДн подтверждается документально актом об уничтожении носителей, подписанным членами комиссии.

Если говорить просто, информационная система ИСПДн используется для хранения и обработки персональных данных.

В законодательстве особое внимание уделено безопасности ПДн при их передаче за пределы Российской Федерации.

Информационные системы персональных данных (ИСПДн) используют в своей работе многие предприятия и организации. Давайте разберемся, что это такое, и какие нюансы нужно учитывать тем, кто работает с ИСПДн.

В законодательстве особое внимание уделено безопасности ПДн при их передаче за пределы Российской Федерации.

Школы обычно не обрабатывают в ИСПДн данные о состоянии здоровья или другие специальные данные, также преимущественно отсутствует биометрическая информация, а численность учащихся у одного оператора не превышает 100000 человек. Таким образом, ИСПДн школ чаще всего классифицируются по 3-му либо 4-му уровню защищенности.

Что требует закон?

Закон вступил в силу 07.06.2006 г. и требует, чтобы каждый оператор выполнил требования статей 18.1 и 19 закона путем подготовки (защиты) и оценки защищенности (аттестации) компьютерных систем.

Под подготовкой понимается реализация системы защиты персональных данных в составе ИСПДн, которая создается на базе целого ряда подсистем защиты: антивирусная подсистема, подсистема обнаружения вторжений, подсистема межсетевого экранирования, подсистема анализа защищенности, криптографическая подсистема, подсистема защиты от несанкционированного доступа и другие подсистемы в зависимости от требуемого уровня защищенности той или иной ИСПДн.

Сначала кажется, что все просто, но, открыв статьи 18.1 и 19, можно лишь сказать, что защищать компьютерные системы нужно, но как именно — непонятно.

Особенности частных

Для большинства крупных частных предприятий и компаний, которые работают в России, неотъемлемыми стали программы бухучета, занимающиеся обработкой данных о:

• зарплате сотрудников;
• пенсионных, страховых налоговых отчислений;
• социальных пособиях;
• добровольных взносах (к примеру, негосударственное страхование пенсионеров);
• принудительных платежах (например, алиментах).

Практически у каждой серьезной компании имеется автоматизированная система учета кадров: самостоятельная или являющаяся составляющей ERP-системы.

В зависимости от характера деятельности в разных фирмах и на производстве появляются специфические системы, которые обрабатывают ПДн:

1. автоматизированные банковские системы;
2. биллинговые системы или абонентские базы;
3. базы страховых компаний;
4. системы, хранящие данные коллекторских агентств;
5. бюро кредитных историй с информацией о гражданах;
6. амбулаторные электронные карты в медицинских организациях и пр.

Все перечисленные системы обслуживают бизнес-процессы.

41. Технический паспорт информационной системы персональных данных

__________________________________________________________ (наименование органа исполнительной власти)УТВЕРЖДАЮ Руководитель органа исполнительной властигорода Москвы________________________«__» ____________ 2010 г.Типовая форматехнического паспорта информационной системыперсональных данныхМосква 2010

УТВЕРЖДАЮ

Руководитель органа исполнительной власти ________________(Ф.И.О.)

«___»___________ _____г.

ТЕХНИЧЕСКИЙ ПАСПОРТ

Информационной системы персональных данных

«_________________________________________»

Составил

______________________________________________________

(Подпись специалиста подразделения по защите информации)

Технический паспорт на оборудование: образец оформления и назначение документа

Паспорт оформляется в соответствии с совокупностью сроков испытаний и исследований оборудования. Если устройство изготавливается на заказ, то заказчик вправе сам провести необходимые для подтверждения его качества проверки. В случае несоответствия их результатов с данными, заявленными производителем, заказчик предъявляет свои претензии в адрес производителя.

В техническом паспорте оборудования предусмотрено место для внесения пометок во время его эксплуатации. Перечисленные сведения помогают владельцу устройства правильно и безопасно использовать его, сохраняя функциональность аппарата на протяжении полного периода эксплуатации.

Технический паспорт на систему

Снова предположим, что Заказчик решил проверить работу всех инженерных систем, по каким-либо причинам (смена собственника, эксплуатирующей организации, в конце концов Заказчик потерял техническую документацию).

Снова необходимо проводить пусконаладку систем вентиляции и кондиционирования? Да.

И вообще, поверку систем вентиляции и кондиционирования, в соответствии с правилами технической эксплуатации тепловых энергоустановок, необходимо проводить один раз в пять лет.

И вот тут наладку систем вентиляции и кондиционирования проводят как раз по второму этапу. То бишь, второй этап проведения пусконаладочных работ проводится на существующих установках.

И называется этот этап так: испытание и наладка систем отопления, вентиляции и кондиционирования на санитарно-гигиенические и (или) технологические требования.

Такая наладка систем намного шире и объёмнее, чем на первом этапе.

Поддержка внедрения

ГлобалТраст обеспечивает полную поддержку внедрения системы управления персональными данными (СУПДн) в соответствии с требованиями британского стандарта BS 10012, а также поддержку внедрения системы защиты персональных данных (СЗПДн) в соответствии с требованиями руководящих документов ФСТЭК и ФСБ России, предоставляя услуги по обучению, консалтингу, аудиту, проектированию, внедрению и аутсорсингу.

Обрабатываемая информация

Перечень персональной информации каждого субъекта включает в себя основные сведения о нем. К специальным данным относят:

• национальную принадлежность;
• расовые признаки;
• политические взгляды;
• вероисповедание;
• отношение к алкогольным, наркотическим, психотропным веществам;
• семейное положение;
• состояние здоровья и интимной жизни.

СЗПДн

Средства защиты персональной информации (СЗПДн) являются аппаратно-программными ресурсами, к ним относят:

• средства управления пользовательским доступом;
• средства обработки вводимой информации, регистрационные данные пользователей;
• средства, которые обеспечивают сохранность данных;
• защитное ПО – антивирусы, антишпионы, фаерволы и т. д.;
• сетевое окружение;
• криптографические ключи защиты ПД.

Информационный бюллетень местного самоуправления Издается асдг по соглашению с окмо с февраля 2008 г

Информационный бюллетень … акты Российской Федерации», разработка подзаконных актов … единую автоматизированную информационнуюсистему торгов для … 152-ФЗ «О персональныхданных» рассказала Г.Г. Демидова … и на обрабатывающих производствах, особенно … такой классификации

Технический Паспорт Информационной Системы Персональных Данных

08 мая 2020 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2020 г. № 548).

Вопрос такой, для каждой ИСПДн необходимо рисовать технический паспорт, а в паспорте необходимо перечислить ОТСС и ВТСС (согласно СТР-К), а фактически ВТСС нужно если есть защита от ПЭМИН, есть ли смысл перечисления ВТСС в техпаспорте на ИСПДн 3 класса (по этому классу требований к защите от ПЭМИН нет).

Настоящий документ описывает технические характеристики каждой информационной системы персональных данных: схему сети, характеристики компьютеров, серверов и сетевого оборудования.

Также отображается информация о программном обеспечении, которое функционирует внутри информационной системы.

На основании данного документа будет строиться модель угроз персональных данных и проектироваться система защиты персональных данных (СЗПДн).

— абзац 2 п.9, п.10 Приказа ФТЭК №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

Технический паспорт ИСПДн разрабатывается в соответствии со специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К). Прямых требований к составлению технического паспорта для ИСПДн нет, но они косвенно вытекают из других требований.

• наименование ИСПДн;
• адрес местонахождения ИСПДн;
• данные об утвержденной частной модели угроз безопасности ПДн в ИСПДн;
• перечень персональных данных, обрабатываемых в ИСПДн;
• перечень технологических процессов обработки ПДн, используемых в ИСПДн;
• перечень основных технических средств и систем, входящих в состав ИСПДн;
• перечень вспомогательных технических средств, входящих в состав ИСПДн;
• перечень средств защиты информации, установленных в ИСПДн.

2 УТВЕРЖДАЮ Руководитель (Ф.И.О.) » » г. ТЕХНИЧЕСКИЙ ПАСПОРТ Информационной системы персональных данных Составил (Подпись специалиста подразделения по защите информации) Ознакомлен (Подпись лица, ответственного за помещение) (Год)

3 . Общие сведения об ИСПДн. Наименование ИСПДн:.2. Физическое расположение ИСПДн. 3. Частная модель угроз безопасности ПДн в ИСПДн утверждена..200 г..4. Класс ИСПДн: K3 (акт классификации ИСПДн от..200 г).5. Перечень ПДн, обрабатываемых в ИСПДн персональных данных, обрабатываемых в ИСПДн Наименование персональных данных.

Персональные данные работников. Первичные учетные данные работников.2 Сведения о занимаемой должности.3 Финансовое состояние работника.4 Сведения о реквизитах работника.

5 Дополнительные сведения о работнике Категория ПДн Таблица Цель обработки ПДн в рамках ИСПДн Учет работников, осуществление процессов согласно трудовому законодательству РФ Поддержание иерархичности отношений между работниками, осуществление процессов согласно трудовому законодательству РФ Осуществление налоговых отчислений, осуществление процессов согласно трудовому законодательству РФ Осуществление процессов согласно трудовому законодательству РФ Выплата льгот, осуществление процессов согласно трудовому законодательству РФ 2. Технологические процессы обработки ПДн, используемые в ИСПДн. технологических процессов обработки ПДн, используемых в ИСПДн Таблица 2 Наименование технологического процесса. Прием сотрудника на работу 2. Увольнение работника 3. Начисление работнику зарплаты 4. Начисление работнику премии

• шифровальные (криптографические) средства;
• средства предотвращения несанкционированного доступа;
• средства предотвращения утечки информации по техническим каналам;
• средства предотвращения программно-технических воздействий на технические средства обработки персональных данных.

Информационные технологии — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов (Федеральный закон «Об информации, информационных технологиях и защите информации»).

Документы, регламентирующие обработку персональных данных

Приведем примерный список документов, которые разрабатываются оператором персональных данных в соответствии с требованиями законодательства, а также юридическое обоснование разработки перечисленных документов.

п.13.Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.

структурная (топологическая) схема с указанием информационных связей между устройствами; схема размещения и расположения ОТСС на объекте с привязкой к границам КЗ, схема прокладки линий передачи конфиденциальной информации с привязкой к границам КЗ объекта.

1.

Настоящая инструкция разработана в соответствии с требованиями подпункта «ж» пункта 12 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781, и определяет порядок учета лиц, допущенных к работе с персональными данными в информационных системах.

Мечтают ли технические паспорта об электрочайниках

Проблема в том, что перечень ВТСС присутствует в форме техпаспорта, приведенного в приложении «В» СТР-К и, опять же, явно о том, что его можно в некоторых случаях не заполнять — нигде не сказано.

Как следствие, при реализации различных проектов приходилось по много раз объяснять, зачем мы переписываем чайники.

Это иногда напрягало даже больше, чем трудоемкость и бессмысленность самого процесса =)

По этой причине мы обратились в Управление ФСТЭК по ДФО с просьбой разъяснить этот момент.

Мы написали, что необходимость внесения ВТСС в технический паспорт явно связана с угрозами утечки информации по каналам ПЭМИН и задали вопрос: можно ли не вносить ВТСС в техпаспорт, если такие угрозы признаны неактуальными (а это на моем личном опыте — 99% случаев для ГИС и ИСПДн).

И ФСТЭК нас снова порадовал — нам ясно и однозначно ответили, что если такие угрозы неактуальны, то ВТСС можно не вносить в техпаспорт. Да и разделы со схемами электропроводки и заземления тоже можно убрать.

Организационно-распорядительные документы для защиты персональных данных

Документ необходим для определения лиц, которые будут ответственны за процессы обработки и защиты персональных данных. Выполняет требования следующих нормативных документов: — п.13. ПП № 781 — п.3.21 СТР-К — п.5.3.5 СТР-К — п.6.3.3 СТР-К — п.6.3.1 СТР-К

— п.6.3.11 СТР-К

Документ необходим для разработки мероприятий, которые должны быть проведены с целью приведения деятельности компании в соответствие с требованиями законодательства в области ПДн. Выполняет требования следующих нормативных документов: — п.6. ПП № 781 — п.2. Приказ № 55/86/20

— п.6.3.8 СТР-К

Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (выписка)

• совместимость указанных средств со штатным программным обеспечением ИСПДн;
• степень снижения производительности функционирования ИСПДн по основному назначению;
• наличие средств централизованного управления функционированием средств антивирусной защиты с рабочего места администратора безопасности информации в ИСПДн;
• возможность оперативного оповещения администратора безопасности информации в ИСПДн обо всех событиях и фактах проявления программно-математических воздействий (ПМВ);
• наличие подробной документации по эксплуатации средства антивирусной защиты;
• возможность осуществления периодического тестирования или самотестирования средства антивирусной защиты;
• возможность наращивания состава средств защиты от ПМВ новыми дополнительными средствами без существенных ограничений работоспособности ИСПДн и «конфликта» с другими типами средств защиты.

Опосредованный ущерб связан с причинением вреда обществу и (или) государству вследствие нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых и иных государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с ПДн.

Технический паспорт

Для электропитания технических средств ИСПДн применена схема TN-C-Sс глухозаземленной нейтралью на трансформаторной подстанции (ТП).

ТП расположена за пределами контролируемой зоны и имеет подключения сторонних потребителей со стороны низшего напряжения. Питающие кабели от ТП к ИСПДн проходят за пределами контролируемой зоны.

Вводно-распределительное устройство расположено за пределами контролируемой зоны. Этажные щитки электропитания расположены в пределах КЗ.

:  Водоотведение Как Рассчитать 2020

Для заземления технических средств ИСПДн используются проводники защитного заземления (PE) трехпроводных линий электропитания. Выделенный контур заземления отсутствует. Заземляющее устройство повторного заземления здания расположено за пределами КЗ.

Первый этап является очень важным, так как он во многом определяет силы и средства, привлекаемые для реализации этапа проектирования и создания СЗПДн, и необходимость проведения оценки соответствия ИСПДн требованиям безопасности информации.

1. Перечень ПДн, обрабатываемых в ИСПДн, и степень их конфиденциальности;
2. Технический паспорт, в котором указано:
   • расположение ИСПДн относительно границ контролируемой зоны;
   • конфигурация и топология ИСПДн в целом и ее отдель­ных компонент;
   • физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назна­чения;
   • технические средства и системы, предполагаемые к ис­пользованию в разрабатываемой ИСПДн, условия их расположения, обще­системные и прикладные программные средства, имеющиеся и предлагаемые к разработке;
   • режимы обработки ПДн в ИСПДн в целом и в отдельных компонентах.
3. Степень участия персонала в обработке ПДн, характер их взаимодействия между собой (матрица доступа).

Прежде всего необходимо выделить информационные системы персональных данных (ИСПДн).
Информационная система персональных данных – это совокупность программных (например «1С-Предприятие») и технических средств (компьютеры, принтеры, сканеры, коммутационное оборудование и т.д.) на которых обрабатываются персональные данные.

Обработка – это добавление, изменение, удаление, хранение, анализ, распространение персональных данных. Каждая ИСПДн должна иметь свою цель обработки. Именно цель обработки является основным критерием при выделении ИСПДн. Например, во многих медицинских учреждениях можно выделить 2 ИСПДн – «Сотрудники» и «Пациенты».

Они имеют разные цели обработки персональных данных.

У всех ИСПДн должен быть назначен администратор безопасности. Администратор безопасности – сотрудник в должностные обязанности которого входит обеспечение защиты персональных данных в информационной системе.

Он должен следить за работой средств защиты информации, своевременно проводить антивирусные проверки, консультировать сотрудников по вопросам безопасности персональных данных и т.п. Администраторов безопасности может быть несколько (например по одному на каждую ИСПДн).

Администратор безопасности назначается приказом руководителя («Приказ о назначении администратора безопасности информационных систем персональных данных»).

Чтобы определить требуемые меры по защите персональных данных необходимо определить уровень защищенности ИСПДн.О том как это сделать Вы можете прочитать в разделе Определение уровня защищенности ИСПДн.

Вам также может понравиться

Техпаспорт Наименование Информационной Системы Персональных Данных Пример

Если в ИСПДн все пользователи (администраторы, операторы, раз­работчики) обладают одинаковым набором прав доступа или осуществля­ют вход под единой учетной записью и вход под другими учетными запи­сями не осуществляется, то эта ИСПДн с равными правами доступа (пол­номочиями) ко всей информации ИСПДн разных пользователей, в против­ном случае с разными правами доступа (полномочиями) ко всей информа­ции ИСПДн разных пользователей.

1. Объем ПДн, обрабатываемых в ИСПДн (Хнцд). Должен быть определен объем записей ПДн в ИСПДн, может принимать значение:

• 1 — в информационной системе одновременно обрабатываются ПДн более чем 100 000 субъектов ПДн или ПДн субъектов ПДн в пределах субъекта Российской Федерации или Российской Федерации в целом;
• 2 — в информационной системе одновременно обрабатываются ПДн от 1000 до 100 000 субъектов ПДн или ПДн субъектов ПДн, рабо­тающих в отрасли экономики Российской Федерации, в органе государст­венной власти, проживающих в пределах муниципального образования;
• 3 — в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов ПДн или ПДн субъектов ПДн в пределах конкретной организации.

1. Количество рабочих станций, входящих в состав ИСПДн. Должен быть определен перечень рабочих станций, задействованных в ка­ком-либо качестве в обработке ПДн в ИСПДн и (или) имеющих незащи­щенное физическое подключение к ИСПДн.
2. Структура ИСПДн. ИСПДн является:

• АРМ, если вся обработка ПДн производится в рамках одного рабочего места;
• локальной информационной системой, если вся обработка ПДн производится в рамках одной ЛВС;
• распределенной информационной системой, если обработка ПДн производится в рамках комплекса АРМ и (или) локальных информа­ционных систем, объединенных в единую информационную систему сред­ствами связи с использованием технологии удаленного доступа, т.е. эле­менты ИСПДн разнесены территориально, например, в ИСПДн включена сеть филиала, и связь между территориально удаленными элементами осуществляется по каналам сетей общего пользования и (или) междуна­родного обмена.

1. Количество пользователей, допущенных к работе в ИСПДн. Дол­жен быть определен перечень пользователей, допущенных к ПДн в ИСПДн.
2. Режим обработки ПДн в ИСПДн. ИСПДн является однопользо­вательской, если сотрудник обрабатывающий ПДн совмещает в себе функции администратора (осуществляет настройка и поддержку техниче­ских и программных средств) и оператора. Во всех других случаях ИСПДн является многопользовательской.

Технический паспорт информационных систем

• наименование ИСПДн;
• адрес местонахождения ИСПДн;
• данные об утвержденной частной модели угроз безопасности ПДн в ИСПДн;
• перечень персональных данных, обрабатываемых в ИСПДн;
• перечень технологических процессов обработки ПДн, используемых в ИСПДн;
• перечень основных технических средств и систем, входящих в состав ИСПДн;
• перечень вспомогательных технических средств, входящих в состав ИСПДн;
• перечень средств защиты информации, установленных в ИСПДн.

Технический паспорт ИСПДн разрабатывается в соответствии со специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К). Прямых требований к составлению технического паспорта для ИСПДн нет, но они косвенно вытекают из других требований.

Типовая форма технического паспорта информационной системы персональных данных

6 Тип ОТСС 5 Сервер базы данных С 2) 6 Принтер 22) Программные и технические характеристики Процессор: Intel Core 2 Quad Q ГГц Память: 2048 Мб Жесткий диск: 2×250 Гб Asus Striker II Extreme : 52Mb GeForce 9600GT Сетевая : Интегрированная + D-Link DFE- 520TX Microsoft Windows Server 2003 R2 С: Бухгалтерия локальный 3.2. Состав вспомогательных технических средств и систем (ВТСС): Таблица 4 вспомогательных технических средств, входящих в состав ИСПДн (средств вычислительной техники, не участвующих в обработке персональных данных) Наименование и тип ВТСС Стационарный телефонный 202, 203, аппарат 2 Факс 203 Примечание

Рекомендуем прочесть:  Пенсия Детяминвалидам В 2020 Году

3 . Общие сведения об ИСПДн. Наименование ИСПДн:.2. Физическое расположение ИСПДн. 3. Частная модель угроз безопасности ПДн в ИСПДн утверждена..200 г..4. Класс ИСПДн: K3 (акт классификации ИСПДн от..200 г).5.

Перечень ПДн, обрабатываемых в ИСПДн персональных данных, обрабатываемых в ИСПДн Наименование персональных данных. Персональные данные работников. Первичные учетные данные работников.2 Сведения о занимаемой должности.3 Финансовое состояние работника.4 Сведения о реквизитах работника.

5 Дополнительные сведения о работнике Категория ПДн Таблица Цель обработки ПДн в рамках ИСПДн Учет работников, осуществление процессов согласно трудовому законодательству РФ Поддержание иерархичности отношений между работниками, осуществление процессов согласно трудовому законодательству РФ Осуществление налоговых отчислений, осуществление процессов согласно трудовому законодательству РФ Осуществление процессов согласно трудовому законодательству РФ Выплата льгот, осуществление процессов согласно трудовому законодательству РФ 2. Технологические процессы обработки ПДн, используемые в ИСПДн. технологических процессов обработки ПДн, используемых в ИСПДн Таблица 2 Наименование технологического процесса. Прием сотрудника на работу 2. Увольнение работника 3. Начисление работнику зарплаты 4. Начисление работнику премии

1. ПДн обрабатываемые в ИСПДн. Должен быть определен пере­чень ПДн, обработка которых ведется в ИСПДн.
2. Категория ПДн, обрабатываемых в ИСПДн (Х п д). Исходя из особенностей ПДн определяются следующие категории обрабатываемых в информационной системе ПДн:

• категория 1 — ПДн, касающиеся расовой, национальной при­надлежности, политических взглядов, религиозных и философских убеж­дений, состояния здоровья, интимной жизни;
• категория 2 — ПДн, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию, за исключением ПДн, относящихся к категории 1;
• категория 3 — ПДн, позволяющие идентифицировать субъекта

• категория 4 — обезличенные и (или) общедоступные ПДн.

В соответствии с пунктом 4 Приложения № 1 к «Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденных приказом ФСТЭК России от 11 февраля 2013 г. № 17, АИС ______ присвоить класс защищенностиК_.

Журнал учета паролей по информационной системе персональных данных (ИСПДн)

Возражение субъекта персональных данных на принятое на основании исключительно автоматизированной обработки персональных данных решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы

Запрос согласия субъекта персональных данных на принятие на основании исключительно автоматизированной обработки его персональных данных решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающего его права и законные интересы

Акт классификации ИСПДн

9) условие обработки персональных данных — для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.

В соответствии с Постановлением Правительства Российской Федерации от 1 ноября 2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и Приказом Генерального директора ЗАО «Компания-оператор ПДн» от «___» ___________ № ____ комиссия в составе:

Политика обработки персональных данных

8.1. Субъект ПДн вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Рекомендуем прочесть:  Справка по месту пребывания

– наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;