35. Мероприятия и документы по защите персональных данных

Мероприятия и документы по защите персональных данных
Для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных в соответствии
с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и Постановления Правительства Российской Федерации
от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах
персональных данных» в общем случае необходимо выполнить следующие мероприятия:
Мероприятия по защите персональных данных
Документы, соответствующие мероприятиям по защите ПД
1. Назначение ответственного за техническую защиту информации.
Повышение его квалификации по технической защите
конфиденциальной информации (Постановление Губернатора от
03.09.2007 № 347 Об обеспечении технической защиты информации,
п.13 ПП РФ от 17.11.2007 № 781).
2. Разработка/уточнение Перечня информационных систем персональных
данных (далее - ИСПДн) и обрабатываемых в них персональных
данных (далее - ПД) (Основные мероприятия… от 15.02.2008, ФСТЭК
России).
3. Классификация ИСПДн (Рекомендации… от 15.02.2008, ФСТЭК
России).
4. Уведомление Управления Россвязькомнадзора по Новосибирской
области об обработке персональных данных (ФЗ от 27.07.2006 № 152ФЗ).
5. Обеспечение согласий субъектов ПД на автоматизированную
обработку их ПД (проверка договоров с субъектами ПД на предмет
выполнения статей 6, 9, 10, 11 и 16 Федерального закона от 27.07.2006
№152-ФЗ «О персональных данных», заключение при необходимости
дополнительных соглашений с субъектами ПД).
6. Разработка
перечня
актуальных
угроз
безопасности
ПД
соответствующего класса информационных систем (для каждой
ИСПДн) в соответствии с:
 Базовой моделью угроз безопасности персональных данных при их
обработке в информационных системах персональных данных от
15.02.2008 (ФСТЭК России);
 Методикой
определения
актуальных
угроз
безопасности
персональных данных при их обработке в информационных
Приказ о назначении ответственного за техническую защиту информации
в подразделении. Откорректированный должностной регламент.
Удостоверение о повышении квалификации по технической защите
информации установленного образца.
Утвержденный Перечень ИСПДн и обрабатываемых ПД.
Акты классификации ИСПДн.
Уведомление оператора об обработке персональных данных.
Регистрационный номер Государственного реестра операторов
персональных данных РФ.
Откорректированные технологические документы, формы организации.
Модели угроз безопасности, перечни актуальных угроз безопасности для
каждой ИСПДн.
системах персональных данных от 15.02.2008 (ФСТЭК России);
 Методическими рекомендациями по обеспечению с помощью
криптосредств безопасности персональных данных при их
обработке в информационных системах персональных данных с
использованием средств автоматизации" от 21.02.2008 № 149/54144 (ФСБ России).
7. Разработка мер по защите ПД (на основе моделей угроз),
обеспечивающих нейтрализацию предполагаемых угроз безопасности
ПД
(Постановление Правительства РФ от 17.11.2007 № 781,
методические документы ФСТЭК России).
8. Ограничение доступа работников к персональным данным.
Утверждение списка лиц, доступ которых к ПД необходим для
выполнения служебных обязанностей. Учет лиц, допущенных к работе
с ПД (для каждой ИСПДн) (Основные мероприятия… от 15.02.2008,
ФСТЭК России; СТР-К, Гостехкомиссия, 2002).
Перечень организационных и технических мер по защите информации,
перечень программных и технических средств защиты или технический
(рабочий) проект защиты.
Приказ об утверждении перечня лиц, допущенных к автоматизированной
обработке ПД в организации (для каждой ИСПДн).
Приказ об утверждении перечня лиц, допущенных в помещения ИСПДн.
Инструкция о порядке допуска лиц в помещения ИСПДн.
Инструкция о порядке действия должностных лиц, имеющих право
сдавать под охрану помещения.
9. Внесение изменений в должностные регламенты сотрудников Обновленные должностные регламенты/обязанности лиц, допущенных к
(пользователей), обрабатывающих ПД, требования о соблюдении обработке персональных данных.
конфиденциальности ПД в период работы и после увольнения, а также
ответственности
за
нарушение
конфиденциальности
ПД.
Ознакомление (под роспись) сотрудников с изменениями в
должностных регламентах (Основные мероприятия… от 15.02.2008,
ФСТЭК России; СТР-К, Гостехкомиссия, 2002).
10. Организация учета и контроля за соблюдением правил пользования средствами криптографической защиты информации (далее – СКЗИ) и условий
их использования, указанных в правилах пользования (эксплуатации) на них (Типовые требования… от 21.02.2008 № 149/6/6-622, ФСБ России):
10.1. Определение необходимости использования криптосредств для Аналитическое обоснование использования криптосредств для
обеспечения безопасности ПД и, в случае положительного решения, обеспечения безопасности ПД.
определение на основе модели угроз цели использования
криптосредств для защиты ПД от неправомерного или случайного
доступа к ним, уничтожения, изменения, блокирования, копирования,
распространения персональных данных и (или) иных неправомерных
действий при их обработке;
10.2. Установка и ввод в эксплуатацию криптосредств в соответствии с Инструкция по эксплуатации КСЗИ в ИСПДн.
эксплуатационной и технической документацией к этим средствам.
Проверка готовности криптосредств к использованию с составлением
заключений о возможности их эксплуатации;
10.3. Обучение лиц, использующих криптосредства, работе с ними;
Заключение о проведении опытной эксплуатации криптосредств в целях
проверки их работоспособности.
Акт о вводе в эксплуатацию криптосредств защиты информации (КСЗИ).
Удостоверение о повышении квалификации по использованию криптосредств.
10.4. Решение оператора ПД о допуске пользователей криптосредств к Приказ о допуске пользователей криптосредств к работе с ними.
работе с ними;
10.5. Поэкземплярный учет криптосредств, предназначенных для Журнал поэкземплярного учета криптосредств, эксплуатационной и
обеспечения безопасности ПД в ИСПДн,
эксплуатационной и технической документации к ним, пользователей криптосредств.
технической документации к ним и пользователей криптосредств;
10.6. Контроль за соблюдением условий использования криптосредств, Технический (аппаратный журнал).
предусмотренных эксплуатационной и технической документацией к
ним;
10.7. Описание организационных и технических мер, которые оператор Акт о нарушении. План устранения недостатков.
обязуется осуществлять при обеспечении безопасности ПД с
использованием криптосредств при их обработке в информационных
системах, с указанием в частности:
а) индекса, условного наименования и регистрационных номеров
используемых криптосредств;
б) соответствия размещения и монтажа аппаратуры и оборудования,
входящего в состав криптосредств, требованиям нормативной
документации и правилам пользования криптосредствами;
в) соответствия помещений, в котором размещены криптосредства и
хранится ключевая
документация к ним, требованиям
Методических рекомендаций от 21.02.2008 № 149/54-144 (ФСБ
России) с описанием основных средств защиты;
г) выполнения Требований к материальным носителям биометрических
ПД и технологиям хранения таких данных вне ИСПДн;
10.8. Разбирательство и составление заключений по фактам нарушения Инструкция о порядке организации и проведении работ по обеспечению
условий хранения носителей ПД, использования криптосредств, безопасности ПД с использованием криптосредств.
которые могут привести к нарушению конфиденциальности ПД или
другим нарушениям, приводящим к снижению уровня защищенности
ПД, разработку и принятие мер по предотвращению возможных
опасных последствий подобных нарушений.
11. Разработка документов (Основные мероприятия… от 15.02.2008, ФСТЭК России; СТР-К, Гостехкомиссия, 2002):
11.1. Регламенты работы с ПД;
11.2. Разработка матриц доступа к информации (с учетом минимизации
доступа пользователей ИСПДн к обрабатываемым ПД);
11.3. Описание
технического,
программного,
информационного
обеспечения, конфигурации и топологии ИСПДн и взаимосвязи ее с
другими системами, информационных потоков, технологии обработки
(передачи) информации;
Инструкция о порядке организации и проведении работ по защите ПД.
Матрицы доступа к защищаемым ресурсам.
Перечень технических и программных средств ИСПДн.
Описание топологии ИСПДн и взаимосвязи ее с другими системами.
Описание информационных потоков ИСПДн.
Описание технологии обработки (передачи информации).
11.4. Подготовка пояснительной записки с изложением решений по Пояснительная записка с изложением решений по комплексу
комплексу организационных мер и программно-техническим организационных мер и программно-техническим средствам обеспечения
средствам обеспечения безопасности информации, составу средств безопасности информации, составу средств защиты информации.
защиты информации;
11.5. Разработка плана организационно-технических мероприятий по План организационно-технических мероприятий по подготовке к
подготовке к внедрению средств и мер защиты информации;
внедрению средств и мер защиты информации.
11.6. Разработка технических паспортов ИСПДн;
Технические паспорта ИСПДн.
11.7. Разработка инструкций и руководств по эксплуатации технических и Инструкции по эксплуатации технических и программных средств защиты
программных средств защиты информации для пользователей, информации для пользователей, администраторов, ответственных за
администраторов системы, ответственных за защиту ПД в ИСПДн, защиту ПД в ИСПДн.
системному администратору;
Инструкция системному администратору (включить процедуры
восстановления серверов, баз данных, операционных систем,
программных средств, файлов).
11.8. Опытная эксплуатация средств защиты информации в комплексе с Заключение о проведении опытной эксплуатации средств защиты
другими техническими и программными средствами в целях проверки информации в комплексе с другими техническими и программными
их работоспособности и отработки технологического процесса средствами в целях проверки их работоспособности и отработки
обработки информации;
технологического процесса обработки информации.
11.9. Приемо-сдаточные испытания средств защиты информации по Заключение о приемо-сдаточных испытаниях средств защиты информации
результатам опытной эксплуатации;
по результатам опытной эксплуатации и Акт внедрения средств защиты
информации.
11.10. Введение журнала учета носителей информации;
Журнал учета МНИ с ПД.
11.11. Описание системы защиты персональных данных.
Документ «Система защиты ПД ИСПДн «Хххх».
12. Лицензирование
деятельности
по
технической
защите Лицензия ФСТЭК на осуществление деятельности по технической защите
конфиденциальной информации для операторов, осуществляющих конфиденциальной информации.
обработку ПД в ИСПДн 1, 2 классов и распределенных системах 3
класса (Основные мероприятия… от 15.02.2008, ФСТЭК России).
13. Для операторов, использующих криптосредства при обработке ПД в
ИСПДн 1, 2 классов и распределенных системах 3 класса, получение
лицензий ФСБ России (ст.17 Федерального закона от 08.08.2001 г. №
128-ФЗ «О лицензировании отдельных видов деятельности»):
 на
деятельность
по
распространению
шифровальных
(криптографических) средств,
 на деятельность по техническому обслуживанию шифровальных
(криптографических) средств,
 на предоставление услуг в области шифрования информации.
14. Эксплуатация ИСПДн, мониторинг, выявление и реагирование на
инциденты информационной безопасности (ПП РФ от 17.11.2007 №
781).
15. Аттестация ИСПДн 1 и 2 класса (Основные мероприятия… от
15.02.2008, ФСТЭК России).
16. Подготовка к комплексной проверке Управлением Россвязькомнадзора
по Новосибирской области, Управлением ФСТЭК России по
Сибирскому федеральному округу и Управлением ФСБ России по
Новосибирской области.
Лицензия ФСБ на деятельность по распространению шифровальных
(криптографических) средств.
Лицензия ФСБ на деятельность по техническому обслуживанию
шифровальных (криптографических) средств.
Лицензия ФСБ на предоставление услуг в области шифрования
информации.
Совершенствование системы защиты ИСПДн (корректировки
документации).
Аттестат соответствия требованиям безопасности информации ИСПДн.
План подготовки к проверке состояния защиты конфиденциальной
информации.
Примечание: Приведенный перечень мер по защите ПД не является исчерпывающим. Приведены лишь основные меры. Полный набор мер по защите
ПД определится в процессе аттестации для ИСПДн 1 и 2 класса или устранения замечаний по результатам комплексной проверки состояния защиты
ПД для ИСПДн 3 класса.