Главная » Гражданский кодекс

Технического паспорта информационной системы персональных данных

На чтение 5 мин. Просмотров 2 Опубликовано

Как всегда, мы постараемся ответить на вопрос «Технического паспорта информационной системы персональных данных». А еще Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте не выходя из дома.

п. 16. По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Содержание

Документы, регламентирующие обработку персональных данных. Комментарии экспертов

Постановление Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:

Документы, регламентирующие обработку ПДн в ИСПДн Компании (для каждой ИСПДн)

п.6. Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных, в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.

В первую очередь определим, что относится к персональным данным. Это сведения различного характера о конкретных физических лицах. Заметим, что мы говорим только о сведениях в электронной форме, вводимых, хранящихся, обрабатываемых и передаваемых в информационной системе. Данные сведения разделяются на четыре основные категории: ·

Рекомендуем прочесть:  Животных могут арестовать из за долга банку

Перечень персональных данных, обрабатываемых в администрации поселения, утвержденный распоряжением администрации поселения от28.03. 2011. №16-р.
Согласно приказу ФСТЭК от 18 февраля 2013 года №21 по завершению всех работ по построению системы информационной безопасности должна проводиться оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных. Такая оценка эффективности может проводится в виде аттестация ИСПДн по требованиям ФСТЭК и ФСБ России.

Документы, регламентирующие обработку персональных данных. Комментарии экспертов

После выхода в свет постановления Правительства РФ № 781 “Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных” от 17 ноября 2007 г. и совместного приказа Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20 “Об утверждении порядка проведения классификации информационных систем персональных данных” (далее «Порядок…») перед службами разработки и эксплуатации информационных систем (ИС), обрабатывающих персональные данные, возникло два почти гамлетовских вопроса:

Проблема в том, что перечень ВТСС присутствует в форме техпаспорта, приведенного в приложении «В» СТР-К и, опять же, явно о том, что его можно в некоторых случаях не заполнять — нигде не сказано. Как следствие, при реализации различных проектов приходилось по много раз объяснять, зачем мы переписываем чайники. Это иногда напрягало даже больше, чем трудоемкость и бессмысленность самого процесса =)

  1. Перечень ПДн, обрабатываемых в ИСПДн, и степень их конфиденциальности;
  2. Технический паспорт, в котором указано:
    • расположение ИСПДн относительно границ контролируемой зоны;
    • конфигурация и топология ИСПДн в целом и ее отдель­ных компонент;
    • физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назна­чения;
    • технические средства и системы, предполагаемые к ис­пользованию в разрабатываемой ИСПДн, условия их расположения, обще­системные и прикладные программные средства, имеющиеся и предлагаемые к разработке;
    • режимы обработки ПДн в ИСПДн в целом и в отдельных компонентах.
  3. Степень участия персонала в обработке ПДн, характер их взаимодействия между собой (матрица доступа).
Рекомендуем прочесть:  Как рассчитать пенсию по старости в связи с проживанием со льготно экономическим статусом

Защита информационных систем персональных данных

Прежде всего необходимо выделить информационные системы персональных данных (ИСПДн).
Информационная система персональных данных – это совокупность программных (например «1С-Предприятие») и технических средств (компьютеры, принтеры, сканеры, коммутационное оборудование и т.д.) на которых обрабатываются персональные данные. Обработка – это добавление, изменение, удаление, хранение, анализ, распространение персональных данных. Каждая ИСПДн должна иметь свою цель обработки. Именно цель обработки является основным критерием при выделении ИСПДн. Например, во многих медицинских учреждениях можно выделить 2 ИСПДн – «Сотрудники» и «Пациенты». Они имеют разные цели обработки персональных данных.

Также необходимо отметить, что при реализации технических мер защиты, нужно разработать отдельные организационно-распорядительные документы (ОРД), регламентирующие каждое из направлений защиты (антивирусная защита, обнаружение вторжений, межсетевое экранирование, анализ защищенности, криптографическая защита, защита от несанкционированного доступа и др.). Кроме того, необходимы документы, описывающие общие вопросы обработки и защиты персональных данных в ИСПДн (разрешительная система доступа, описание технологического процесса обработки персональных данных и др.).

Кто проводит аттестацию ИСПДн?

Порядок аттестации регламентирован уполномоченными регуляторами в области защиты информации — ФСБ и ФСТЭК России. В основном методология аттестации ИСПДн базируется на нормативно-методической документации ФСТЭК России, которая состоит более чем из 30 документов. Но основные документы, на которые стоит опираться, это приказы ФСТЭК № 17 и 21, а также приказ ФСБ № 378. Если ваша организация не является лицензиатом ФСТЭК России, то проводить работы по аттестации нельзя.

Как аттестовать ИСПДн?

Стоимость аттестации зависит от количества объектов вычислительной техники, входящих в состав ИСПДн, технологий обработки и уровня (класса) защищенности, который требуется обеспечить.
Само собой, чем ИСПДн масштабнее, тем аттестация будет дороже. Итоговая стоимость включает стоимость услуг и средств защиты, необходимых для реализации системы защиты.

Юристконсул - Елена
Делюсь своим опытом в свободное от работы время. Задавайте вопросы по мере возможности буду отвечать.
Оцените автора
Защита населения в правовых вопросах
Вам также может понравиться
Как сшить документ в 4 прокола—
Как обычно отвечаю на всеми интересные и волнующие
069
Заявление о сроке исковой давности по оплате за электроэнергию—
Как обычно отвечаю на всеми интересные и волнующие
065
Как составить акт оприходования тротуарной плитки после капремонта в казенном учреждении образец—
Как обычно отвечаю на всеми интересные и волнующие
0238
Заявление от родителей что они не против посещать занятия очно—
Как обычно отвечаю на всеми интересные и волнующие
00
Какие страницы паспорта нужно копировать для смены фамилии для военного билета—
Как обычно отвечаю на всеми интересные и волнующие
02
Заявление на увеличение нагрузки больше ставки—
Как обычно отвечаю на всеми интересные и волнующие
03
Категория е машиниста разъяснения—
Как обычно отвечаю на всеми интересные и волнующие
04
Какие должны быть льготы при отсутствии 30 километровой зоны—
Как обычно отвечаю на всеми интересные и волнующие
012
© 2024 Защита населения в правовых вопросах
Adblock
detector