понедельник, 17 октября 2011 г.

Перечень документов для специальной ИСПДн без СКЗИ

Подготовил перечень документов для обеспечения защиты персональных данных в специальной(ых) ИСПДн без использования СКЗИ. Перечень делал на основании еще действующих подзаконников с учетом предельной полноты. Считаю, что комплект документов должен быть разработан подробно и в объеме, достаточном для ознакомления и полного понимания системы защиты информации сторонним специалистом, допущенным к этим документам. Ряд документов в перечне присутствует опционально, в зависимости от самой ИСПДн.

1. Приказ о назначении ответственного лица за организацию обработки персональных данных.
 вкл. ответственных за техническое обеспечение ИСПДн;
 вкл. ответственных за техническую защиту ПДн в ИСПДн.

2.1. Приказ об обследовании ИСПДн на предприятии.
2.2. Отчет об обследовании ИСПДн на предприятии.

3. План мероприятий по приведению ИСПДн предприятия в соответствие с требованиями 152-ФЗ.

4.1. Перечень информации конфиденциального характера на предприятии.
4.2. Перечень ПДн, обрабатываемых в ИСПДн предприятия.

5. Схема контролируемых зон ИСПДн предприятия.

6.1. Положение по обработке персональных данных на предприятии.
 вкл. обоснование законности обработки;
 вкл. журнал обращений субъектов ПДн;
 вкл. форму согласия субъекта на обработку ПДн;
 вкл. форму признания субъекта об общедоступности ПДн;
 вкл. порядок учета сменных носителей ПДн;
 вкл. определение мест хранения материальных носителей ПДн.
6.2. Приказ о вводе Положения по обработке персональных данных.

7. Модель угроз безопасности персональных данных в ИСПДн предприятия.

8.1. Приказ о назначении комиссии по классификации ИСПДн.
8.2. Акты классификации ИСПДн предприятия.

9.0. Утверждение списка должностей осуществляющих:
9.1. техническое обслуживание СВТ, входящих в ИСПДн;
9.2. администрирование ИСПДн;
9.3. администрирование СЗПДн;
9.4. обработку ПДн.

10. Внесение изменений в должностные инструкции сотрудников, связанных с работами в ИСПДн (по п. 9).

11. Описание технологического процесса обработки ПДн в ИСПДн.
 вкл. типовые формы ввода ПДн в ИСПДн.

12.1. Положение по обеспечению безопасности персональных данных
 вкл. запрет на ведение переговоров с использованием ПДн;
 вкл. порядок получения доступа к ИСПДн;
 вкл. действия по защите ИСПДн при аварийных и чрезвычайных ситуациях;
 вкл. электронный журнал регистрации обращений в ИСПДн;
 вкл. журнал учета НСД к ПДн;
 вкл. требования парольной политики;
 вкл. требования по антивирусной защите;
 вкл. требования по работе в сети "Интернет".

12.2. Приказ о вводе Положения по обеспечению безопасности персональных данных.

13.1. Инструкции пользователям ИСПДн.
13.2. Приказ о вводе Инструкций пользователям ИСПДн.

14.1. Инструкция администратору ИСПДн.
 вкл. требования по резервному копированию БД ИСПДн.
14.2. Приказ о вводе Инструкции администратору ИСПДн.

15.1. Инструкция администратору СЗПДн.
15.2. Приказ о вводе Инструкции администратору СЗПДн.

16.0. Регламент доступа к информационным ресурсам ИСПДн, а именно:
16.1. Перечень информационных ресурсов ИСПДн.
16.2. Матрицу доступа к информационным ресурсам ИСПДн.

17. Технические паспорта ИСПДн.

18. Техническое задание на создание СЗПДн.

19. Технический проект СЗПДн.

20. Заключение о готовности СЗИ к использованию для защиты ПДн в ИСПДн предприятия.

21. Акт ввода СЗПДн.

22. Перечень СЗИ, используемых для защиты ПДн в ИСПДн предприятия.

23. Акт соответствия принятых мер в соответствии с 152-ФЗ.

24. План мероприятий по контролю исполнения требований по защите персональных данных на предприятии.

25.1. Политика в отношении обработки персональных данных.
 вкл. оценку вреда субъектам в случае нарушения принятой политики;
 вкл. официальную общедоступную публикацию.
25.2. Приказ о вводе Политики в отношении обработки персональных данных.

26. Уведомление об обработке персональных данных.

5 коммент.:

Александр комментирует...

Сергей доброе время суток. Я так понимаю, что вы ориентировались при составлении больше всего на СТР-К и свой опыт работы в области ПДТРиТЗИ. На мой взгляд в этом перечне ТЗ и ТП не всегда актуальны, приказы об обследовании и все другие можно объединить или вовсе убрать (нет ни в ПП781 ни в приказе 58 нет точного указания на необходимость ни этих приказов ни самих документов),приказ об обследовании и о политике и вовсе на мой взгляд не имеет смысловой нагрузки (бумагомарательство) инструкции можно объеденить некоторые. А инструкций по режиму,охране,техобслуживанию ОТСС ИСПДн,их ремонту и т.п. и вовсе у вас нет.

Медюшко Сергей комментирует...

1. ТЗ и ТП неактуальны только в случае, если ИСПДн примитивна и проста в защите. К тому же ТП - это документ, отражающий на бумаге то, как построена СЗПДн, считаю, что его наличие обязательно. Тут даже дело не в проверках. Большая проблема будет при изменении штата ответственных за СЗПДн и ИСПДн - без адекватной документальной базы новые сотрудники потратят прилично времени на изучение всего в ручную. При наличии актуальной нормативной базы все это сделать намного проще и быстрее. Если защищать турфирму с 3 ПК, то тут конечно никакой ТЗ и ТП не нужно, все можно сделать "на коленке".
2. Приказы нужны не для того, чтобы отстреляться перед регулятором. Они нужны чтобы четко разграничить ответственность и направление действий среди персонала. Когда ИСПДн и СЗПДн на предприятии занимается больше 3 подразделений - это необходимо. Как правило при внутренних работах защищать персональные данные при отсутствии личной выгоды никто не хочет и начинается "отфутболивание" работы.
3. Все инструкции вводятся приказом, почему Политика не должна вводиться приказом?
4. "инструкций по режиму,охране,техобслуживанию ОТСС ИСПДн,их ремонту и т.п." нет в документах, на которые вы ссылались в начале поста: ПП781 ни в приказе 58, что несколько противоречиво.
Очевидно, что положения по охране, режиму, техническому обслуживанию и ремонту должны быть прописаны в документах:
12.1. Положение по обеспечению безопасности персональных данных
13.1. Инструкции пользователям ИСПДн.
14.1. Инструкция администратору ИСПДн.
15.1. Инструкция администратору СЗПДн.
П.С.: В после у меня отмечено "Ряд документов в перечне присутствует опционально, в зависимости от самой ИСПДн."

Очень хорошая информация на данную тему есть в блоге у коллеги http://sborisov.blogspot.com/

Александр комментирует...

Сергей я вот, что хотел сказать (это моё мнение): нельзя давать таких однозначных рекомендаций по перечню ОРД на ИСПДн, потому как сколько случаев столько и наборов документов (и про проект,как вы сами и подтвердили и про многое другое). Просто "чайников" и тех кто начинает разбираться в этом вопросе это загоняет в рамки и они начинают подстраиваться под все посты и блоги "ваши и ваших уважаемых коллег"... Нет помогать то нужно, конечно,(здорово,что есть люди,которые находят время на это,спасибо),но как то не так...А то Заказчики потом мне говорят : "А вот в блоге у В... такой то документ написан,а у вас он такой и техпроекта у вас нет(для ИСПДн из 1АРМ)... А у меня 10летний стаж посроения политик ИБ Сергей и мне подстраиваться совсем не хочется под В... и С.М. :). Вообщем дополнил бы я вашу статью абзацами про персональный подход к политикам безопасности,про то что документы могут называться по другому с сохранением смысловой нагрузки,некоторые из них иногда нелепы,некоторые можно объединить и т.п. в зависимости от ситуации в каждом случае..Вот о чём вам намекал. Сможете? Спасибо

Медюшко Сергей комментирует...

Подстраиваться вам не надо. Достаточно дать заказчику обоснование, что такие-то документы нужны или не нужны. Хочет заказчик такой документ, игнорируя ваши доводы, то это его дело, за лишнюю работу платить будет он - тут и с вашей стороны все будет честно.

Но тут есть другая вариация. Очень много лицензиатов, особенно в регионах, которые являются любителями "рыбы" и им все равно на качество выполняемых работ. Уж лучше тогда заказчик будет их подстраивать под чей-то блог. Это не есть хорошо, но, что называется, из двух зол меньшее. Тем более никто не запрещает нажать кнопку "Написать автору" и задать вопрос лично.

Я не утверждаю, что так и должно быть один в один. И я опять повторюсь, что рекомендации опциональны и это отмечено в условной форме в начале поста.

По названиям документов, в моем понимании, очевидно - название может значительно отличаться, не вижу смысла делать примечание.

Александр комментирует...

Не нужно Сергей подстраивать под Ваш перечень нерадивого лицензиата (таковые конечно проблема серъёзная -тут вы правы),нужно его подстраивать и настраивать на разработку ОРД,которые:
1.соответствуют технологии обработки информации и работе учреждения в целом
2.перекрывают угрозы из модели,атаки социальной инженерии,инсайд,позволяют службам стоящим на страже ИБ иметь грамотные,эфективные и весомые аргументы в борьбе за ИБ и т.д.

А тривиальные вещи по поводу как мне себя вести,переубеждая Заказчика после Ваших текстов пустая трата времени Вашего..Как вести себя понятно,только кто за это время заплатит..

Отправить комментарий