Главная » Документы

Технический паспорт испдн

На чтение 9 мин. Просмотров 4 Опубликовано

Как всегда, мы постараемся ответить на вопрос «Технический паспорт испдн». А еще Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте не выходя из дома.

Постановление Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:

Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом.

Содержание

Документы, регламентирующие обработку персональных данных. Комментарии экспертов

п. 4. Проведение классификации информационных систем включает в себя следующие этапы:

  • сбор и анализ исходных данных по информационной системе;
  • присвоение информационной системе соответствующего класса и его документальное оформление.
  • журнал учета магнитных, оптических и иных носителей конфиденциальной информации;
  • журнал обращений пользователей к ПДн (электронная форма);
  • журнал поэкземплярного учета используемых криптосредств, эксплуатационной и технической документации к ним;
  • журнал учета и выдачи носителей с ключевой информацией;
  • журнал учета пользователей криптосредств;
  • лицевые счета на пользователей криптосредств;
  • журнал событий безопасности (возможно в электронном виде или встроенными возможностями СрЗИ);
  • журнал регистрации событий в виртуальной инфраструктуре (возможно в электронном виде или встроенными возможностями СрЗИ);
  • журнал учета нарушений, ликвидации их причин и последствий;
  • журнал учета хранилищ, ключей от хранилищ ключевых документов и технической документации;
  • журнал проверок исправности сигнализации;
  • журнал службы охраны.

— Перечень разрешенного к использованию ПО.
— Технический паспорт ИСПДн.
— Эксплуатационная документация на СКЗИ.
— Лицензии и сертификаты соответствия требованиям по безопасности информации на СрЗИ (в том числе СКЗИ).
— Документы о поставке на СрЗИ (в том числе СКЗИ).
— Заключение о возможности эксплуатации СЗИ по результатам проведения проверки их готовности к использованию.
— Акты о вводе СКЗИ в эксплуатацию.
— Программа и методика испытаний.
— Оценка соответствия (аттестат соответствия) требованиям информационной безопасности.

2. В состав пакета организационно-распорядительных документов по защите информации, определяющих порядок учета, хранения и эксплуатации средств защиты информации (далее — СрЗИ) МО рекомендуется включить следующие документы:

Немного технической части

1. Техническое задание на создание системы защиты ПДн (СЗ ПДн) должно содержать требования к следующим мероприятиям по созданию СЗ ПДн:
– формирование требований к СЗ ПДн, обрабатываемых в информационных системах ПДн;
– разработка (проектирование) СЗ ПДн;
– внедрение СЗ ПДн;
– оценка эффективности (аттестация) принимаемых мер по защите ПДн и ввод ее в действие;
– обеспечение защиты информации в ходе эксплуатации СЗ ПДн;
– обеспечение защиты информации при выводе из эксплуатации СЗ ПДн или после принятия решения об окончании обработки информации.
2. Рекомендации по формированию требований к СЗ ПДн.
2.1. Техническое задание на создание СЗ ПДн должно отображать необходимый состав требований, сформированный с учетом [6] и [7] и в том числе:
– определение требуемого уровня защищенности ПДн, обрабатываемых в информационных системах МО (далее — классификация информационной системы);
– определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;
– определение требований к СЗ ПДн.
3. Рекомендации по разработке (проектированию) СЗ ПДн.
3.1. При проектировании СЗ ПДн, должны быть выполнены следующие мероприятия:
– определены типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);
– определены методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в информационной системе;
– выбраны меры защиты информации, подлежащие реализации в системе защиты информации информационной системы;
– определены виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;
– определена структура СЗ ПДн, включая состав (количество) и места размещения ее элементов;
– осуществлен выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также уровня защищенности информационной системы;
– определены параметры настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации;
– определены меры защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
3.2. Результаты проектирования СЗ ПДн должны отображаться в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации) на СЗ ПДн, разрабатываемой с учетом [8].
Проектная документация должна содержать в том числе:
– анализ процесса обработки информации в проектируемой системе;
– описания информационных потоков и сетевой структуры объекта;
– анализ информационных ресурсов, требующих защиты. Перечни защищаемой информации;
– модель угроз информационной безопасности;
– классификация проектируемой системы по требованиям безопасности информации
– перечень требований по информационной безопасности для объектов защиты проектируемой системы
– описание технических решений по реализации подсистем информационной безопасности (подсистему защиты от НСД, подсистему антивирусной защиты, подсистему криптографической защиты, подсистему межсетевого экранирования, подсистему анализа защищенности, подсистему резервного копирования, подсистему обнаружения вторжений);
– сводный перечень средств защиты информации
– комплекс организационных мероприятий, с указанием перечня необходимой организационно-распорядительной документации (ОРД);
– комплект шаблонов ОРД.
3.3. При проектировании СЗ ПДн должна быть разработана эксплуатационная документация на систему защиты информации информационной системы разрабатывается с учетом [7], [8] и [9] и должна, в том числе, содержать описание:
– структуры системы защиты информации информационной системы;
– состава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств;
– правил эксплуатации системы защиты информации информационной системы.
4. Рекомендации по внедрению СЗ ПДн.
4.1. Внедрение СЗ ПДн рекомендуется осуществлять в следующем порядке:
– установка и настройка средств защиты информации СЗ ПДн;
– разработка документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации ходе ее эксплуатации СЗПДн (далее — ОРД);
– внедрение организационных мер защиты информации;
– проведение предварительных испытаний СЗ ПДн;
– проведение опытной эксплуатации СЗ ПДн;
– проведение анализа уязвимостей и принятие мер защиты информации по их устранению;
– проведение приемочных испытаний СЗ ПДн.
5. Рекомендации по проведению оценки соответствия (аттестации) ИСПДн и ввод ее в действие
5.1. Оценка соответствия (аттестация) ИСПДн должна проводиться в соответствии с программой и методиками аттестационных испытаний до начала обработки информации, подлежащей защите в информационной системе.
По результатам аттестационных испытаний оформляются протоколы аттестационных испытаний, заключение о соответствии ИСПДн требованиям о защите информации и оценка соответствия (аттестат соответствия) в случае положительных результатов аттестационных испытаний.
Повторная оценка соответствия (аттестация) ИСПДн должна осуществляться в случае окончания срока действия аттестата соответствия или повышения уровня защищенности ПДн, обрабатываемых в информационных системах МО. При увеличении состава угроз безопасности информации или изменения проектных решений, реализованных при создании СЗ ПДн, должны проводиться дополнительные испытания в рамках действующей оценки соответствия (аттестата соответствия).
5.2. Ввод в действие ИСПДн должен осуществляться в соответствии с [9] и законодательством Российской Федерации об информации, информационных технологиях и о защите информации и с учетом оценки соответствия (аттестата соответствия).
6. Рекомендации по обеспечению защиты информации в ходе эксплуатации ИСПДн.
6.1 Обеспечение защиты информации в ходе эксплуатации ИСПДн должно осуществляться оператором в соответствии с эксплуатационной документацией на СЗ ПДн и организационно-распорядительными документами по защите информации и в том числе должно включать в себя:
– управление (администрирование) системой защиты информации информационной системы;
– выявление инцидентов и реагирование на них;
– управление конфигурацией аттестованной информационной системы и ее системы защиты информации;
– контроль (мониторинг) за обеспечением уровня защищенности информации, содержащейся в информационной системе.
7. Рекомендации по обеспечению защиты информации при выводе из ИСПДн эксплуатации мы или после принятия решения об окончании обработки информации
7.1. Обеспечение защиты информации при выводе из эксплуатации ИСПДн или после принятия решения об окончании обработки информации должно осуществляется оператором в соответствии с эксплуатационной документацией на СЗ ПДн и организационно-распорядительными документами по защите информации и в том числе включать в себя:
– архивирование информации, содержащейся в информационной системе;
– уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации.

Рекомендуем прочесть:  Компенсация на одежду малоимущим в пермском крае

Закон вступил в силу 07.06.2006 г. и требует, чтобы каждый оператор выполнил требования статей 18.1 и 19 закона путем подготовки (защиты) и оценки защищенности (аттестации) компьютерных систем. Под подготовкой понимается реализация системы защиты персональных данных в составе ИСПДн, которая создается на базе целого ряда подсистем защиты: антивирусная подсистема, подсистема обнаружения вторжений, подсистема межсетевого экранирования, подсистема анализа защищенности, криптографическая подсистема, подсистема защиты от несанкционированного доступа и другие подсистемы в зависимости от требуемого уровня защищенности той или иной ИСПДн.

Что требует закон?

В законе сказано, что конкретные требования по защите ИСПДн регламентируются регуляторами в области защиты информации, а это ФСБ и ФСТЭК России. Уровень защищенности ИСПДн определяется в соответствии с постановлением Правительства № 1119, а требования к самим мерам (подсистемам) защиты установлены приказами ФСТЭК России № 17, 21 и ФСБ России № 378.

Как аттестовать ИСПДн?

Трудоемкость аттестации ИСПДн достаточно велика ввиду многоэтапности и необходимости документирования каждого этапа работы. Также стоит сказать, что методология аттестации одинакова для ИСПДн любого масштаба, даже для ИСПДн, состоящей из одного компьютера.

2 УТВЕРЖДАЮ Руководитель (Ф.И.О.) » » г. ТЕХНИЧЕСКИЙ ПАСПОРТ Информационной системы персональных данных Составил (Подпись специалиста подразделения по защите информации) Ознакомлен (Подпись лица, ответственного за помещение) (Год)

Типовая форма технического паспорта информационной системы персональных данных

Технический паспорт ИСПДн разрабатывается в соответствии со специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К). Прямых требований к составлению технического паспорта для ИСПДн нет, но они косвенно вытекают из других требований.

Технический паспорт информационных систем

Прежде всего необходимо выделить информационные системы персональных данных (ИСПДн).
Информационная система персональных данных – это совокупность программных (например «1С-Предприятие») и технических средств (компьютеры, принтеры, сканеры, коммутационное оборудование и т.д.) на которых обрабатываются персональные данные. Обработка – это добавление, изменение, удаление, хранение, анализ, распространение персональных данных. Каждая ИСПДн должна иметь свою цель обработки. Именно цель обработки является основным критерием при выделении ИСПДн. Например, во многих медицинских учреждениях можно выделить 2 ИСПДн – «Сотрудники» и «Пациенты». Они имеют разные цели обработки персональных данных.

Юристконсул - Елена
Делюсь своим опытом в свободное от работы время. Задавайте вопросы по мере возможности буду отвечать.
Оцените автора
Защита населения в правовых вопросах
Вам также может понравиться
Квитанция на оплату госпошлины на получение копии устава кировский ифнс екатеринбург—
Как обычно отвечаю на всеми интересные и волнующие
011
Заключение педиатра на питание условия—
Как обычно отвечаю на всеми интересные и волнующие
03
Заявка на вакансии в центр занятости образец—
Как обычно отвечаю на всеми интересные и волнующие
015
Какие льготы положены работающим пенсионерам педагогам в ростовской области—
Как обычно отвечаю на всеми интересные и волнующие
03
Заявление об отсутствии компании на адресе образец—
Как обычно отвечаю на всеми интересные и волнующие
08
Заявление на имя директора от учителя по семейным обстоятельствам—
Как обычно отвечаю на всеми интересные и волнующие
06
Как узнать номер свидетельства о смерти не имея документов—
Как обычно отвечаю на всеми интересные и волнующие
09
Как суммируются льготы ветеран труда и ветеран боевых действий—
Как обычно отвечаю на всеми интересные и волнующие
04
© 2024 Защита населения в правовых вопросах
Adblock
detector