Испдн граждане что это
Обновлено: 04.07.2024
Персональные данные – основная и неотъемлемая часть любой организации. Ключевой проблемой, стоящей перед организацией и ее сотрудниками, является обработка и защита персональных данных в соответствии законодательством Российской Федерации.
Персональные данные как они есть
По результатам проведения проверок регуляторами всё больше организаций теряют статус операторов персональных данных и тем самым, не имеют права осуществлять деятельность по сбору, обработке, хранению и передаче персональных данных. С целью функционирования информационной системы персональных данных согласно действующим нормативно-правовым актам, в первую очередь, необходимо определить и документально утвердить основные положения, правила и процедуры обработки и защиты персональных данных в организации.
Требования, предъявляемые оператору к обработке и защите персональных данных, отражены в следующих нормативно-правовых актах, регламентирующих создание организационно-распорядительной документации (ОРД) организации:
Неотъемлемой частью системы защиты информации является комплекс организационных мероприятий, задокументированный в локальных нормативных актах. Комплекс ОРД должен в полном объеме учитывать положения нормативно-правовых актов в области защиты персональных данных.
ОРД по ПДн
ОРД по ПДн без использования средств автоматизации
Постановление Правительства РФ от 15.09.2008 N 687
В целом для документа
ОРД по ПДн в информационных системах.
Постановление Правительства РФ от 1.11.2012 г. № 1119
Приказ ФСТЭК России от 18.02.2013 г. № 21
| Локальный нормативный акт | Требование |
|---|---|
| Регламент проведения контрольных мероприятий. Приложения к документу: - план внутренних проверок соблюдения требований законодательства в области персональных данных; - план пересмотра внутренних нормативных актов по персональным данным; - протокол пересмотра внутренних нормативных актов по персональным данным; - протокол проведения внутренней проверки на соблюдение требований законодательства в области персональных данных; - акт пересмотра внутренних нормативных актов по персональным данным; - акт проведения внутренней проверки на соблюдение требований законодательства в области персональных данных. | П.6 Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года. |
| Инструкция администратору безопасности ИСПДн. Инструкция пользователю ИСПДн. Инструкция по организации парольной защиты в информационной системе персональных данных. | П.8.1 Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности). |
| Инструкция администратору безопасности ИСПДн. Положение о разрешительной системе доступа к ресурсам ИСПДн. Перечень лиц, допущенных к обработке ПДн. Матрица доступа к информационным ресурсам ИСПДн. | П.8.2 Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил. |
| Инструкция администратору безопасности ИСПДн. Перечень программного обеспечения и (или) его компонентов, разрешенного к использованию на ПЭВМ, входящих в состав информационной системы персональных данных. | П.8.3 Меры по ограничению программной среды должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения. |
| Инструкция администратору безопасности ИСПДн. Регламент учета, хранения и уничтожения носителей персональных данных, содержащий: - правила и процедуры учета, хранения и уничтожения бумажных и машинных носителей информации; - журнал учета машинных носителей; - акты установки (ввода в эксплуатацию) машинных носителя(ей) (при наличии); - акты уничтожения носителей (при наличии); - акты восстановления машинных носителя(ей) персональных данных (при наличии); - акты приема-передачи носителя(ей) персональных данных (при наличии). | П.8.4 Меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных. |
| Инструкция администратору безопасности ИСПДн Инструкция по защите информации о событиях безопасности в информационной системе персональных данных. | П.8.5 Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них. |
| Инструкция по организации антивирусной защиты в информационной системе персональных данных. | П.8.6 Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации. |
| Инструкция администратору безопасности ИСПДн. | П.8.7 Меры по обнаружению (предотвращению) вторжений должны обеспечивать обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия. |
| Политика контроля (анализа) защищенности информационной системы персональных данных. | П.8.8 Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных. |
| Инструкция администратору безопасности ИСПДн. Инструкция пользователю ИСПДн. Положение о порядке обеспечения безопасности персональных данных с использованием средств криптографической защиты информации. | П.8.9 Меры по обеспечению целостности информационной системы и персональных данных должны обеспечивать обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных. |
| Регламент резервного копирования и восстановления персональных данных. Приложения к документу: - план резервного копирования персональных данных; - журнал восстановления данных учета создания и использования резервных копий персональных данных. Политика безопасной эксплуатации ТС. Политика защиты ПО. | П.8.10 Меры по обеспечению доступности персональных данных должны обеспечивать авторизованный доступ пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования информационной системы. |
| Инструкция администратору безопасности ИСПДн. Инструкция пользователю ИСПДн. Инструкция по организации парольной защиты в информационной системе персональных данных. Матрица доступа к информационным ресурсам ИСПДн. Инструкция по защите информации о событиях безопасности в информационной системе персональных данных. Политика безопасной эксплуатации ТС и политика защиты ПО. Регламент резервного копирования и восстановления персональных данных. Приложения к документу: - план резервного копирования персональных данных; - журнал восстановления данных учета создания и использования резервных копий персональных данных; - инструкция по организации антивирусной защиты в информационной системе персональных данных. | П.8.11 Меры по защите среды виртуализации должны исключать несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям. |
| Положение о режиме обеспечения безопасности помещений с ИСПДн, с приложением: - акт установления границы контролируемой зоны; - перечень помещений, в которых осуществляется обработка персональных данных; - журнал учета доступа в помещения, в которых осуществляется обработка персональных данных (в случае отсутствия СКУД). Политика безопасной эксплуатации ТС. | П.8.12 Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее - средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей. |
| Положение о порядке обеспечения безопасности персональных данных с использованием средств криптографической защиты информации Политика обеспечения сетевой безопасности Инструкция по защите информации о событиях безопасности в информационной системе персональных данных Приказ о назначении ответственных за организацию обработки и обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных Политика защиты ПО Политика безопасной эксплуатации ТС | П.8.13 Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных. |
| Перечень лиц, ответственных за выявление инцидентов и реагирование на них. Положение о выявлении, ликвидации и предотвращении инцидентов безопасности персональных данных, с приложением: - журнал учета инцидентов; - акты выявления инцидентов (при наличии); - акты устранения инцидентов (при наличии); - акт проведения расследования инцидента безопасности, связанного с персональными данными. Инструкция пользователю ИСПДн. | П.8.14 Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов. |
| Перечень лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных. Политика управления конфигурацией информационной системы и системы защиты персональных данных. | П.8.15 Меры по управлению конфигурацией информационной системы и системы защиты персональных данных должны обеспечивать управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений. |
Приказ ФСБ РФ от 10.07.2014 г. N 378
Согласно СТР-К (Специальные требования и рекомендации по технической защите конфиденциальной информации), который носит рекомендательный характер, определены следующие требования к составу ОРД:
| Локальный нормативный акт | Требование |
|---|---|
| Технический паспорт ИСПДн. | |
| Положение о порядке организации и проведения работ по защите конфиденциальной информации. | П.3.5 |
| Перечень сведений конфиденциального характера. | П.3.6 |
| Техническое задание на создание системы защиты информации. | П.3.7 |
| Перечень сведений конфиденциального характера. Модель угроз безопасности ПДн. Модель нарушителя. Приказ об определении границ контролируемой зоны информационной системы. Акт классификации АС. | П.3.8 |
| Перечень сведений конфиденциального характера. | 3.10 |
| Акт классификации АС. | 3.15 |
| Технический проект на систему защиты информации. Положение о режиме обеспечения безопасности помещений с ИСПДн, с приложением: - акт установления границы контролируемой зоны; - перечень помещений, в которых осуществляется обработка персональных данных, журнал учета доступа в помещения, в которых осуществляется обработка персональных данных (в случае отсутствия СКУД). Регламент учета, хранения и уничтожения носителей персональных данных, содержащий: - правила и процедуры учета, хранения и уничтожения бумажных и машинных носителей информации; - журнал учета машинных носителей; - акты установки (ввода в эксплуатацию) машинных носителя(ей) (при наличии); - акты уничтожения носителей (при наличии); - акты восстановления машинных носителя(ей) персональных данных (при наличии), акты приема-передачи носителя(ей) персональных данных (при наличии). Положение о разрешительной системе доступа к ресурсам ИСПДн. Перечень лиц, допущенных к обработке ПДн. Матрица доступа к информационным ресурсам ИСПДн. Приказ о назначении ответственных за организацию обработки и обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных. Приказ о создании структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе …(весь пакет ОРД) | 3.16 |
| Техническое задание | 3.17 |
| Пояснительная записка с изложением решений по комплексу принимаемых организационных и технических мер, составу средств защиты информации с указанием их соответствия требованиям ТЗ. Технически проект на систему защиты информации. Технический паспорт ИСПДн. Инструкция администратора безопасности ИСПДн. Инструкция пользователя ИСПДн. | 3.18 |
| Акт ввода в опытную эксплуатацию системы защиты информации в информационной системе персональных данных. Акт о завершении опытной эксплуатации системы защиты информации в информационной системе персональных данных. Акт о вводе информационной системы персональных данных в промышленную эксплуатацию. | 3.19 |
| Акты внедрения средств защиты информации. Протоколы аттестационных испытаний и заключение по их результатам. Аттестат соответствия объекта информатизации. | 3.20 |
| Приказ на проектирование системы защиты информации. Приказ о назначении лиц, ответственных за проектирование системы защиты информации. Приказ о назначении ответственных за организацию обработки и обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных. Приказ на обработку в АС конфиденциальной информации. | 3.21 |
Что в итоге с ОРД.
На основании вышеизложенного можно сделать вывод о том, что к основным организационно-распорядительным документам, регламентирующим процесс обработки и защиты информации, относятся:
В зависимости от уровня защищенности персональных данных, а также функциональных особенностей информационной системы персональных данных может дополняться содержание организационно-распорядительных документов, перечисленных выше, а также их перечень следующими документами:
Данный пакет документов возможно разработать самостоятельно, но при этом должно быть четкое понимание происходящих в Компании процессов и высокий уровень знаний в области защиты информации. Разработанные инструкции должны быть реализуемыми и не содержать избыточной информации.
Рекомендуется изучить лучшие практики в области защиты информации. Применение шаблонных инструкций, размещенных в открытом доступе не всегда допустимо, в связи с тем, что они не учитываю специфику Компании и могут содержать неактуальные требования устаревших нормативных актов. Однако, такие шаблонные инструкции могут помочь в соблюдении структуры повествования.
Процесс разработки ЛНА может занять от 3 месяцев до полугода, в зависимости от масштаба Компании и сложности информационных процессов, требующих обеспечение защиты информации.
При этом сотрудники, занимающиеся изучением данной области, формированием комплекта ЛНА , на этот процесс тратят в денежно эквиваленте куда больше, чем если бы эти документы были заказаны у опытного интегратора, сотрудники которого имеют высокий уровень компетенций в области защиты информации, владеют актуальной информацией об изменениях в законодательстве РФ, касающиеся защиты информации.
При этом после получения такого рода услуги имеется возможность получить консультативную поддержку по введению в действие политик и регламентов по защите информации.
Если вы реально оценили свои возможности и готовы выполнить все требования законодательства сами, но у вас остались вопросы, вы можете обратиться к нам за консультацией
Или вы можете заказать у нас комплекс работ, чтобы полностью закрыть вопрос о выполнении требований ФЗ-152 и других нормативных актов по персональным данным.
Читайте также: