Главная » Приватизация

Технический Паспорт Информационной Системы Персональных Данных

На чтение 8 мин. Просмотров 5 Опубликовано
Содержание

Технический Паспорт Информационной Системы Персональных Данных

08 мая 2022 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2022 г. № 548).

Вопрос такой, для каждой ИСПДн необходимо рисовать технический паспорт, а в паспорте необходимо перечислить ОТСС и ВТСС (согласно СТР-К), а фактически ВТСС нужно если есть защита от ПЭМИН, есть ли смысл перечисления ВТСС в техпаспорте на ИСПДн 3 класса (по этому классу требований к защите от ПЭМИН нет).

Технический паспорт информационных систем персональных данных

Настоящий документ описывает технические характеристики каждой информационной системы персональных данных: схему сети, характеристики компьютеров, серверов и сетевого оборудования. Также отображается информация о программном обеспечении, которое функционирует внутри информационной системы.
На основании данного документа будет строиться модель угроз персональных данных и проектироваться система защиты персональных данных (СЗПДн).

— абзац 2 п.9, п.10 Приказа ФТЭК №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

Технический паспорт информационных систем

Технический паспорт ИСПДн разрабатывается в соответствии со специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К). Прямых требований к составлению технического паспорта для ИСПДн нет, но они косвенно вытекают из других требований.

  • наименование ИСПДн;
  • адрес местонахождения ИСПДн;
  • данные об утвержденной частной модели угроз безопасности ПДн в ИСПДн;
  • перечень персональных данных, обрабатываемых в ИСПДн;
  • перечень технологических процессов обработки ПДн, используемых в ИСПДн;
  • перечень основных технических средств и систем, входящих в состав ИСПДн;
  • перечень вспомогательных технических средств, входящих в состав ИСПДн;
  • перечень средств защиты информации, установленных в ИСПДн.

Типовая форма технического паспорта информационной системы персональных данных

2 УТВЕРЖДАЮ Руководитель (Ф.И.О.) » » г. ТЕХНИЧЕСКИЙ ПАСПОРТ Информационной системы персональных данных Составил (Подпись специалиста подразделения по защите информации) Ознакомлен (Подпись лица, ответственного за помещение) (Год)

Это интересно:  Взносы Адвокатов В Адвокатскую Палату В 2022 Году

3 . Общие сведения об ИСПДн. Наименование ИСПДн:.2. Физическое расположение ИСПДн. 3. Частная модель угроз безопасности ПДн в ИСПДн утверждена..200 г..4. Класс ИСПДн: K3 (акт классификации ИСПДн от..200 г).5. Перечень ПДн, обрабатываемых в ИСПДн персональных данных, обрабатываемых в ИСПДн Наименование персональных данных. Персональные данные работников. Первичные учетные данные работников.2 Сведения о занимаемой должности.3 Финансовое состояние работника.4 Сведения о реквизитах работника.5 Дополнительные сведения о работнике Категория ПДн Таблица Цель обработки ПДн в рамках ИСПДн Учет работников, осуществление процессов согласно трудовому законодательству РФ Поддержание иерархичности отношений между работниками, осуществление процессов согласно трудовому законодательству РФ Осуществление налоговых отчислений, осуществление процессов согласно трудовому законодательству РФ Осуществление процессов согласно трудовому законодательству РФ Выплата льгот, осуществление процессов согласно трудовому законодательству РФ 2. Технологические процессы обработки ПДн, используемые в ИСПДн. технологических процессов обработки ПДн, используемых в ИСПДн Таблица 2 Наименование технологического процесса. Прием сотрудника на работу 2. Увольнение работника 3. Начисление работнику зарплаты 4. Начисление работнику премии

Информационные системы персональных данных

  • шифровальные (криптографические) средства;
  • средства предотвращения несанкционированного доступа;
  • средства предотвращения утечки информации по техническим каналам;
  • средства предотвращения программно-технических воздействий на технические средства обработки персональных данных.

Информационные технологии — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов (Федеральный закон «Об информации, информационных технологиях и защите информации»).

Документы, регламентирующие обработку персональных данных

Приведем примерный список документов, которые разрабатываются оператором персональных данных в соответствии с требованиями законодательства, а также юридическое обоснование разработки перечисленных документов.

п.13.Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.

К информационной системе персональных данных

структурная (топологическая) схема с указанием информационных связей между устройствами; схема размещения и расположения ОТСС на объекте с привязкой к границам КЗ, схема прокладки линий передачи конфиденциальной информации с привязкой к границам КЗ объекта.

1. Настоящая инструкция разработана в соответствии с требованиями подпункта «ж» пункта 12 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства Российской Федерации от 17 ноября 2022 г. № 781, и определяет порядок учета лиц, допущенных к работе с персональными данными в информационных системах.

Мечтают ли технические паспорта об электрочайниках

Проблема в том, что перечень ВТСС присутствует в форме техпаспорта, приведенного в приложении «В» СТР-К и, опять же, явно о том, что его можно в некоторых случаях не заполнять — нигде не сказано. Как следствие, при реализации различных проектов приходилось по много раз объяснять, зачем мы переписываем чайники. Это иногда напрягало даже больше, чем трудоемкость и бессмысленность самого процесса =)

Это интересно:  Дети войны кто относится льготы и выплаты свердловская область

По этой причине мы обратились в Управление ФСТЭК по ДФО с просьбой разъяснить этот момент. Мы написали, что необходимость внесения ВТСС в технический паспорт явно связана с угрозами утечки информации по каналам ПЭМИН и задали вопрос: можно ли не вносить ВТСС в техпаспорт, если такие угрозы признаны неактуальными (а это на моем личном опыте — 99% случаев для ГИС и ИСПДн). И ФСТЭК нас снова порадовал — нам ясно и однозначно ответили, что если такие угрозы неактуальны, то ВТСС можно не вносить в техпаспорт. Да и разделы со схемами электропроводки и заземления тоже можно убрать.

Организационно-распорядительные документы для защиты персональных данных

Документ необходим для определения лиц, которые будут ответственны за процессы обработки и защиты персональных данных. Выполняет требования следующих нормативных документов:
— п.13. ПП № 781
— п.3.21 СТР-К
— п.5.3.5 СТР-К
— п.6.3.3 СТР-К
— п.6.3.1 СТР-К
— п.6.3.11 СТР-К

Документ необходим для разработки мероприятий, которые должны быть проведены с целью приведения деятельности компании в соответствие с требованиями законодательства в области ПДн. Выполняет требования следующих нормативных документов:
— п.6. ПП № 781
— п.2. Приказ № 55/86/20
— п.6.3.8 СТР-К

РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ (выписка)

  • совместимость указанных средств со штатным программным обеспечением ИСПДн;
  • степень снижения производительности функционирования ИСПДн по основному назначению;
  • наличие средств централизованного управления функционированием средств антивирусной защиты с рабочего места администратора безопасности информации в ИСПДн;
  • возможность оперативного оповещения администратора безопасности информации в ИСПДн обо всех событиях и фактах проявления программно-математических воздействий (ПМВ);
  • наличие подробной документации по эксплуатации средства антивирусной защиты;
  • возможность осуществления периодического тестирования или самотестирования средства антивирусной защиты;
  • возможность наращивания состава средств защиты от ПМВ новыми дополнительными средствами без существенных ограничений работоспособности ИСПДн и «конфликта» с другими типами средств защиты.

Опосредованный ущерб связан с причинением вреда обществу и (или) государству вследствие нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых и иных государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с ПДн.

Технический паспорт

Для электропитания технических средств ИСПДн применена схема TN-C-Sс глухозаземленной нейтралью на трансформаторной подстанции (ТП). ТП расположена за пределами контролируемой зоны и имеет подключения сторонних потребителей со стороны низшего напряжения. Питающие кабели от ТП к ИСПДн проходят за пределами контролируемой зоны. Вводно-распределительное устройство расположено за пределами контролируемой зоны. Этажные щитки электропитания расположены в пределах КЗ.

Это интересно:  Ссжку в московской области 2022

Для заземления технических средств ИСПДн используются проводники защитного заземления (PE) трехпроводных линий электропитания. Выделенный контур заземления отсутствует. Заземляющее устройство повторного заземления здания расположено за пределами КЗ.

Защита информационных систем персональных данных

Первый этап является очень важным, так как он во многом определяет силы и средства, привлекаемые для реализации этапа проектирования и создания СЗПДн, и необходимость проведения оценки соответствия ИСПДн требованиям безопасности информации.

  1. Перечень ПДн, обрабатываемых в ИСПДн, и степень их конфиденциальности;
  2. Технический паспорт, в котором указано:
    • расположение ИСПДн относительно границ контролируемой зоны;
    • конфигурация и топология ИСПДн в целом и ее отдель­ных компонент;
    • физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назна­чения;
    • технические средства и системы, предполагаемые к ис­пользованию в разрабатываемой ИСПДн, условия их расположения, обще­системные и прикладные программные средства, имеющиеся и предлагаемые к разработке;
    • режимы обработки ПДн в ИСПДн в целом и в отдельных компонентах.
  3. Степень участия персонала в обработке ПДн, характер их взаимодействия между собой (матрица доступа).

Технический Паспорт Информационной Системы Персональных Данных

Прежде всего необходимо выделить информационные системы персональных данных (ИСПДн).
Информационная система персональных данных – это совокупность программных (например «1С-Предприятие») и технических средств (компьютеры, принтеры, сканеры, коммутационное оборудование и т.д.) на которых обрабатываются персональные данные. Обработка – это добавление, изменение, удаление, хранение, анализ, распространение персональных данных. Каждая ИСПДн должна иметь свою цель обработки. Именно цель обработки является основным критерием при выделении ИСПДн. Например, во многих медицинских учреждениях можно выделить 2 ИСПДн – «Сотрудники» и «Пациенты». Они имеют разные цели обработки персональных данных.

У всех ИСПДн должен быть назначен администратор безопасности. Администратор безопасности – сотрудник в должностные обязанности которого входит обеспечение защиты персональных данных в информационной системе. Он должен следить за работой средств защиты информации, своевременно проводить антивирусные проверки, консультировать сотрудников по вопросам безопасности персональных данных и т.п. Администраторов безопасности может быть несколько (например по одному на каждую ИСПДн). Администратор безопасности назначается приказом руководителя («Приказ о назначении администратора безопасности информационных систем персональных данных»). Чтобы определить требуемые меры по защите персональных данных необходимо определить уровень защищенности ИСПДн.О том как это сделать Вы можете прочитать в разделе Определение уровня защищенности ИСПДн.

Дарья
Отвечаю на юридические вопросы в комментариях.
Оцените автора
Всегда на страже закона - Ask-Lawyer.ру
Вам также может понравиться
Малоимущая Семья 2022 Какие Льготы Пермь
Также малоимущий гражданин в 2022 году может получить
01
Нужно Ли К Товарному Чеку Прикладывать Кассовый Чек С 1 Июля 2022 Года
Его номер вносится в документацию, а сама квитанция
09
Льготы Для Семей С Одним Ребенком
Программы поддержки и; льготы для; семейПособие при
04
Набор Молочной Кухни 21 И 22 Что Это Московская Область
Наборы молочной кухни московская область 2022 по номерам
02
Сколько Платят Страховую Пенсию По Потере Кормильца
10. Страховая пенсия по случаю потери кормильца устанавливается
02
Льготы Для Неполной Семьи В 2022 Году
Муж Марии официально получает 35 тысяч рублей.
02
Льготы Кострома Многодетная Мама
Предоставление единовременной социальной выплаты за
02
Оборудование По Вентиляции Оплатить По Какому Косгу
Но все же повторимся и дадим определение: КВР, что
04
© 2024 Всегда на страже закона - Ask-Lawyer.ру