2018-01-21
1195
Процесс обеспечения информационной безопасности является непрерывным и происходит в рамках жизненного цикла не только системы информационной безопасности, но и всей деятельности ГКУЗ «ЯНОСДР».
На данном этапе осуществлялась разработка системы организационно-распорядительной документации, регламентирующей порядок обеспечения безопасности персональных данных и эксплуатации СЗПДн. В таблице 2 приводится перечень разработанной документации и ее содержание.
Таблица 2. Перечень актуальных угроз безопасности ПДн
| № п.п | Наименование организационно-распорядительного Документа | Содержание документа |
| Приказ об организации работ по обеспечению безопасности персональных данных при их обработке в ИСПДн | - организационная структура системы обеспечения безопасности ПДн; - назначение и обязанности ответственного за организацию обработки персональных данных в ИСПДн; - назначение и обязанности администратора безопасности информации в ИСПДн; - назначение и обязанности ответственных за эксплуатацию ИСПДн; - назначение и обязанности ответственного за резервирование и восстановление баз ПДн; - обязательство о неразглашении информации, содержащей персональные данные; - утверждение списка сотрудников, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения должностных обязанностей; - учет лиц, допущенных к работе с ПДн; - организация парольной защиты в ИСПДн; - организация антивирусной защиты в ИСПДн; - порядок работы пользователей ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн; - порядок проверки электронного журнала обращений к ИСПДн; - использование средств защиты информации в ИСПДн; - заявление-согласие сотрудника, обрабатывающего ПДн без использования средств автоматизации; - утверждение списка сотрудников, обрабатывающих данные без использования средств автоматизации; - инструкция сотруднику, ведущему обработку ПДн без использования средств автоматизации. | |
| Положение об обработке и защите ПДн | - порядок сбора, хранения, передачи и любого другого использования ПДн; - общие требования при обработке ПДн; - права и обязанности субъектов ПДн и оператора; - ответственность за нарушение норм, регулирующих обработку и защиту ПДн; - заявление-согласие субъекта на обработку его ПДн; - заявление-согласие субъекта на обработку ПДн подопечного; - отзыв согласия на обработку ПДн; - заявление-согласие субъекта на получение его ПДн у третей стороны; - заявление-согласие субъекта на передачу его ПДн третьей стороне. | |
| План мероприятий по защите ПДн | список мероприятий по защите персональных данных, сроки их выполнения и ответственных по контролю за выполнением этих мероприятий | |
| Приказ о постоянно действующей комиссии по классификации ИСПДн | - утверждение состава постоянно действующей комиссии по классификации ИСПДн; - протокол заседания постоянно действующей комиссии по классификации ИСПДн. | |
| Приказ о проведении внутренней проверки условий обработки ПДн | Разрабатывается на основании пункта 1 Постановления Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", пункта 2 статьи 19 Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» | |
| Частная модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных | - модель нарушителя; - уровень исходной защищенности ИСПДн; - актуальные угрозы безопасности ИСПДн. В соответствии с нормативными документами ФСТЭК России и ФСБ России | |
| Акт классификации ИСПДн | разрабатывается в соответствии с Приказом № 55/86/20 ФСТЭК, ФСБ, Мининформсвязи от 13 февраля 2008 г., который утверждает «Порядок проведения классификации информационных систем персональных данных». | |
| Приказ об утверждении перечня конфиденциальной информации | разрабатывается на основании пункта 3 перечня сведений конфиденциального характера, утверждённого Указом Президента Российской Федерации от 06.03.1997 №188, главой 14 Трудового кодекса Российской Федерации и федеральными законами | |
| Приказ об утверждении перечня ПДн | разрабатывается на пункта 1 перечня сведений конфиденциального характера, утверждённого Указом Президента Российской Федерации от 06.03.1997 №188 и пункта 1 статьи 3 Федерального закона «О персональных данных» от 27.07.2006 №152 | |
| Приказ об утверждении перечня ИСПДн | разрабатывается в целях выполнения требований постановления Правительства РФ от 01 ноября 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» | |
