Снова о защите персональных данных или готовимся к проверке Роскомнадзора. Журнал периодического тестирования средств защиты информации

Весь список документов по хранению персональных данных

Весь список документов по хранению персональных данных

Публикуем весь перечень документов, касающихся хранения и обработки персональных данных на сайте, с образцами и рекомендациями по их заполнению.

Продолжаем разъяснять требования законодательства о персональных данных к тем, у кого есть свой сайт.

Помимо документов для размещения на сайте вам необходимо подготовить документы, которые будут храниться непосредственно у вас. Согласно закону «О персональных данных», вы как оператор персональных данных обязаны принимать меры, необходимые и достаточные для выполнения обязанностей, предусмотренных законом. Состав и перечень этих мер определяется самостоятельно оператором (то есть вы сами определяете, что и как будете делать, для того чтобы защитить персональные данные), и к ним могут относиться (п. 1 ст.18.1 Закона «О персональных данных»):

1. Назначение оператором-юрлицом ответственного за организацию обработки персональных данных;
2. Издание оператором–юрлицом документов, определяющих его политику в отношении персональных данных, локальных актов по обработке персональных данных, локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений, устранение последствий нарушений;
3. Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
4. Осуществление внутреннего контроля и аудита соответствия обработки персональных данных закону, требованиям к защите, политике оператора и локальным актам;
5. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона;
6. Ознакомление работников оператора, которые осуществляют обработку персональных данных, с требованиями к защите персональных данных, документами и локальными актами.

Не все из этого может быть реализовано владельцами сайтов – физлицами (например, это касается ознакомления работников с документами), но это не значит, что доступ посторонних лиц (даже родственников и друзей) к персональным данным может быть неограничен. В этом случае они должны ознакомиться с требованиями к защите и подписать соглашение о неразглашении персональных данных.

Мы рекомендуем подготовить документы, подтверждающие, что вы принимаете необходимые правовые, организационные и технические меры для защиты персональных данных. В ст. 19 закона «О персональных данных» перечислены необходимые действия оператора.

Список мер обеспечения безопасности внушительный, и для успешного прохождения проверки Роскомнадзора нужно подготовить немало документов. Чтобы все это понять, требуется техническая подготовка. Для новичка это не так просто, но лучше обезопасить себя.

Некоторые компании и сайты оказывают услуги в их подготовке: Контур, Б-152, FreshDoc. А вот здесь можно скачать шаблоны этих документов.

В любом случае, вы должны проверить внутренние системы защиты персональных данных и подготовить документы:   

1. Перечень сведений конфиденциального характера

Это документ, в котором будет содержаться информация обо всех категориях и видах персональных данных, которые вы обрабатываете. Укажите, что Перечень разработан в соответствии с законом «О персональных данных» и Уставом организации (если вы представляете юрлицо), четко обозначьте ВСЕ виды категории персональных данных. Это можно сделать в виде таблицы. В этом же документе советуем указать цели и сроки обработки персональных данных. Пример. 

2. Инструкция администратора информационной безопасности

Администратор информационной системы персональных данных назначается приказом руководителя. В Инструкции перечисляем должностные обязанности, такие, например, как «знать и выполнять требования всех регулирующих документов, которые регламентируют порядок по защите информации», «обеспечивать установку, настройку и обновление информационной системы персональных данных», «обеспечивать функционирование средств защиты системы», «обеспечивать выполнение требований по обеспечению безопасности информации» и пр. Примеры: первый, второй.

3. Приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных (для организаций).

4. Перечень персональных данных, подлежащих защите в информационных системах. Пример.Рекомендации Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»

5. Приказ об утверждении мест хранения персональных данных.

Если вы храните персональные данные на материальных носителях, необходимо утвердить места хранения. Пример.

6. Перечень помещений, в которых ведется обработка персональных данных.

7. Инструкция пользователей информационной системы персональных данных.

Этот документ определяет должностные обязанности всех, кто работает с персональными данными (осуществляет обработку и пр.). Пример.

8. Приказ о назначении комиссии по уничтожению персональных данных.

Уничтожению персональных данных придается особое значение. После того, как цели обработки выполнены, персональные данные должны быть уничтожены. Подробнее про уничтожение персональных данных написано здесь. Пример Приказа.

9. Проект системы защиты информационной системы персональных данных. Пример.

10. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации. Пример.

11. План внутренних проверок режима защиты персональных данных.

План можно сделать в виде таблицы, там укажите, с какой периодичностью будут осуществляться проверки режима и оборудования. Пример.

12. Приказ о вводе в эксплуатацию информационной системы персональных данных, заключение о вводе в эксплуатацию информационной системы персональных данных. Пример.

13. Журнал учета носителей информации информационной системы персональных данных.

14. Журнал учета мероприятий по контролю обеспечения защиты персональных данных.

Журнал можно сделать в виде таблицы и записывать туда проводимые мероприятия. Пример.

15. План проведения внутренних проверок состояния защиты ПД.

Образец документа можно найти здесь и здесь.

16. Журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав.

Сюда запишите всех, кто обращается за информацией о своих персональных данных. Пример.

17. Правила обработки персональных данных без использования средств автоматизации. О регулировании здесь.

18. Положение о разграничении прав доступа к обрабатываемым персональным данным. Пример.

19. Акт классификации информационной системы персональных данных.

Информационная система – «совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств» (Закон РФ «Об информации, информатизации и защите информации»). Примером информационной системы может быть база данных, содержащая персональные данные, используемая в вашей организации. Даже если вы просто владелец сайта, то говорить об информационной системе мы можем тогда, когда собранные на сайте персональные данные заносятся в базу и потом обрабатываются.

В Акте укажите: кем используется система, категории персональных данных, объем обрабатываемых данных, тип информационной системы, структуру информационной системы, режим обработки персональных данных, наличие подключений к другим сетям связи, местонахождение технических средств. Про информационные системы и классификацию можно прочитать здесь. Пример и еще один.

20. Инструкция по проведения антивирусного контроля в информационной системе персональных данных. Пример.

21. Инструкция по организации парольной защиты.

22. Журнал периодического тестирования средств защиты информации.

23. Форма акта уничтожения документов, содержащих персональные данные.

Если вы владелец сайта, обязательно создайте список, в котором вы будете фиксировать уничтожение персональных данных (что было сделано и когда). Пример и ещё.

24. Журнал учета средств защиты информации(перечень технических средств). Пример.

25. Журнал проведения инструктажа по информационной безопасности (для организаций).

26. Инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций.

27. Приказ о перечне лиц, допущенных к обработке персональных данных.

28. Положение о защите персональных данных.

Цель этого документа – защитить персональные данные от несанкционированного доступа. В Положении можно прописать следующее: понятия из законодательства, цели и основания для обработки, права и обязанности оператора и субъектов персональных данных.

Опишите, как регламентируется внутренний доступ к персональным данным, кто имеет право доступа, каким образом ограничивается доступ, какие меры внутренней и внешней защиты применяются (пароли, регламентация состава работников, имеющих доступ к работе с персональными данными, обеспечение безопасности хранения персональных данных от посторонних), обязательно укажите ответственность за разглашение (для сотрудников).

Пример и ещё один.

29. Соглашение о неразглашении персональных данных.

Это соглашение подписывает каждый, кто имеет доступ к персональным данным. Перечислите все сведения, не подлежащие разглашению, объясните, почему и зачем это делается («я понимаю, что мне приходится заниматься сбором, хранением, обработкой персональных данных, обязуюсь соблюдать все требования, описанные в «Положении о защите персональных данных»»). Пример.

30. План мероприятий по обеспечению безопасности персональных данных.

В этом документе укажите мероприятия, сроки и исполнителя: установку антивирусной программы, установку паролей, внедрение доработок и обновлений и пр. Пример.

31. Модель угроз безопасности в информационной системе персональных данных.

Угрозы безопасности – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

В соответствии со статьей 19 закона «О персональных данных» персональные данные должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Подробнее.

Смысл этого документа – определить возможные угрозы безопасности системы персональных данных и описать, какие способы защиты будут использоваться при их возникновении. Пример.

32. Форма ответа на запрос субъекта персональных данных. Пример.

Не забывайте заполнять и обновлять эти документы!

Если после прочтения материала у вас остались вопросы (вы не совсем поняли, что является персональными данными, сомневаетесь, надо ли регистрироваться в реестре Роскомнадзора, не знаете, как оформить соглашение об обработке данных, и прочее, и прочее), пишите на [email protected].

newmediaedu.ru

Снова о защите персональных данных или готовимся к проверке Роскомнадзора / Хабр

Вступление

Всем доброго времени суток! В этой статье я хотел бы еще раз поднять тему защиты персональных данных (далее будем обзывать их — ПДн), а также тему защиты от регуляторов. Пик дебатов на тему защиты ПДн давно прошел. Приходились эти пики как правило на приближение очередного «самого последнего срока» ввода 152-ФЗ в полную силу. В итоге «самый последний срок» наступил, активные дебаты стихли, но закон «О персональных данных» живет, регуляторы устраивают проверки и наказывают нарушителей. Поэтому тема будет еще долго актуальна.

Сразу оговорюсь, что в этой статье в основном будет информация организационного характера, нежели техническая. «А зачем такая информация нужна нам?» — спросит читатель хабра. Объясняю: так уж получилось, что начальники как крупных, так и не очень организаций не любят выстраивать длинные логические цепочки и вникать в суть вопроса, который лежит далеко от их компетенции. Поэтому при возникновении необходимости обеспечения защиты персональных данных строится вполне логичная по их мнению взаимосвязь: «Защита персональных данных» -> «Защита информации» -> «Информационные технологии» -> «Взвалить вопрос защиты ПДн на IT-шников». И пофигу, что в этом вопросе львиную долю можно поручить юристам и кадровикам, но как говорится в бородатом анекдоте: «кому не нравится грузить люминь, пойдет грузить чугуний».

Типичный пример разглашения ПДн специальной категории (сведения об интимной жизни)

Итак, почему здесь я все-таки не буду рассматривать техническую защиту персональных данных.

Причин несколько:

• Этой информации итак много в интернетах и она более-менее однозначная.
• Эта тема довольно емкая и заслуживает отдельной статьи, в этом опусе я все же хочу коснуться именно организационных моментов.
• Организационные моменты проверяет Роскомнадзор, а технические – ФСТЭК. ФСТЭК проверяет гораздо меньше по защите персональных данных, хотя бы потому, что управление Роскомнадзора есть в каждом регионе, а управление ФСТЭК – одно на Федеральный округ.
• В связи с отменой Постановления правительства № 781, регламентирующего техническую защиту персональных данных, и его заменой на ПП № 1119, нормативные документы ФСТЭК России и ФСБ России оказались в «подвешенном» состоянии. Ими по идее нельзя пользоваться, так как они были изданы во исполнение отмененного постановления № 781, но с другой стороны документы ФСТЭК России должен отменять сам ФСТЭК России. Поэтому техническую защиту ПДн лучше рассматривать предметно после выхода новой документации от регуляторов.
• IT-шникам все же гораздо ближе техническая защита ПДн и им проще в этом разобраться, а вот когда начальство взваливает «бумажную» работу, многим может понадобиться помощь и разъяснения.

Немного о себе

Я посчитал нужным сначала немного рассказать о себе для того, чтобы читателю стало понятно, что все, написанное ниже, основано на личном опыте организации защиты персональных данных в различных организациях, а не является квинтэссенцией различных форумных дебатов в интернетах (там «специалисты» иногда такого напишут, что волосы дыбом встают, и не только на голове).

Я являюсь начальником отдела одной из компаний на Дальнем Востоке, занимающихся аутсорсингом предприятий в сфере информационной безопасности. Безусловно, защита персональных данных – одна из наиболее востребованных наших услуг. Работаю я в этом направлении с 2008 года. Среди клиентов есть как небольшие организации, так и достаточно крупные государственные (департаменты, аппараты правительства, законодательные собрания и тд), так и коммерческие (операторы сотовой связи, интернет-провайдеры, частные медицинские клиники).

У некоторых клиентов проходили проверки Роскомнадзора на предмет выполнения требований законодательства в сфере защиты ПДн и пока что результат – 100% успешных проверок. Также у меня есть личный опыт представления интересов организации в ходе подобной проверки.

Итак, вас назначили ответственным за организацию обработки ПДн, да к тому же вы узнали, что внесены в план проверок Роскомназдора на грядущий год. С чего начать?

И вот, это случилось: начальник, не особо заморачиваясь подписал приказ в котором сказано «Системному администратору ООО «Рога и копыта» Иванову И. И. сделать так, чтобы защита персональных данных в нашей опупенной организации была по фен-шую». Что делать в первую очередь?

В первую очередь нужно выяснить, есть ли в реестре операторов персональных данных ваша организация. Для этого в поиске достаточно вбить ИНН компании. Если такого уведомления нет, то нужно его подать (но нужно учесть, что если уведомление не было подано ранее – это уже повод для регулятора оштрафовать вашу организацию).

Если уведомление все-таки присутствует, нужно уточнить его содержание. Часто бывает так, что уведомление заполнялось каким-нибудь Васей Пупкиным из отдела кадров от балды в далеком 2007 году, которого к тому же давным давно уволили. В этом случае вполне естественно, что содержание многих полей не соответствует действительности. В то же время практика карательных мер как раз говорит о том, что большинство предписаний выносится Роскомнадзором именно в связи с несоответствием уведомления тому, что происходит в организации на самом деле. Например, в графе «Категории обрабатываемых персональных данных» указано «ФИО, паспортные данные, адрес места жительства, номер телефона», а вы обрабатываете еще и сведения о здоровье.

Для внесения изменений в уведомление на портале персональных данных также существует специальная форма. Тут надо помнить, что изменения не будут учтены, если вы вслед не отправите бумажное письмо в свое территориальное управление Роскомнадзора. Это же касается и первоначального уведомления.

Хорошо, с уведомлением разобрались, что потом?

Потом вам нужно издать и утвердить в своей организации кучу документов (инструкции, положения, приказы, журналы и тд). Здесь нужно помнить, что документы должны регламентировать не только автоматизированную обработку но и «аналоговую» тоже.

Перечня документов как такового не существует, есть лишь перечень аспектов, которые вы должны описать в них. Первым делом нужно назначить ответственного за организацию обработки персональных данных (это лицо теперь требуется указывать в уведомлении оператора). Этот человек у нас будет отвечать в основном за «бумажные» вопросы. Также требуется назначить администратора безопасности персональных данных. Он будет отвечать уже за техническую сторону вопроса. И того и другого можно назначить одним приказом. Тут сразу хочу заметить, что все формулировки настоятельно рекомендуется согласовывать с текстом законодательства, так как проверяющие очень часто к ним придираются. Например, если вы ответственного за организацию обработки ПДн назовете просто ответственным за обработку ПДн, то с вероятностью 99.9% регулятор в процессе проверки попросит внести изменения в документ.

Далее, многие об этом забывают, но Роскомнадзор требует: во всех кабинетах, в которых обрабатываются ПДн на бумаге должны быть определены места хранения (сейф, шкаф, стеллаж) и ответственные за сохранность конфиденциальности ПДн в этом кабинете. Проще говоря, издаем приказ, в котором пишем «В кабинете № 1 утвердить местом хранения сейф, ответственным назначить такого-то такого-то». Далее, вы должны назначить комиссию по классификации и комиссию по уничтожению ПДн. В эти комиссии должны входить: председатель комиссии и, как минимум, два члена комиссии. Обе комиссии по своему составу могут быть на 100% идентичными.

Далее, необходимо определиться с лицами, допущенными к обработке персональных данных. Это сотрудники, которые работают с ПДн как работников организации, так и клиентов, абонентов и других категорий субъектов. Причем в документе должно быть указано какой работник к каким данным имеет доступ, обрабатывает он эти данные с помощью средств автоматизации или нет, а в случае с автоматизированной обработкой еще и его роль в системе (пользователь, администратор и тд). Тут следует заметить, что каждый сотрудник, допущенный к обработке персональных данных должен подписать соглашение о неразглашении ПДн.

Следующим шагом нужно определить категории персональных данных, которые у нас подлежат защите. Это делается также отдельным приказом. Здесь есть тоже такой момент, о котором многие забывают, но Роскомнадзор при проверках спрашивает – персональные данные являются частным случаем сведений конфиденциального характера, поэтому отдельным приказом должен быть утвержден также и такой перечень. Что может относиться к сведениям конфиденциального характера, определено указом президента РФ № 188 от 6 марта 1997 г. Просто переписываем пункты, относящиеся к вашей организации в свой приказ и готово.

Наконец, вы должны утвердить в организации основной документ, регламентирующий защиту ПДн. Обычно такой документ называют «Положение об обработке и защите персональных данных». Здесь вы описываете основные понятия из законодательства, цели и законные основания обработки ПДн, права и обязанности оператора, права и обязанности субъекта ПДн.

Также придется разработать ряд журналов, вы должны показать Роскомнадзору, что вы проводите регулярную (а не только одноразовую) деятельность по защите ПДн. В этом вам помогут, например «Журнал проведения инструктажа по информационной безопасности» и «Журнал учета мероприятий по контролю обеспечения защиты персональных данных». Обязательно (Роскомнадзор обязательно спросит) должен быть журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав. Также не забудьте перед проверкой обзавестись журналом учета проверок юридических лиц контролирующими органами.

Подводя итог по внедрению организационной документации по защите ПДн в вашей организации, еще раз повторюсь, строгого перечня документов нет. Вы можете создать один большой документ под названием «Политика в отношении защиты персональных данных», в котором опишите все, что я выше перечислил, а можете разбить на множество мелких документов. Можете издать несколько разных приказов, а можете назначить всех ответственных, определить лиц, допущенных к обработке ПДн и тд одним единственным распоряжением.

Но, все-таки, для примера приведу стандартный перечень документов, который обычно мы внедряем у своих клиентов:

• перечень сведений конфиденциального характера;
• инструкция администратора информационной безопасности;
• приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных;
• перечень персональных данных, подлежащих защите;
• приказ об утверждении мест хранения персональных данных;
• инструкция пользователей информационной системы персональных данных;
• приказ о назначении комиссии по уничтожению персональных данных;
• порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации;
• план внутренних проверок режима защиты персональных данных;
• приказ о вводе в эксплуатацию информационной системы персональных данных;
• журнал учета носителей информации информационной системы персональных данных;
• журнал учета мероприятий по контролю обеспечения защиты персональных данных;
• журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав;
• правила обработки персональных данных без использования средств автоматизации;
• положение о разграничении прав доступа к обрабатываемым персональным данным;
• акт классификации информационной системы персональных данных;
• инструкция по проведения антивирусного контроля в информационной системе персональных данных;
• инструкция по организации парольной защиты;
• журнал периодического тестирования средств защиты информации;
• форма акта уничтожения документов, содержащих персональные данные;
• соглашение о неразглашении персональных данных;
• журнал учета средств защиты информации;
• журнал проведения инструктажа по информационной безопасности;
• инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций;
• приказ о перечне лиц, допущенных к обработке персональных данных;
• положение об обработке и защите персональных данных;
• план мероприятий по обеспечению безопасности персональных данных;
• модель угроз безопасности в информационной системе персональных данных.

Вот, примерно так, опять же, список может быть гораздо шире или гораздо уже, все зависит от того, что будет написано в каждом из документов, здесь важно именно содержание. Образцы всех документов достаточно легко нагуглить.

Многие наверное заметили, что в списке документов много таких, которые регламентируют автоматизированную обработку и защиту ПДн в информационных системах. Несмотря на то, что при проверке Роскомнадзор обращает больше внимания на документальное обеспечение защиты ПДн, нежели на техническое, все равно — чем больше документов вы предоставите по защите ПДн, тем больше плюсиков в карму со стороны регулятора вам упадет.

Завершая раздел про документы, отмечу еще несколько моментов, на которые нужно обратить внимание. Во-первых, ко всем вышеперечисленным документам должен идти лист ознакомления и все лица, которых касается этот документ (будь то инструкция или приказ) должны расписаться в том, что они с бумажкой ознакомлены. Во-вторых, в должностные инструкции всех лиц, допущенных к обработке персональных данных нужно вписать строку «При работе с персональными данными руководствоваться Положением об обработке и защите персональных данных». И, в-третьих, помимо внутренних документов, необходимо разработать один публичный. Обычно его обзывают как «Политика в отношении обработки персональных данных». Такой документ должен вывешиваться на веб-сайте оператора ПДн, либо, если веб-сайта нет, на информационной доске в офисе или находиться в другом общедоступном месте. Примеров политики также можно нагуглить великое множество.

Аттестация

Несмотря на то, что этот момент больше относится к технической защите (ведь аттестация производится, когда наша информационная система полностью заряжена средствами защиты информации), все же хотел здесь пару слов сказать и о ней. Мне просто очень часто приходится слышать от очередных клиентов, что им промыли мозги о том, что аттестация информационных систем персональных данных является обязательной. Запомните раз и навсегда – это все ЧУШЬ! В положении об аттестации объектов информатизации черным по белому написано, что обязательной аттестации подлежат только объекты, содержащие государственную тайну и экологически опасные объекты. Поэтому весь этот бред об обязательной аттестации ИСПДн – просто происки недобросовестных интеграторов, желающих лишний раз скосить бабла с доверчивого клиента.

Аттестация ИСПДн может быть обязательной только в том случае, если ваша организация находится в подчинении вышестоящего органа, и эта самая верхушка спустила вам указание аттестовывать все свои ИСПДн.

Хотя, аттестацию может возжелать и сам начальник организации, ведь аттестат соответствия однозначно подтверждает, что ваши информационные системы полностью соответствуют законодательству как в плане документального обеспечения, так и в плане технической защиты. В этом случае нужно помнить, что одним из условий действительности аттестата является неизменность условий эксплуатации ИСПДн. То есть грубо говоря вы не можете поменять монитор на рабочем месте или установить дополнительное ПО без согласования с органом по аттестации, а это влечет за собой дополнительные затраты. Также стоит помнить, что аттестат соответствия может выдаваться максимум на три года, а потом – все по новой. Возвращаясь к нашей основной теме – подготовке к проверке Роскомназдора, хочу сказать, что за все пять лет работы в данной сфере, проверяющие никогда не требовали Аттестат соответствия.

Вместо заключения

Букв получилось довольно много и, я думаю, пора закругляться, тем более, что выполнив описанные выше меры, можно сказать, что вы практически готовы к проверке Роскомнадзора. Но все же еще раз постараюсь коротко сформулировать основные этапы, выполнение которых поможет вам с большой долей вероятности получить положительное заключение по итогам проверки и некоторые другие, не вошедшие в статью, моменты:

• Уведомление оператора. Необходимо проверить наличие уведомления, а также правдивость сведений изложенных в нем.
• Роскомнадзор не будет проверять ваши информационные системы персональных данных, эти функции возложены на ФСТЭК России и ФСБ России (в случае использования средств шифрования), поэтому сосредоточьтесь на документальном обеспечении, информировании своих сотрудников.
• Думаю не стоит лишний раз говорить о том, что если к вам пришла проверка Роскомнадзора, а в отделе кадров у кого-нибудь на столе будет лежать без присмотра пачка ксерокопий чьих-то паспортов, то это будет эпик фейл.
• Если после всего прочитанного и после всех проведенных мероприятий у вас еще остаются вопросы, не поленитесь (а уж тем более не бойтесь и не стесняйтесь) позвонить в региональное управление Роскомнадзора. Задайте интересующие вас вопросы. Как правило, дозвониться туда легко (в сравнении со многими другими госорганами) и работники РКН идут на встречу, и разъясняют свое видение некоторых спорных вопросов. В некоторых случаях такой звонок даже жизненно необходим, так как наше законодательство часто можно трактовать двояко и даже бывает такое, что у одного и того же сотрудника РКН сегодня одна точка зрения на какую-либо проблему, а завтра – другая.
• Со всех субъектов лучше собирать согласие на обработку ПДн. Да, в законе есть перечень случаев, когда согласие не требуется, например, когда оператор и субъект являются сторонами договорных отношений. НО, здесь же нужно помнить, что обработка биометрических и специальных категорий ПДн, а также передача ПДн третьим лицам осуществляются ТОЛЬКО с согласия субъекта. В любом случае, предоставление согласия на обработку ПДн снимает с вас множество различных неприятных вопросов. И если есть возможность эти согласия собрать, лучше это сделать. Здесь, кстати, как и с уведомлением нужно помнить о том, что сведения, указанные в согласии должны совпадать с тем, что и как вы обрабатываете на самом деле.
• В начале проверки покажите регуляторам, что вы всячески готовы сотрудничать и исправлять выявленные недостатки в ходе самой проверки. Идеально подготовиться невозможно, в любом случае будут какие-либо замечания. Это не страшно, их можно устранить в процессе проверки, которая длится как правило 20 дней. Если замечания будут устранены, на содержании итогового протокола это негативно никак не скажется.

