КАФЕДРА ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОТЧЕТ по лабораторной работе № 9 дисциплины: «Организационное и правовое обеспечение информационной безопасности» Вариант 8 Лабораторная работа №9 Вариант 8 Тема: разработка плана мероприятий по обеспечению защиты персональных данных в информационных системах персональных данных Цель работы: - знать перечень мероприятий, включаемых в План мероприятий по обеспечению защиты персональных данных в информационных системах персональных данных; - уметь составлять План мероприятий по обеспечению защиты персональных данных в информационных системах персональных данных; - приобрести способность оформить рабочую техническую документацию с учетом действующих нормативных и методических документов в области информационной безопасности; - приобрести способность формировать процедуры для управления информационной безопасностью. Ход работы: 1. План мероприятий по обеспечению защиты персональных данных в информационных системах персональных данных образовательной организации высшего образования. План мероприятий по защите информационной системы персональных данныхна 2022-2023гг. Цель: Казань 2022г. Развитие комплекса мер, направленных на обеспечение защиты, конфиденциальности и целостности персональных данных, которые хранятся и обрабатываются в ФГБОУ ВО «Казанский технологический институт». Основные направления деятельности: контроль и своевременное уведомление органов Роскомнадзора об изменениях в процессе обработки ПД; определение перечня угроз в части соблюдения безопасности информации, их актуальность, а также разработка новых мер противодействий. проведение плановых и внеплановых мероприятий, направленных на сохранение целостности, конфиденциальности персональных данных, а также определение круга лиц, имеющих доступ к работе с ними; применение сертифицированного программного обеспечения для обеспечения высокой степени безопасности в целях защиты ПД; своевременное обнаружение несанкционированного доступа к персональным данным, отслеживание и пресечение нарушений в их обработке, хранении и передаче; Проведение мероприятий по восстановлению персональных данных, измененных либо украденных в результате несанкционированного доступа к ним; План мероприятий по обеспечению защиты персональных данных № 1 Наименование мероприятия Функционирование Политики в отношении обработки персональных данных и оформление правового основания обработки персональных данных 2 Направление в уполномоченный орган (Роскомнадзор) уведомления о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации Сведения о реализуемых требованиях к защите персональных данных, ответы на запросы Применение технических мер по обеспечению безопасности персональных данных и выявление угроз безопасности Составление отчета о принятых мерах по обеспечению безопасности персональных данных при работе с сайтом университета 3 4 5 Срок исполнения При эксплуатации информационной системы персональных данных (ИСПДн) в эксплуатацию При необходимости Ответственный Анищенко Е.Н. При необходимости Анищенко Е.Н. При необходимости Анищенко Е.Н. Глазов В.А При необходимости Анищенко Е.Н. Глазов В.А Анищенко Е.Н. 6 Размещение и обновление нормативной документации на официальномсайте университета Соблюдение норм законодательства по защите персональных данных при использовании электронных журналов Соблюдение норм законодательства по защите персональных данных при работе с программой Moodle, обезличивание данных Постоянно Анищенко Е.Н. Глазов В.А Постоянно Анищенко Е.Н. Хорошилова А.Н. постоянно 9 Участие в обучающих мероприятиях по соблюдению требований законодательства в сфере защите персональных данных По графику 10 Оформление письменного согласия или отзыва субъекта на обработку его персональных данных, пересмотр договора с субъектами ПД в части обработки ПД Инвентаризация информационных ресурсов с целью выявления присутствия и обработки в них персональных данных Эксплуатация ИСПД и внутренний контроль безопасности ПД Проведение мероприятий по аттестации и переаттестации систем защиты ПД При необходимости Глазов В.АХорошилова А.Н. ЧаркинаН.А. ЧулочниковаЕ.Н. Анищенко Е.Н. Глазов В.АХорошилова А.Н. Чулочникова Е.Н. Чаркина Н.А. Разработка списка лиц, имеющих право доступа к ПД, определение их полномочий, проведение инструктажа по работе с ПД При необходимости 7 8 11 12 13 14 Раз в год Комиссия по инвентаризации Постоянно Анищенко Е.Н. При необходимости Совместно с компанией – лицензиатом ФСТЭК Специалист по защите информации 2. План внутренних проверок режима защиты персональных данных в информационных системах персональных данных образовательной организации высшего образования УТВЕРЖДАЮ Директор ФГБОУ ВО «Казанский технологический институт» В.А. Фёдоров 15.04.2022г. ПЛАН ВНУТРЕННИХ ПРОВЕРОК РЕЖИМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ Казань 2022г. План внутренних проверок режима защиты персональных данных в информационных системах персональных данных Мероприятие Периодичность Контроль над соблюдением режима обработки ПДн Контроль над соблюдением режима защиты ПДн Контроль над выполнением антивирусной защиты ИСПДн Контроль над соблюдением режима защиты при подключении к сетям общего пользования и (или) международного обмена Проведение внутренних проверок на предмет выявления изменений в режиме обработки и защиты ПДн Контроль за обновлениями программного обеспечения и единообразия применяемого ПО на всех элементах ИСПДн Контроль за обеспечением резервного копирования информации Организация анализа и пересмотра имеющихся угроз безопасности ПДн, а так же предсказание появления новых, еще неизвестных, угроз Еженедельно Ежедневно Еженедельно Ответственный исполнитель Администратор безопасности ИСПДн Администратор безопасности ИСПДн Администратор безопасности ИСПДн Еженедельно Администратор безопасности ИСПДн Ежегодно Администратор безопасности ИСПДн Ежеквартально Администратор безопасности ИСПДн Ежемесячно Администратор безопасности ИСПДн. Ежегодно Администратор безопасности ИСПДн Поддержание в актуальном состоянии нормативноорганизационных документов Контроль за разработкой и внесением изменений в программное обеспечение собственной разработки или штатное ПО, специально дорабатываемое собственными разработчиками или сторонними организациями Ежемесячно Администратор безопасности ИСПДн Ежеквартально Администратор безопасности ИСПДн Разработал: Согласовано: Методист по ИТ Анищенко Должность Анищенко В.Н. Подпись Ф.И.О. «15» апреля 2022г. Дата Заместитель директора Глазов Дата Должность Подпись «15 » апреля 2022г. Глазов В.А Ф.И.О Ответы на контрольные вопросы: 1. На основании чего составляется План мероприятий по обеспечению защиты персональных данных? - План составляется на основании списка мер, методов и средств защиты, определенных в Концепции информационной безопасности и Политике информационной безопасности 2. Каким образом выбираются мероприятия для составления План мероприятий по обеспечению защиты персональных данных? - Выбор конкретных мероприятий осуществляется на основании анализа Отчета по результатам внутренней проверки и Модели угроз безопасности. 3. Какие категории мероприятий включаются в План мероприятий по обеспечению защиты персональных данных? - В План включаются следующие категории мероприятий: организационные (административные); физические; технические (аппаратные и программные); контролирующие. 4. На какие информационные системы персональных данных организации составляется план внутренних проверок? - План внутренних проверок составляется на все информационные системы персональных данных организации
