Технический паспорт испдн

• наименование ИСПДн;
• адрес местонахождения ИСПДн;
• данные об утвержденной частной модели угроз безопасности ПДн в ИСПДн;
• перечень персональных данных, обрабатываемых в ИСПДн;
• перечень технологических процессов обработки ПДн, используемых в ИСПДн;
• перечень основных технических средств и систем, входящих в состав ИСПДн;
• перечень вспомогательных технических средств, входящих в состав ИСПДн;
• перечень средств защиты информации, установленных в ИСПДн.

Технический паспорт ИСПДн разрабатывается в соответствии со специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К). Прямых требований к составлению технического паспорта для ИСПДн нет, но они косвенно вытекают из других требований.

Перечень вспомогательных технических средств, входящих в состав ИСПДн (средств вычислительной техники, не участвующих в обработке персональных данных) содержит данные о наименовании и типе вспомогательных технических средств, мест установки, количестве технических средств, примечание.

ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.

Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации. Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.

1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
4. Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
5. Разработка технического задания на создание системы защиты персональных данных.
6. Приобретение средств защиты информации.
7. Внедрение системы защиты персональных данных.
8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

Достаточно ли использования сертифицированного по требованиям ФСТЭК программного обеспечения обработки ПДн для выполнения всех требований закона «О персональных данных»? Этот вопрос регулярно возникает у организаций, вынужденных обрабатывать персональные данные в бухгалтерских и кадровых программах.

Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:

Технический паспорт на информационную систему персональных данных образец 2021 года

3 . Общие сведения об ИСПДн. Наименование ИСПДн:.2. Физическое расположение ИСПДн. 3. Частная модель угроз безопасности ПДн в ИСПДн утверждена..200 г..4. Класс ИСПДн: K3 (акт классификации ИСПДн от..200 г).5. Перечень ПДн, обрабатываемых в ИСПДн персональных данных, обрабатываемых в ИСПДн Наименование персональных данных.

• наименование ИСПДн;
• адрес местонахождения ИСПДн;
• данные об утвержденной частной модели угроз безопасности ПДн в ИСПДн;
• перечень персональных данных, обрабатываемых в ИСПДн;
• перечень технологических процессов обработки ПДн, используемых в ИСПДн;
• перечень основных технических средств и систем, входящих в состав ИСПДн;
• перечень вспомогательных технических средств, входящих в состав ИСПДн;
• перечень средств защиты информации, установленных в ИСПДн.

1. «Приказ о назначении комиссии по сопровождению аттестации автоматизированной системы».
2. «Перечень автоматизированных систем, используемых для обработки конфиденциальной информации и защищаемых помещений, в которых проводятся конфиденциальные мероприятия».
3. «Перечень сведений конфиденциального характера»
4. «АКТ классификации автоматизированной системы (АС)»
5. «Схема границы контролируемой зоны»
6. «Перечень лиц, обслуживающих автоматизированную систему»
7. «Приказ о назначении администратора информационной безопасности (уполномоченного по защите информации)»
8. «Данные по уровню подготовки кадров, обеспечивающих защиту информации»
9. «Инструкция по обеспечению защиты конфиденциальной информации, обрабатываемой в автоматизированных системах»
10. «Состав программного обеспечения автоматизированной системы»
11. «Перечень лиц, имеющих право самостоятельного доступа в помещение №____ с автоматизированной системой»
12. «Перечень лиц, имеющих право самостоятельного доступа к штатным средствам автоматизированной системы»
13. «ТЕХНИЧЕСКИЙ ПАСПОРТ автоматизированной системы»
14. «Перечень защищаемых ресурсов автоматизированной системы и уровень их конфиденциальности»
15. «Матрица доступа субъектов автоматизированной системы к ее защищаемым информационным ресурсам»
16. «Описание настроек системы разграничения доступа системы защиты информации от несанкционированного доступа автоматизированной системы»
17. «Описание технологического процесса обработки информации в автоматизированной системе»
18. «Пример Памятки по обеспечению режима безопасности и эксплуатации оборудования, установленного в защищаемом помещении ___Серверная»
19. «Пример ПЕРЕЧНЯ сведений конфиденциального характера»
20. «Пример Технический паспорт защищаемого помещения»

Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; контактные телефоны родителей учащихся (законных представителей), сведения об учебном процессе и занятости обучающегося ( перечень изученных, изучаемых предметов и факультативных курсов, успеваемость, в том числе результаты текущего контроля успеваемости, промежуточной и итоговой аттестации, данные о посещаемости уроков, причины отсутствия на уроках, поведение в школе, награды и поощрения и др.)

9) условие обработки персональных данных — для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.

Классы защиты персональных данных

Постановлением № 1119 от 1 декабря 2012 г. вместо применяемых в России ранее классов информационных систем персональных данных (ИСПДн) применяются уровни защищенности ПД. Этот документ определяет конкретные требования к защите ПД при работе с ними в информсистемах и к уровням их защищенности.

К основным данным персонального характера относятся ФИО, дата рождения, адрес проживания, имущественное состояние, наличие образования, принадлежность к какой-либо профессии. Операторами этих и многих других данных являются госорганы, муниципальные органы, физические и юридические лица, обрабатывающие ПД.

• II, включая работу с ПД общедоступного характера с количеством людей до 100 тысяч человек;
• II с работой с другими категориями до 100 тысяч человек;
• III с обработкой специальных категорий до 100 тысяч человек;
• III с использованием биометрических ПД;
• III с работой с другими категориями, превышающими 100 тысяч человек (кроме персонала оператора).

К числу актуальных угроз безопасности ПД можно отнести намеренный или случайный несанкционированный доступ, в результате чего данные могут быть уничтоженными, сфальсифицированными, измененными, блокированными, скопированными, распространенными средствами массовой информации и т. п.

1. Биометрические содержат информацию о биологии и физиологии субъекта, с помощью которой становится возможной идентификация его персоны.
2. Специальные включают в себя расовую и национальную принадлежность, политические предпочтения, религиозные или философские верования и убеждения, информацию о состоянии физического и психического здоровья, сексуальном выборе и жизни.
3. К общедоступным отнесены сведения об основных персональных данных, являющихся достоянием широких масс благодаря легкодоступным источникам, в которых они хранятся и обрабатываются.
4. Иные ИСПДн используют данные, отсутствующие в предыдущих группах.

– пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, дни рождения и другие памятные даты, номера телефонов, автомобилей, адреса места жительства, наименования АРМ, общепринятые сокращения) и другие данные, которые могут быть подобраны злоумышленником путем анализа информации;

5.7. Печать документов, содержащих ПДн, осуществляется только при наличии производственной необходимости на принтер, подключенный Ответственным к АРМ Пользователя. Все бумажные носители, не подлежащие учету по каким-либо техническим или иным причинам (сбой принтера при печати, обнаружение ошибок в документе после распечатки и т.д.) уничтожаются незамедлительно с применением уничтожителей бумаги. Распечатанные черновые бумажные варианты вновь создаваемых документов, содержащих ПДн, уничтожаются с применением уничтожителей бумаги незамедлительно после подписания (утверждения) окончательного варианта документа.

– немедленно сообщать руководителю структурного подразделения или ответственному за обеспечение безопасности ПДн в ИСПДн (далее – Ответственный) о нештатных ситуациях, фактах и попытках несанкционированного доступа к обрабатываемой информации, о блокировании, исчезновении (искажении) защищаемой информации;

1.4. Пользователи, участвующие в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющие доступ к аппаратным средствам, программному обеспечению и обрабатываемой информации, несут персональную ответственность за свои действия.

– перед началом обработки в ИСПДн файлов, хранящихся на съемных носителях информации, Пользователь должен осуществлять проверку файлов на наличие компьютерных вирусов. Антивирусный контроль на АРМ должен осуществляться Пользователем не реже одного раза в неделю;

Документы по персональным данным необходимые в 2021 году

Правила осуществления внутреннего контроля устанавливают регламент проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленных законодательством о персональных данных и принятыми в соответствии с ним локальными актами оператора.

Информированное согласие пользователя обычно включает в себя: сведения об операторе, цели обработки персональных данных, виды обрабатываемых данных, кому персональные данные могут передаваться. Текст информированного согласия размещается под формами сбора персональных данных на сайте вместе со ссылкой на Политику конфиденциальности.

— Постановление Правительства РФ от 01.10.2012 г. №1119
— Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 14.02.2008 г.);
— Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 15.02.2008 г.)

Данный документ направлен на повышение прозрачности процессов обработки персональных данных и обычно включает в себя следующие разделы: общие положения, основания и условия обработки персональных данных, права пользователей при обработке их персональных данных, цели обработки персональных данных, виды обрабатываемых данных, информацию о передаче персональных данных третьим лицам, сведения об обеспечении безопасности персональных данных, а также информацию об операторе и обратную связь.

Ответственный за обеспечение безопасности персональных данных назначается приказом руководителя в соответствии с пунктом 14 «Требований к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

CorpSoft24: Хостинг ИСПДн

• Средства межсетевого экранирования (МЭ);
• Средства криптографической защиты информации, передаваемой по открытым каналам связи (СКЗИ);
• Средства защиты среды виртуализации (ЗСВ);
• Средства защиты от несанкционированного достатка (СЗИ от НСД);
• Средства антивирусной защиты (АВЗ);
• Средства анализа защищенности и поиска уязвимостей (АНЗ);
• Средства обнаружения вторжений (СОВ);
• Средства резервного копирования и восстановления;

• Обследование ИСПДн;
• Частная модель угроз на сегмент ИСПДн;
• Шаблоны организационно-распорядительной документации (ОРД);
• Аудит процессов обработки персональных данных;
• Классификация ИСПДн;
• Разработка модели угроз;
• Разработка комплекта ОРД;
• Разработка ТЗ на систему защиты персональных данных (СЗ ПДн);
• Разработка проектной документации на СЗ ПДн
• Внедрение СЗ ПДн;
• Аттестация ИСПДн (технический паспорт системы, ПМИ, аттестационные испытания, акты, протоколы, аттестат);

• Защита персональных данных на сайте;
• Личный кабинет пользователя;
• МИС и телемедицина;
• Программы лояльности;
• E-mail/SMS-уведомления;
• CRM-системы;
• Прямой маркетинг;
• Доставка/возврат товара;
• Омниканальные продажи;
• Организация бухгалтерского и кадрового учета;