На этом, наверное, и закончу. Как видно не так страшны проверки РКН, как могут показаться на первый взгляд. Если у читателей есть какие-либо вопросы или предложения по следующим статьям на тему ПДн, постараюсь на все ответить и все учесть.

habr.com

Учет средств защиты информации | Защита информации с человеческим лицом

Можно скачать этот документ в формате MS Word. Скачивание доступно только зарегистрированным пользователям.

1. ОБЩИЕ ПОЛОЖЕНИЯ

Регламент учета СЗИ, эксплуатационной и технической документа­ции к ним, электронных носителей персональных данных устанавливает:

• порядок учета, ввода в эксплуатацию и изъятия из употребле­ния средств, используемых для обеспечения безопасности ПДн при их об­работке в ИСПДн;
• порядок учета и хранения электронных носителей информа­ции, содержащих ПДн.

Требования настоящего Регламента распространяются на всех должностных лиц, допущенных к обработке ПДн.

2. ПОРЯДОК УЧЕТА И ХРАНЕНИЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

Используемые или хранимые оператором СЗИ, эксплуатационная и техническая документация к ним подлежат поэкземплярному учету в жур­нале поэкземплярного учета СЗИ, эксплуатационной и технической доку­ментации к ним (Форма учета).

Учет СЗИ, эксплуатационной и технической документации к ним осуществляется ответственным за обеспечение безопасности ПДн, администратором безопасности или иным уполномоченным лицом.

Программные средства учитываются совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование. Если аппаратные или аппаратно-программные СЗИ подключаются к системной шине или к одному из внутренних интерфейсов аппаратных средств, то та­кие СЗИ учитываются также совместно с соответствующими аппаратными средствами.

Все экземпляры СЗИ, эксплуатационная и техническая документация к ним должны выдаваться пользователям СЗИ, несущим персональную ответственность за их сохранность под роспись в соответствующем журнале.

Эксплуатационная и техническая документация, а также электрон­ные носители с инсталляционными файлами СЗИ должны содержаться в хранилищах (шкафах, ящиках, сейфах и др.), исключающих бесконтроль­ный доступ к ним, а также их непреднамеренное уничтожение.

Аппаратные средства, с которыми осуществляется штатное функционирование СЗИ, должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) должно быть таким, чтобы его можно было визуально контроли­ровать.

СЗИ изымаются из употребления по решению ответственного за обеспечение безопасности ПДн, при этом вносятся необходимые измене­ния в журнал поэкземплярного учета средств защиты информации, экс­плуатационной и технической документации к ним.

СЗИ считаются изъятыми из употребления, если исполнена предусмотренная эксплуатационной и технической документацией процедура удаления программного обеспечения СЗИ, и они полностью отключены от аппаратных средств.

3. ПОРЯДОК УЧЕТА ЭЛЕКТРОННЫХ НОСИТЕЛЕЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

В структурных подразделениях оператора, работающих с ИСПДн, учет носителей ПДн осуществляется специально уполномоченными из числа сотрудников лицами (далее - делопроизводителями).

При смене делопроизводителя, составляется акт приема-сдачи носи­телей ПДн и всех журналов учета, который утверждается руководителем или начальником подразделения, ответственного за обеспечение безопас­ности ПДн.

Делопроизводитель выдает носители ПДн только сотрудникам, имеющим допуск к ПДн.

Перед записью ПДн на носитель, сотрудник передает его делопроизводителю для учета.

При получении носителей ПДн из сторонних организаций они передаются делопроизводителю для учета, после чего могут быть выданы исполнителям для работы.

На носителях ПДн проставляются следующие реквизиты:

• регистрационный номер;
• дата и роспись делопроизводителя.

Учет носителей ПДн производится в «Журнале учета электронных носителей персональные данные».

Движение (выдача и возврат) носителей с ПДн должно отражаться в соответствующем «Журнале учета выдачи и возврата электронных носите­лей персональных данных». Выдача носителей ПДн сотруднику произво­дится под его личную роспись.

Передача носителей с ПДн другим сотрудникам, имеющим допуск к ПДн, производится только через делопроизводителя с обязательной запи­сью в «Журнале учета выдачи и возврата электронных носителей персо­нальных данных».

Листы журналов нумеруются, прошиваются и опечатываются.

4. ПОРЯДОК ХРАНЕНИЯ ЭЛЕКТРОННЫХ НОСИТЕЛЕЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

Носители информации с ПДн должны храниться в служебных помещениях, в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их физическую сохранность.

Запрещается выносить носители с ПДн из служебных помещений без согласования с делопроизводителем.

Сотрудники должны после окончания работы запирать полученные носители ПДн в личный сейф, в случае его отсутствия сдавать делопроизводителю.

Проверка наличия носителей ПДн проводится один раз в год комис­сией. В ходе ревизии комиссия определяет перечень носителей ПДн, кото­рые (информацию на которых) можно уничтожить.

Проверка наличия носителей ПДн при необходимости может прово­диться ответственным за обеспечение безопасности ПДн или специально уполномоченным лицом.

Уничтожение носителей ПДн (информации на них), утративших свое практическое значение и не имеющих исторической ценности, произво­дится по акту. В учетных журналах об этом делается отметка со ссылкой на соответствующий акт.

5. ОТВЕТСТВЕННОСТЬ ЗА ВЫПОЛНЕНИЕ РЕГЛАМЕНТА

На пользователей ИСПДн, ответственных за обеспечение безопасно­сти ПДн, администраторов безопасности, делопроизводителей возлагается персональная ответственность за выполнение всех обязанностей, возло­женных на них в настоящем Регламенте.

За правонарушения, совершенные в процессе своей деятельности должностные лица несут ответственность в пределах, определенных дей­ствующим административным, уголовным и гражданским законодательст­вом Российской Федерации.

Комментарии к статье "Учет средств защиты информации"

itsec2012.ru

Ежегодный контроль защищенности аттестованных объектов

Для объектов информатизации обрабатывающих сведения, составляющие государственную тайну, обязательное проведение периодического контроля эффективности применяемых мер, средств и систем защиты информации не реже 1 раза в год, с последующим оформлением соответствующих документов.Для автоматизированных систем класса 1Б периодический контроль эффективности применяемых СЗИ от НСД проводится не реже 1 раза в квартал.

Контроль защищенности объекта вычислительной техникивключает в себя:

• Анализ организационной структуры объекта, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации.
• Контрольные испытания объекта вычислительной техники путем проверки фактического выполнения установленных требований, объектовые контрольные исследования ОТСС на соответствие требованиям по защите информации от утечки по каналам ПЭМИН.
• Контрольные испытания автоматизированной системы на соответствие требованиям по защите информации от несанкционированного доступа в соответствии с определенным классом защищенности от НСД.
• Проверка эффективности применяемых на объектах средств и систем защиты информации.
• Определение необходимости применения дополнительных технических средств защиты информации.Выдача рекомендаций по устранению выявленных недостатков и применению необходимых технических средств защиты (при необходимости).
• Оформление протоколов проверок и заключения по результатам контроля защищенности с выводом о соответствии объектов вычислительной техники требованиям по безопасности информации.

Контроль защищенности выделенного помещения (ВП) включает в себя

• Проверка порядка организации и обеспечения режима доступа в помещение, выполнения организационно-режимных требований к ВП (“Инструкция №3-1“).
• Инструментальные измерения и оценка уровня защищенности выделенного помещения от утечки по акустическому речевому каналу (исследование звукоизоляционных свойств строительных конструкций и коммуникаций).
• Инструментальные измерения и оценка уровня защищенности выделенного помещения от утечки по виброакустическому каналу (исследование звукоизоляционных свойств строительных конструкций и коммуникаций).
• Специальные исследования ВТСС (слаботочных линий) по защищенности от утечки речевой информации.
• Выдача рекомендаций по устранению выявленных недостатков и применению необходимых технических средств защиты (при необходимости).
• Проведение расчетов, подготовка и оформление отчетной документации: протоколов испытаний (проверок) и заключения по результатам контроля защищенности с выводом о соответствии выделенного помещения требованиям по безопасности информации.

labvs.ru

Протокол аттестационных испытаний объекта информатизации на соответствие требованиям безопасности информации по направлению "Защита информации от несанкционированного доступа", страница 10

Управление модулем контроля целостности запускаемых задач осуществляет только Администратор АС. В случае необходимости установки в АС дополнительного программного обеспечения Администратор АС устанавливает (инсталлирует) программные файлы, вносит данные программные файлы в список "защищаемых файлов", целостность которых проверяется в дальнейшем.

Таблица 9 – Перечень каталогов, в которых размещены исполняемые файлы, подлежащие контролю целостности

№ п.п.	Контролируемые каталоги	Контролируемые файлы	Примечание
1.	C:\Program Files\Microsoft Office	*.com, *.exe, *.dll, *.vxd, *.sys	проверке подлежат файлы, размещенные в контролируемом каталоге и во вложенных в него каталогах
2.	C:\WINNT\

Для осуществления возможности периодического контроля целостности программной среды в дальнейшем было произведено контрольное суммирование всех папок и файлов жесткого диска (состоящего из логического диска C:) с помощью "Программы контроля состояния сертифицированных программных средств защиты информации ФИКС" версии 2.0.1 (голограмма № А ______________, сертификат Гостехкомиссии № 913, действителен до27.05.2007 г.) и выпущены соответствующие протоколы. По причине большого объема данные протоколы прилагаются в виде файлов на дискете (см. Приложение 1).

2.14.4  В АС отсутствуют средства разработки программного обеспечения, модификации объектного кода программ, а также других средств с помощью которых возможно изменение кода программ с целью изменения их алгоритма работы. Предусмотренные в пакете Microsoft Office 2000 Professional (Word 2000 Professional и Excel 2000 Professional) средства разработки макрокоманд ("макросов") и редактор Visual Basic в АС не установлены (не инсталлированы). Пользователь не имеет возможности их самостоятельной установки.

Выводы: Реализованные в АС меры обеспечения целостности программных средств соответствуют требованиям руководящих документов к заявленному классу защищенности АС –2А.

2.15  Проверка системы физической охраны ОТСС и носителей информации

2.15.1  ОТСС размещены в специально выделенном помещении отдела по защите информации и мобилизационной работы организации. Помещение (комната), в которой установлены ОТСС, предназначено для работы с документами с грифом "секретно" и "Для служебного пользования". После окончания работы (в нерабочее время) машинные носители информации и документы, содержащие секретные сведения, сдаются пользователями в отдел по защите информации и мобилизационной работы.

2.15.2  Доступ лиц в помещение ограничен, в помещении (в соответствии с утвержденным списком) могут находиться только допущенные сотрудники, форма допуска допущенных в помещение лиц – третья.

2.15.3  Пропускной режим на территорию предприятия регламентируется инструкцией о пропускном режиме. Требования инструкции соответствуют реальным условиям функционирования объекта. Порядок сдачи помещения объекта под охрану и снятия с охраны отражен в специальной инструкции. Ее требования обоснованы для конкретных условий и выполняются пользователями.

Выводы: Реализованная на объекте система физической Охраны ОТСС и носителей информации соответствует требованиям и может быть признана удовлетворительной для объектов вычислительной техники третьей категории и АС класса 2А.

2.16  Проверка наличия в АС администратора

2.16.1  В аттестуемой АС присутствует Администратор АС, действующий на основании приказа генерального директора и инструкции.

2.16.2  Администратор АС знает организационно-распорядительную документацию на объект информатизации, имеет опыт и навыки настройки (администрирования) системного и прикладного программного обеспечения, программной и аппаратной части СЗИ от НСД «Secret Net 2000» версия 4.0.

Выводы: Знания и навыки Администратора АС соответствует требованиям руководящих документов, он в состоянии проводить работы по настройке системы защиты информации и контролю выполнения организационно-распорядительных документов на объектевычислительной техники третьей категории и АС класса 2А.

2.17  Проверка механизма периодического тестирования и восстановления средств и систем защиты информации от НСД

2.17.1  Проверялось наличие организационно-распорядительной документации, предписывающей периодичность и порядок тестирования всех функций СЗИ от НСД. Осуществлялась проверка возможности периодического тестирования СЗИ путем анализа применяемых разработчиком средств контроля целостности компонентов системного программного обеспечения, реализующих функции СЗИ от НСД и наборов данных, используемых этими средствами.

2.17.2  Периодичность проведения тестирования – не реже одного раза в год.

2.17.3  Средствами восстановления СЗИ от НСД в АС являются дистрибутивы (инсталляционные файлы) с системным и прикладным программным обеспечением. Копии дистрибутивов хранятся на дисках CD-R отдельно для обеспечения возможной полной замены (переустановки) программного обеспечения в случае каких-либо отказов (сбоев) или нарушений в работе технических средств АС.

Выводы: В АС периодичность и порядок тестирования, средства восстановления СЗИ от НСД удовлетворяют требованиям руководящих документов к заявленному классу защищенности АС –2А.

2.18   Проверка сертификатов соответствия на применяемые средства и системы защиты информации от НСД

2.18.1  В АС установлена сертифицированная система защиты информации от несанкционированного доступа Secret Net 2000 версия 4.0 (автономный вариант) (Сертификат Гостехкомиссии России № 640 от 27.06.2002 г., действительно до 27.06.2005 г.).

vunivere.ru

Бесплатно документы по защите информации, информационной безопасности, защите персональных данных



	Полный пакет документов по защите информации 44 документа
	MS Word 2010 12 Mb -> СКАЧАТЬ
	Защита персональных данных 18 документов
	MS Word 2010 0,5 Mb) ->СКАЧАТЬ
	Все вместе: защита информации + защита персональных данных      62 документа
	MS Word 2010 12,5 Mb -> СКАЧАТЬ

 

+ Защита коммерческой тайны     2 документа MS Word 2010 0,05 Mb -> СКАЧАТЬ

Библиотека по защите информации   24 Книги   ОТКРЫТЬ

Выложенные здесь документы по информационной безопасности и защите персональных данных разработаны самостоятельно, с учетом имеющейся нормативной базы в стране. Документы использовались на строительно-монтажном предприятии, имеющем удаленные филиалы. Размещены они в таком порядке, в котором,на наш взгляд, их следует принимать и исполнять. Вы можете скачать документы сразу одним файлом или только требуемые документы.

Документы по защите информации

1. Концепция информационной безопасности организации, инструкции ответственных лиц.

      - концепция информационной безопасности организации -> СКАЧАТЬ       - должностная инструкция администратора безопасности -> СКАЧАТЬ       - должностная инструкция администратора ЛВС -> СКАЧАТЬ       - должностная инструкция администратора баз данных -> СКАЧАТЬ       - приказ об утверждении концепции информационной безопасности и назначании лиц, ответственных за защиту информации -> СКАЧАТЬ

2. Перечень информационных ресурсов организации.

      - перечень информационных ресурсов организации (образец) -> СКАЧАТЬ

3. Перечень защищаемых помещений.

      - приказ о защищаемых помещениях и помещених с ограниченным доступом -> СКАЧАТЬ       - приложение 1 - перечень защищаемых помещений и помещений с ограниченным лоступом (образец) -> СКАЧАТЬ       - приложение 2 - список сотрудников, имеющих доступ в помещения с ограниченным доступом (образец) -> СКАЧАТЬ       - технический паспорт защищаемого помещения -> СКАЧАТЬ

4. Планы мероприятий и планы работ по защите информации.

      - план действий по обеспечению информационной безопасности -> СКАЧАТЬ       - план работ по защите информации -> СКАЧАТЬ

5. Порядок разграничения прав доступа к информационным ресурсам.

      - порядок доступа к информационным, программным и аппаратным ресурсам -> СКАЧАТЬ       - приказ о порядке доступа к информационным ресурсам и утверждении их перечня -> СКАЧАТЬ

6. Положение об использовании программного обеспечения.

      - положение об использовании программного обеспечения -> СКАЧАТЬ       - приказ об использовании программного обеспечения -> СКАЧАТЬ

7. Положение об использовании сети Internet и электронной почты.

      - положение об использовании сети Интернет и электронной почты -> СКАЧАТЬ       - приложение 1 - список адресов электронной почты сотрудников -> СКАЧАТЬ       - приказ об использовании сети интернет и электронной почты -> СКАЧАТЬ

8. Положение о парольной защите.

      - положение по организации парольной защиты -> СКАЧАТЬ       - приказ по организации парольной защиты -> СКАЧАТЬ

9. Положение о резервном копировании.

      - положение о резерном копировании -> СКАЧАТЬ       - приказ о резервном копировании -> СКАЧАТЬ

10. Положение об антивирусном контроле.

      - положение об антивирусном контроле -> СКАЧАТЬ       - приказ об антивирусном контроле -> СКАЧАТЬ

11. Положение об использовании съемных носителях информации.

      - положение об использовании мобильных устройств и носителей информации -> СКАЧАТЬ

12. План обеспечения непрерывной работы и восстановления работоспособности.

      - план обеспечения непрерывности работы и восстановления автоматизированной системы -> СКАЧАТЬ       - приказ об введение в действие плана -> СКАЧАТЬ

13. Регламент реагирования на инциденты информационной безопасности.

      - регламент реагирования на инциденты информационной безопасности -> СКАЧАТЬ

14. Памятка сотруднику по информационной безопасности.

      - памятка по информационной безопасности -> СКАЧАТЬ

15. Сертификаты ФСБ, ФСТЭК, лицензии.

      - сертификаты ФСБ, ФСТЭК, лицензии на программные и аппаратные средства защиты информации -> СКАЧАТЬ

16. Нормативно-справочная информация.

      - руководящие документы Гостехкомиссии, ГОСТы, ISO, федеральные законы по защите информации -> СКАЧАТЬ

17. Образцы документов.

     а) для начальников структурных подразделений:       - заявка на предоставление доступа к информационным ресурсам -> СКАЧАТЬ       - служебная записка на изменение состава информационных ресурсов -> СКАЧАТЬ       - перечень информационных ресурсов организации -> СКАЧАТЬ       - заявка на предоставление работнику мобильного устройства или носителя информации -> СКАЧАТЬ       - перечень программного обеспечения, разрешенного для использования -> СКАЧАТЬ      б) для администратора информационной безопасности:       - журнал регистрации и учета заявок на предоставление доступа к информационным ресурсам -> СКАЧАТЬ       - журнал инструктажа пользователей с правилами доступа к ресурсам -> СКАЧАТЬ       - паспорт автоматизированного рабочего места -> СКАЧАТЬ       - перечень данных¸ подлежащих резервному копированию и хранению -> СКАЧАТЬ       - расписание резервного копирования -> СКАЧАТЬ       - список работников, имеющих право работы с мобильными устройствами вне территории -> СКАЧАТЬ       - картотека Инциденты информационной безопасности -> СКАЧАТЬ

18. Приказ о проведении работ по защите информации.

      - финальный приказ, конкретизирующий дальнейшие действия должностных лиц -> СКАЧАТЬ

Защита персональных данных

1. Политика в области защиты персональных данных.

      - политика организации в области обработки и защиты персональных данных -> СКАЧАТЬ

2. Перечень песональных данных.

      - перечень персональных данных -> СКАЧАТЬ

3. Список информационных систем, в которых циркулируют персональные данные.

      - список автоматизированных систем с персональными данными -> СКАЧАТЬ       - список неавтоматизированных систем -> СКАЧАТЬ       - персональные данные в медпункте -> СКАЧАТЬ

4. Положение об обработке персональных данных.

      - положение об обработке персональных данных -> СКАЧАТЬ       - приложение 7 - список должностных лиц, осуществляющих обработку персональных данных -> СКАЧАТЬ       - приложение 8 - журнал учета допуска к обработке персональных данных -> СКАЧАТЬ

5. Модель угроз и модель нарушителя.

      - модель угроз и нарушителя безопасности персональных данных -> СКАЧАТЬ

6. Инструкция об обработке персональных данных без использования средств автоматизации.

      - инструкция об обработке персональных данных без использования средств автоматизации -> СКАЧАТЬ

7. Приказы по персональным данным.

      - приказ об утверждении нормативных актов по защите персональных данных -> СКАЧАТЬ       - приказ о порядке исполнения нормативных актов по вопросам обработки персональных данных -> СКАЧАТЬ

8. Прочие документы.

      - что необходимо для реализации учета обрабатываемых персональных данных и их защиты -> СКАЧАТЬ       - журнал учета допуска работников к обработке персональных данных -> СКАЧАТЬ       - лист ознакомления с документами по защите персональных данных -> СКАЧАТЬ       - информационное письмо в Роскомнадзор о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных -> СКАЧАТЬ       - регламент проведения проверок органами Роскомнадзора -> СКАЧАТЬ       - регламент проведения проверок ФСБ РФ в области защиты персональных данных -> СКАЧАТЬ

Твитнуть

trinosoft.com

Этапы создания системы защиты персональных данных

Компания «Инфолайн» проводит полный цикл работ по созданию системы защиты персональных данных. 

 

1. Предпроектный этап

Проведение обследования информационной системы персональных данных.

Разработка документов:

1. Отчет об обследовании информационной системы персональных данных.

2. Акт классификации ИСПДн.

3. Приказ о назначении администратора защиты.

4. Приказ о назначении ответственного за защиту ПДн лица.

5. Приказ о назначении ответственных за эксплуатацию ИСПДн и СЗИ.

6. Приказ о назначении ответственных за эксплуатацию СКЗИ.

7. Приказ о перечне ПДн.

8. Приказ о списке лиц допущенных к ПДн.

9. Приказ об обеспечении безопасности ПДн, в т.ч. типовые формы журналов для учета:

- криптосредств, ключевых носителей;

- средств защиты информации;

- носителей защищаемой информации;

- хранилищ;

- нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и    модификации программных средств на компьютерах ИСПДн;

- пользователей, допущенных к информационным системам персональных данных;

- периодического тестирования средств защиты;

- проверок электронных журналов.

10.  Приказ об обработке ПДн.

11. Модель угроз ИСПДн (по методическим документам ФСТЭК).

12. Модель нарушителя ИСПДн (по методическим документам ФСБ).

13. Техническое задание на разработку СЗ ИСПДн.

 

 2. Проектный этап

- Проектирование системы защиты персональных данных;

- Поставка средств защиты информации;

- Внедрение средств защиты информации;

- Обучение пользователей;

- Разработка нормативно-распорядительных документов (около 40 документов)

 

3. Опытная и промышленная эксплуатация

- Разработка методики приемо-сдаточных испытаний средств защиты информации;

- Проведение испытаний;

- Протоколирование;

- Ввод в эксплуатацию системы защиты.

 

4. Аттестация или декларирование

- Анализ организационной структуры объекта, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и её соответствие требованиям нормативной документации по защите информации.

- Определение правильности категорирования объекта (технических средств) и классификации автоматизированной системы по требованиям безопасности информации, выбора и применения сертифицированных средств и систем защиты информации.

- Проверка уровня подготовки кадров и распределения ответственности персонала за обеспечение выполнения требований по безопасности информации.

- Комплексные аттестационные испытания объектов в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации, объектовые специальные исследования ОТСС на соответствие требованиям по защите информации от утечки по каналам ПЭМИН.

- Испытание автоматизированной системы на соответствие требованиям по защите информации от несанкционированного доступа.

- Проверка эффективности применяемых на объекте средств и систем защиты информации.

- Оформление протокола испытаний и заключений по результатам аттестационных испытаний в соответствии с установленными требованиями.

- Оформление «Аттестата соответствия требованиям безопасности информации».

www.infoline-rk.ru

---

• 
  Журнал ежесменного осмотра лифтов образец заполнения
• 
  Журнал ежедневного учета использования автотранспортных средств
• 
  Журнал в мире животных для детей
• 
  Детские журналы в украине подписка 2017
• 
  Список журналов вак 2017 по психологии
• 
  За рулем журнал официальный сайт россия
• 
  Журнал регистрации общего собрания участников ооо
• 
  Стоимость публикации статьи в вак журнале
• 
  Экспертиза моторных масел журнала за рулем
• 
  Субару форестер в журнале за рулем
• 
  Спасите наши души журнал читать онлайн