| Приказ об установлении границ контролируемой зоны | схема объекта информатизации с указанием границ контролируемой зоны | |
| Приказ об утверждении перечня автоматизированных рабочих мест, общесистемного и прикладного программного обеспечения | Разрабатывается в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», «Порядком проведения классификации информационных систем персональных данных», утвержденным ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 № 55/86/20 | |
| Требования по обеспечению безопасности ПДн при их обработке в ИСПДн | разрабатывается на основании приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» и частной модели угроз ИСПДн | |
| Приказ об утверждении перечня информационных ресурсов, подлежащих защите в ИСПДн | Разрабатывается в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», постановлением Правительства Российской федерации от 1 ноября 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»,с целью определения информационных ресурсов используемых на автоматизированных рабочих местах и в ИСПДн | |
| Приказ об утверждении матриц доступа к информационным ресурсам и объектам доступа в ИСПДн | разрабатывается в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» | |
| Описание технологического процесса обработки информации в ИСПДн | - описание объектов и субъектов доступа, средств обработки и передачи персональных данных; - схема технологического процесса с привязкой к конкретным средствам обработки и передачи информации и пользователями ИСПДн. | |
| Приказ о вводе в эксплуатацию автоматизированного рабочего места | разрабатывается в целях обеспечения защиты информации и режима безопасности проводимых работ и в соответствии с требованиями руководящих документов ФСТЭК России по защите информации, содержащей персональные данные | |
| Технический паспорт на ИСПДн | описание состава и схем размещения оборудования информационных систем | |
| Инструкция о пропускном и внутриобъектовом режимах | порядок охраны и допуска посторонних лиц в защищаемые помещения | |
| Инструкция по обработке запросов субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных | - регулирование отношений, возникающих при выполнении оператором обязательств согласно требованиям статей 14, 20 и 21 Федерального закона «О персональных данных» 152-ФЗ от 27 июля 2006 года; - сводная таблица действий в ответ на запросы по ПДн; - форма запроса субъекта ПДн о наличии и ознакомлении с ПДн; - форма запроса субъекта ПДн на уточнение ПДн; - форма запроса субъекта ПДн на уничтожение ПДн; - форма запроса субъекта ПДн с отзывом согласия на обработку ПДн; - форма ответа назапроса субъекта ПДн о наличии и ознакомлении с ПДн; - форма ответа назапроса субъекта ПДн на уточнение ПДн; - форма ответа на запрос субъекта персональных данных на уничтожение ПДн; - форма ответа на запрос субъекта персональных данных отзывом согласия на обработку ПДн; - форма уведомления субъекта ПДн, его законного представителя или уполномоченного органа по защите прав субъектов ПДн при выявлении недостоверности ПДн; - форма уведомления субъекта ПДн, его законного представителя или уполномоченного органа по защите прав субъектов ПДн при выявлении неправомернсоти действий с ПДн. | |
| Журналы | - журнал антивирусных проверок автоматизированных систем; - журнал периодического тестирования средств защиты информации; - журнал учета журналов; -журнал поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов; - журнал учета лиц, допущенных к работе с персональными данными в ИСПДн; - журнал учета машинных носителей информации (установленных в ПЭВМ), использующихся в ИСПДн для обработки, хранения, транспортировки информации; - журнал учета машинных носителей информации (отчуждаемых), использующихся в ИСПДн для обработки, хранения, транспортировки информации; - журнал учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн; - журнал учета передачи ПДн; - журнал учета проверок электронных журналов обращений к ИСПДн; - журнал учета средств защиты информации, эксплуатационной и технической документации к ним; - журнал учета хранилищ; - учетная карточка резервного носителя ПДн. |
Разработка всего комплекта организационно-распорядительной документации выполнялась в соответствии с действующими законодательными и процессуальными нормами Российской Федерации.
