Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Акт обследования ИСПДн, вопрос по структуре
Здравствуйте,
Ниже представлено содержание моего Акта обследования ИСПДн.
Акт построен согласно последовательности работ: сначала была исследована инфраструктура, потом ЛВС организации, потом бизнес-процессы обработки ПДн. Исходя из состава обрабатываемых ПДн, целей обработки, допущенных к ПДн лиц выделил 2 ИСПДн. Описал ИСПДн по отдельности.

Проблема с пунктами 3.3 и 3.4. - достаточно ли ссылки на одну из таблиц уже готового "Перечня ПДн" с такими столбцами: "1.наименование ресурса(сетевой диск, БД, эл\бум папка) 2. Место хранения 3. Субъект доступа (должность)


1. Доступ на территорию организации.
2. Инфраструктура
2.1. Электропитание здания.
2.2. Телефонная связь.
2.3. Пожарная и охранная сигнализация.
2.4. Сетевая инфраструктура (карта СКС, функц.схема, ip-адресация и маршрутизация, подключение к сетям общего пользования)
3. Описание бизнес-процессов обработки ПДн.
3.1. Аналитические блок-схемы, описание технологических процессов, целей, сроков, оснований обработки
3.2. Обработка ПДн.
— Ввод информации:
— Отображение информации:
— Использование и модификация:
— Хранение информации:
— Передача информации:
— Вывод информации:
3.3.Объекты доступа: информационные ресурсы.
3.4.Субъекты доступа: список должностей и назначенные им роли, функции администратора, пользователя.
4. Выделение ИСПДн.
4.1. Выделение областей вычислительной сети, где ведется обработка ПДн.
4.2. Присвоение наименований отдельным ИСПДн.
4.3. Определение границ ИСПДн относительно контролируемой зоны (схема).
5. Описание ИСПДн1
- с какими бизнес-процессами связана
- технические средства
- программные средства
-средства защиты (резервное копирование и др)
-..... (исходные данные для классификации)

6. Описание ИСПДн2.
Добрый день. Дико извиняюсь, что влез в вашу тему, но она мне показалось самой близкой к моей проблеме. Ситуация такая: я системный администратор одного предприятия. Обработка персональных данных ограничивается 1С Бухгалтерия 8.1, 1С ЗУП 8.1 и у бухгалтера кассира есть листы excel, в которых она ведет информацию о ссудах. Согласно классификации мы относися к К3, в связи с этим на предприятии должны быть составлены следующие документы:
1. Приказ о назначении ответственного лица
2. Перечень ИСПДн,
3. Произведена классификация и так понимаю составлен акт обследования ИСПДн
4. Разработана модель
5. Заведены все необходимые журналы (учет носителей инфы, матрица доступа пользователей, эл. журнал доступа пользователей к ПД)
6. Выполнены методы и способы для 3его класса, согласно изложенного здесь http://www.fstec.ru/_docs/doc_781.htm

Я ничего не упустил?
Цитата
Roman пишет:
...
Я ничего не упустил?
Отталкивайтесь от обязательных требований нормативно-правовой базы - и тогда точно ничего не упустите. Вот пример.
Grand Securities - исполнение Закона "О персональных данных"
Документы, проверяемые Роскомнадзором описаны в Регламенте проведения проверок Роскомнадзора (пункт 64, вроде). Найти документ можно на rsoc.ru
1. Приказ о назначении комиссии по приведению ОАО___ в соответствие 152-ФЗ
2. План мероприятий по приведению ОАО___ в соответствие 152-ФЗ
3. Перечень ПДн, обрабатываемых ОАО____
4. Акт обследования ИСПДн
5. Частная модель угроз (со списком актуальных угроз)
6. Акты классификации ИСПДн
7. Требования к мерам безопасности ПДн
......... это документы предпроектной стадии для специальной ИСПДн, если ИСПДн типовая - поменять местами пункты 5 и 6
кроме этого нужно иметь на руках согласие на обработку ПДн субъектов и уведомление Роскомнадзора об обработке ПДн
общие принципы обработки и защиты ПДн в организации дложны быть описаны в Положении о персональных данных организации, работники д. б. ознакомлены под роспись
У нас ПД только в 1С (по ней мы классифицируемся как 3ий класс) Потом у бух.кассира есть листы эксель с ФИО (по этому мы получаемся как 4й класс) и с субъектами ПД предприятие связывает трудовой договор, поэтому получается что Роскомнадзор уведомлять не надо, и согласие тоже не надо, но для подстраховки можно оформить как доп.соглашение к трудовому договору.
И еще такой вопрос назрел:
как говорил выше ПД у нас только в 1С: Бухгалтерия и ЗУП, получается 1С надо рассматривать как одну ИСПДн? Потом то, что хранится у бух.кассира в экселивских листах это 2ая ИСПДн? и есть еще карточки работников, но они на бумаге и в эл. виде нигде не фигурируют
Это все одна ИСПДн. По цели обработки классифицируйте. Одна программа никак не может называться "системой".
Страницы: 1
Ответить
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку