Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 3 След.
Ответить
RSS
Шаблоны документов, В соответствии см П-1119 по ПДн
Предлагаю, выкладывать шаблоны документов которые затронуло постановление П-1119.
Кто может поделиться ?
все шаблоны в соседних ветках...
и почему Вы ничего не предложили?
Изменено: Влдаислав - 21.11.2012 13:48:28
Цитата
Влдаислав пишет:
LEXX
Владислав, дык енто только начинаю работать в этой области.
Если не сложно скиньте ссылку на шаблоны :-)
я же говорю, все изменения, которые следует внести в существующие на данный момент шаблоны доков - обсуждаются в соседних ветках..
Вот держи еще один документ, Модель угроз....УЗ 3, правда в заключении немного не так, надо включить что еще и по ПП 1119 это все делалось.

http://zalil.ru/34013725
Спасибо большое Дмитрий :-)

Цитата
Дмитрий пишет:
Вот держи еще один документ, Модель угроз....УЗ 3, правда в заключении немного не так, надо включить что еще и по ПП 1119 это все делалось.

http://zalil.ru/34013725
Шаблон МУ выложили.

Вот примерное содержание Акта классификации ИСПДн (с моими сокращениями :) )


Цитата
Настя пишет:
комиссия, назначенная приказом..., в составе ..., провела классификацию ИСПДн....
В ходе работы комиссия установила:
категория..., объём..., структура ИС..., наличие подключений к ССОП..., режим обработки ПДн ..., режим разграничения прав доступа..., местонахождение технических средств ИСПДн;
В соответствии с "Приказом трёх" и ПП-1119 и на основании исходных данных комиссия решила
ИСПДн .... установить УЗ ......

Примерное содержание Акта обследования ИСПДн (его делать необязательно):



Цитата
Настя пишет:
1. Сведения об организации обработки ПДн
Размещение ИСПДн, помещения, пропускной режим, обработка, допуск, перечень ПДн, перечень ИСПДн, журналы и т.д.
2. Сведения об ИСПДн
х ИСПДн состоящих из х АРМ, х серверов, общая таблица.
2.1. конфигурация ИСПДн
2.2. топология
2.3 подключение к сетям общего доступа
2.4 перечень технических средств
2.5. перечень общесист., прикл., антивирусного обесп.
2.6 описание режимов обработки
2.7. описание степени учвастия персонала в обработке
Приложение Схема сети
Цитата
Настя пишет:
Вот примерное содержание Акта классификации ИСПДн
Я думаю стоит оставить акт классификации, как таковой, у кого он есть, отдельным документом, т.к. в настоящее время его обязательное наличие не требуется, а что будет потом - неизвестно. У кого его нет, т.к. в настоящее время его наличие обязательно не требуется, - делать документ следующего содержания (также с сокращениями):

Акт определения требований для обеспечения безопасности ИСПДн ".....":
"Комиссия, назначенная приказом ....., в составе ..... провела обследование ИСПДн "..." на предмет определения требований, необходимых для обеспечения в ИСПДн "..." безопасности информации, содержащей персональные данные.
В ходе работы комиссией установлено:
1. Актуальные для ИСПДн угрозы, согласно модели угроз и ПП-1119 от 01.11.2012г. соответствуют .... типу угроз.
2. Категория;
3. Объем;
4. В ИСПДн обрабатываются персональные данные исключительно/не только сотрудников "...".

В соответствии с ПП-1119 от 01.11.2012г. комиссия решила установить для ИСПДн "...." требования по обеспечению безопасности информации, содержащей персональные данные равными требованиям, установленным для ........ уровня защищенности.

P.S. мое мнение.
По вашей рекомендации сделал такой Акт классификации.... пойдет или что то еще надо добавить? Или надо сделать разные акты для 2 выявленных ИСПДн?

http://zalil.ru/34017521
Дмитрий, я же вам уже писала, что в Акте классификации должна быть только информация о классификации :) .
Не нужно сюда включать инф. о базах данных, 1С и т.д. Т.к. это уже описание ИСПДн, а если вы хотите описать ИСПДн, то делайте отдельный документ, потому что информации о программе и базе данных Парус и 1С явно недостаточно для описания!

Акт кл-ции сделайте на каждую ИСПДн отдельно.

ВОТ мой пример шаблона для Акта классификации (как вариант, можно назвать АКТ определения уровня защищенности):
http://zalil.ru/34017660
Хорошо..спасибо!
Переработаю. :D
Все...только эти 2 документа переделывать нужно или еще какой нибудь??? :D
В блоге Андрея Прозорова перечень документов, ИМХО с баааальшим запасом
Цитата
Сергей С. пишет:
перечень документов
Ну, на мой взгляд, из новых документов в этом перечне только акт определения уровня защищенности. Т.е. все документы, которые требовались ранее + акт определения УЗ, вместо акта классификации + 100500 документов, предоставление которых регуляторам не требуется.
Изменено: Владимир - 03.12.2012 18:20:32
Цитата
Сергей С. пишет:
В блоге Андрея Прозорова перечень документов, ИМХО с баааальшим запасом
Странные вы! Судите по документам по их количеству, а не по наполнению. Вообще большинство документов можно "слить" в 1, и тогда у вас останется всего несколько: общедоступная политика, положение об обработке и обеспечению безопасности ПДн, 1 приказ, модель угроз, шаблон согласия. И это все;))) Больше документов и не требуется! Правда эти будут "Толстыми и полумертвыми". Но меньше значит лучше...
Цитата
Владимир пишет:
Цитата
Сергей С. пишет:
перечень документов
Ну, на мой взгляд, из новых документов в этом перечне только акт определения уровня защищенности. Т.е. все документы, которые требовались ранее + акт определения УЗ, вместо акта классификации + 100500 документов, предоставление которых регуляторам не требуется.
Кстати, Андрей Прозоров в своем блоге дал комментарий о том, какие документы надо переделывать в связи с приходом пп1119. Вроде по делу говорит.

http://80na20.blogspot.ru/2012/12/blog-post.html
У кого нибудь есть шаблон документа "Протокол оценки вреда, который может быть причинен субъектам ПДн", как его вообще определять??? Четких методик нигде нет. Опять на абум делать? :D
Цитата
Дмитрий пишет:
У кого нибудь есть шаблон документа
Есть, "Методика определения актуальных угроз безопасности....." называется :) Не знаю насколько нужно плодить документы, т.к. оценка вреда производится в модели угроз.
По этой методике я уже сделал "Модель угроз" но я там на абум писал что ущерб средний и все.
Так как определить его не представляется возможным. Нет четкой методики определения ущерба.
Цитата
Дмитрий пишет:
но я там на абум писал
Именно так в настоящее время уважаемые регуляторы предлагают оценивать ущерб :) Так что в соответствии с настоящим перечнем действующих НПА в области защиты ПДн, Вы все сделали правильно :)
Страницы: 1 2 3 След.
Ответить
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку