Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1
Письмо оператору ПДн
Вот вариант для школ:

ДИРЕКТОРУ ГОУ СОШ № __________
_______________________________
Адрес:
От: __________________________(Фамилия, имя, отчество)
Адрес: ___________________________________
Паспортные данные: Паспорт № _____________________________
Выдан (кем и когда): ____________________________________
законного представителя несовершеннолетнего:
______________________(Фамилия, имя, отчество)
Адрес: ___________________________________
Свидетельство о рождении № __________________________
Выдано (кем и когда): ____________________________________
ЗАПРОС НА ПОЛУЧЕНИЕ ИНФОРМАЦИИ
О ПЕРСОНАЛЬНЫХ ДАННЫХ
Ранее я предоставлял ГОУ СОШ № ____________ согласие на обработку персональных данных несовершеннолетнего ______________________ (Ф.И.О.), законным представителем которого я являюсь на основании ст. 64 п. 1 Семейного кодекса РФ[1], включая согласие на право распространения указанных персональных данных и передачи их третьим лицам.
В соответствии со ст. 14 Федерального закона «О персональных данных» прошу предоставить мне следующие сведения:
1) Какие персональные данные несовершеннолетнего имеются в распоряжении ГОУ СОШ № _____, из каких источников и как они были получены;
2) Каким третьим лицам (физическим или юридическим лицам, государственным органам или органам местного самоуправления и т.п.) передавались персональные данные несовершеннолетнего, какие именно персональные данные передавались и когда.
Указанную информацию прошу предоставить мне в письменной форме.
Напоминаю, что, в соответствии со ст. 20 п. 1 Федерального закона «О персональных данных» указанная информация должна быть предоставлена мне в течение десяти рабочих дней со дня получения настоящего запроса.
Дата: __,__._____ г.
Подпись __________________________(___________________)




[1] Для родителей. Для усыновителей «ст. ст. 64 п. 1, 137 п. 1 Семейного Кодекса РФ», опекуны – «ст 15 п. 2 Федерального закона «Об опеке и попечительстве», попечители – «ст 15 п. 3. Федерального закона «Об опеке и попечительстве» .
[ Закрыто] Документация по ИСПДН
ВОТ ВАМ ПОЛНЫЙ ПЕРЕЧЕНЬ

Организационно - распорядительные документы
Приказы
1.
Приказ о введении режима обработки персональных данных
2.
Приказ об организационных мероприятиях по защите информации, содержащей персональные данные (в приказе определён перечень помещений, где обрабатываются персональные данные и определены ответственные за эти помещения)
3.
Приказ о введении перечней персональных данных сотрудников и клиентов
4.
Приказ о создании комиссии по проведению классификации ИСПД
5.
Положение о комиссии по обеспечению безопасности ПДн
6.
Приказ о назначении сотрудников, допущенных к обработке и доступе к персональным данным
7.
Приказ о введении в действие Политики информационной безопасности информационной системы персональных данных
8.
Политика информационной безопасности информационной системы персональных данных
9.
Приказ об утверждении форм согласия на обработку персональных данных
10.
Формы согласия на обработку персональных данных
11.
Приказ об утверждении Инструкции пользователей по обработке персональных данных без использования средств автоматизации
12.
Приказ о введении в действие Положения по организации и проведению работ по обеспечению безопасности персональных данных сотрудников и клиентов при их обработке в информационной системе персональных данных
13.
Положение по организации и проведению работ по обеспечению безопасности персональных данных сотрудников и клиентов при их обработке в информационной системе персональных данных
14.
Приказ о введении в действие Положения о порядке хранения и уничтожения носителей персональных данных
15.
Положение о порядке хранения и уничтожения носителей персональных данных
16.
Приказ о введении в действие Электронного журнала обращений по ознакомлению с персональными данными
17.
Приказ о введении Инструкции по порядку работы пользователей ПЭВМ при обработке ПДн в компьютерных сетях общего пользования
18.
Приказ об утверждении мест хранения материальных носителей персональных данных
19.
Приказ об утверждении перечня автоматизированных информационных систем предназначенных для обработки персональных данных и иной конфиденциальной информации
20.
Приказ о назначении ответственного за ДСП делопроизводство


Другие документы
21.
Аналитическое обоснование необходимости создания системы защиты информации в АИС
22.
Модель угроз и нарушителя безопасности информации
23.
Частное техническое задание на создание системы защиты информации
24.
Акт классификации ИСПДн
25.
Перечень сведений конфиденциального характера
26.
Положение по работе с документами и носителями информации, содержащими сведения конфиденциального характера
27.
Перечень защищаемых информационных ресурсов автоматизированной информационной системы
28.
Перечень технических и программных средств, разрешенных к эксплуатации в составе автоматизированной информационной системы
29.
Список работников (пользователей) имеющих право доступа к ресурсам автоматизированной информационной системы
30.
Технология обработки информации в автоматизированной информационной системе
31.
Технический паспорт автоматизированной информационной системы
32.
План контролируемой зоны (приведен в техническом паспорте)
33.
Акт о готовности средств защиты информации к использованию в автоматизированной информационной системе
34.
Журналы: учета нештатных ситуаций, учета идентификаторов пользователей автоматизированной системы, учёта машинных носителей информации, учета выполнения профилактических работ, учёта копировально-множительных работ.
35.
Копии сертификатов соответствия требованиям по безопасности информации на используемые средства защиты информации.
36.
Шаблон акта проверки соблюдения режима безопасности при обработке ПДн
37.
Лист ознакомления с руководящими и регламентирующими документами по обработке и защите персональных данных и конфиденциальной информации
38.
Соглашение об обеспечении безопасности персональных данных
39.
Обязательство о соблюдении требований обращения с защищаемой информацией (персональными данными)


Инструкции
40.
«Инструкция ответственному за организацию обработки и защиты информации на объектах информатизации
41.
«Инструкция администратору безопасности объектов информатизации
42.
«Инструкция пользователю объектами информатизации
43.
«Инструкция по организации парольной защиты в автоматизированной системе
44.
«Инструкция по организации антивирусной защиты в автоматизированных системах
45.
«Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств в автоматизированных системах
46.
«Инструкция по действиям персонала при нештатных ситуациях на объектах информатизации
47.
Инструкция о порядке маркировки носителей информации, содержащих персональные данные
48.
Инструкция по работе с обезличенными персональными данными
49.
«Инструкции пользователей по обработке персональных данных без использования средств автоматизации»
50.
«Инструкции по порядку работы пользователей ПЭВМ при обработке ПДн в компьютерных сетях общего пользования»
51.
Инструкция по порядку хранения и обращения с документами ДСП

[ Закрыто] Что писать в инструкции пользователя?
ВОТ ТАКОЙ ВАРИАНТ:

1. ОБЩИЕ ПОЛОЖЕНИЯ

Настоящая Инструкция разработана для обеспечения защиты персональных данных и другой конфиденциальной информации в ООО «Управляющая организация ЖКХ»», обрабатываемой на ПЭВМ.
Персональные данные относятся к категории информации ограниченного распространения.
Наиболее вероятными каналами утечки информации для информационной системы персональных данных (ИСПДн) являются:
§ несанкционированный доступ к информации, обрабатываемой в ИСПДн;
§ хищение технических средств с хранящейся в них информацией или отдельных носителей информации;
§ просмотр информации с экранов дисплеев мониторов и других средств ее отображения с помощью оптических устройств;
§ воздействие на технические или программные средства в целях нарушения целостности (уничтожения, искажения) информации, работоспособности технических средств, средств защиты информации, адресности и своевременности обмена, в том числе электромагнитного, через специально внедренные электронные и программные средства («закладки»).
Работа пользователей ПЭВМ строится на следующих принципах:
§ принцип персональной ответственности – в любой момент времени за каждый документ (не зависимо от типа носителя: бумажный, электронный) должен отвечать и распоряжаться конкретный сотрудник, выдача документов осуществляется только под роспись;
§ принцип контроля и учета – все операции с документами должны отражаться в соответствующих журналах (передача из рук в руки, снятие копии и т.п.).
2. ОБЯЗАННОСТИ СОТРУДНИКОВ, ИМЕЮЩИХ ДОСТУП К ПДН.

Сотрудники, получившие доступ к персональным данным, обязаны хранить в тайне сведения ограниченного распространения, ставшие им известными во время работы или иным путем и пресекать действия других лиц, которые могут привести к разглашению такой информации. О таких фактах, а также о других причинах или условиях возможной утечки персональных данных немедленно информировать ответственного за организацию защиты персональных данных.
Персональные данные не подлежат разглашению (распространению). Прекращение доступа к такой информации не освобождает сотрудника от взятых им обязательств по неразглашению сведений ограниченного распространения.
В случае оставления занимаемой должности сотрудник, который имел доступ к персональным данным, обязан вернуть все документы и материалы, относящиеся к деятельности ООО «Управляющая организация ЖКХ» в этой области.
Сотрудники при работе с персональными данными обязаны:
Строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами ИСПДн;
Выполнять требования, касающиеся защиты информации;
Знать и строго выполнять правила работы со средствами защиты информации (средствами разграничения доступа), используемыми на персональных компьютерах;
Хранить в тайне свой аудентификатор (пароль доступа в автоматизированную систему, либо ключевой носитель), а также информацию о системе защиты, установленной в ИСПДн;
Использовать для работы, только учтенные съемные накопители информации (гибкие магнитные диски, компакт диски и т.д.);
Контролировать обновление антивирусных баз;
Немедленно ставить в известность ответственного за защиту персональных данных:
§ в случае утери носителя с персональными данными или при подозрении компрометации личных ключей и паролей;
§ нарушений целостности пломб (наклеек с защитной и идентификационной информацией, нарушении или несоответствии номеров печатей) на аппаратных средствах ПЭВМ или иных фактов совершения в его отсутствие попыток несанкционированного доступа к защищенной ИСПДн;
§ несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств ИСПДн.
§ необходимости обновления антивирусных баз;
§ обновлении программного обеспечения;
§ проведении регламентных работ, модернизации аппаратных средств или изменении конфигурации ИСПДн;
§ необходимости вскрытия системных блоков персональных компьютеров входящих в состав ИСПДн;
§ резервном копировании информации;
§ и т.д.
Уборка помещений должна производиться под контролем сотрудника, имеющего доступ в помещение и постоянно в нем работающего.
Вынос ПЭВМ, на которой проводилась обработка персональных данных, за пределы территории здания с целью их ремонта, замены и т. п. без согласования запрещен. При принятии решения о выносе компьютеров, жесткие магнитные диски должны быть демонтированы. В случае действия гарантийных обязательств фирмы-поставщика вскрытие корпуса и демонтаж носителей должны быть предварительно согласованы с ней.
ПЭВМ, используемые для работы с персональными данными, должны быть размещены таким образом, чтобы исключалась возможность визуального просмотра экрана видеомонитора, не имеющими отношения к конкретно обрабатываемой информации сотрудниками.
Запрещается:
- передавать, кому бы то ни было устно или письменно сведения ограниченного распространения;
- использовать сведения ограниченного распространения при подготовке открытых докладов;
- выполнять работы с документами ограниченного распространения на дому, выносить их из служебных помещений, снимать копии или производить выписки из таких документов без разрешения руководителя;
- накапливать ненужные для работы персональные данные;
- передавать или принимать без расписки документы ограниченного распространения;
- оставлять на рабочих столах, в столах и незакрытых сейфах документы ограниченного распространения, а также оставлять незапертыми и не опечатанными после окончания работы сейфы, помещения с документами, содержащими персональные данные сотрудников и клиентов;
- использовать компоненты программного и аппаратного обеспечения ИСПДн в неслужебных целях;
- самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств рабочих станций или устанавливать дополнительно любые программные и аппаратные средства;
- осуществлять обработку персональных данных в присутствии посторонних (не допущенных к данной информации) лиц;
- записывать и хранить персональные данные на неучтенных носителях информации (гибких магнитных дисках и т.п.);
- оставлять включенной без присмотра свою рабочую станцию (ПЭВМ), не активизировав средства защиты от НСД (временную блокировку экрана и клавиатуры);
- умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации.

3. ОТВЕТСТВЕННОСТЬ


Пользователь несет ответственность за соблюдение требований настоящей инструкции, а также других нормативных документов в области защиты информации. За разглашение информации ограниченного распространения, а также за нарушение порядка работы с документами или машинными носителями, содержащими такую информацию, работники могут быть привлечены к дисциплинарной или иной, предусмотренной законодательством ответственности.
Журналы, которые должен вести специалист по ЗИ
Цитата
Шекспир пишет:
Доброго времени суток!

Подскажите, пожалуйста, какие журналы должен вести специалист по ЗИ?


1. Журнал поэкземплярного учета СКЗИ
2. Журнал учета отчуждаемых машинных носителей
3. Журнал регистрации запросов и обращений субъектов ПДн
4. Журнал планов проведения мероприятий \ отчет по итогам

Какие еще журналы нужны?
Есть ли формы, которые строго определены?
Журнал должен быть сшит?
Вы не много не правильно поставили вопрос. Специалист по ЗИ отвечает не только за ПДн.
И журналов у него довольно много. Особенно, если есть гостайна, ну это другой вопрос.

Если Вам нужны журналы по организации защиты ПДн , то тогда вот перечень:

учета нештатных ситуаций,
учета идентификаторов пользователей автоматизированной системы,
учёта машинных носителей информации,
учета выполнения профилактических работ,
учёта копировально-множительных работ.
УЗ_3 и АУ_3, Необходимость сертифицированных средств средств
читайте

Требования к защите персональных данных при их обработке в информационных системах персональных данных от от 1 ноября 2012 г. № 1119
[ Закрыто] Режимно-секретный отдел, Вопросы по организации подразделения
читайте:
ПОЛОЖЕНИЕ
О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПРЕДПРИЯТИЙ, УЧРЕЖДЕНИЙ И ОРГАНИЗАЦИЙ ПО ПРОВЕДЕНИЮ РАБОТ, СВЯЗАННЫХ С ИСПОЛЬЗОВАНИЕМ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОЗДАНИЕМ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ, А ТАКЖЕ С ОСУЩЕСТВЛЕНИЕМ МЕРОПРИЯТИЙ И (ИЛИ) ОКАЗАНИЕМ УСЛУГ ПО ЗАЩИТЕ ГОСУДАРСТВЕННОЙ ТАЙНЫ
а также:

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ
ПО ОРГАНИЗАЦИИ И ПРОВЕДЕНИЮ ГОСУДАРСТВЕННОЙ АТТЕСТАЦИИ РУКОВОДИТЕЛЕЙ ПРЕДПРИЯТИЙ, УЧРЕЖДЕНИЙ И ОРГАНИЗАЦИЙ, ОТВЕТСТВЕННЫХ ЗА ЗАЩИТУ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ
ГОСУДАРСТВЕННУЮ ТАЙНУ
и ещё:


Особенности получения лицензии на право проведения работ,
связанных с использованием сведений, составляющих
государственную тайну, предприятием, не имеющим
структурного подразделения по защите государственной тайны
и вот это:

ИНСТРУКЦИЯ

[ Закрыто] Нужен ли сертифицированный антивирус на объекте информатизации для гостайны, Аттестация РЭБ и ФСТЭК
Цитата
Владимир Боярский пишет:
Доброго времени суток! Вопрос к органам по аттестации ФСТЭК и РЭБ.

Нам интегратор (орган по аттестации ФСТЭК) и региональное подразделение РЭБ МО аттестовали несколько объектов информатизации (АРМ и ЛВС) для защиты государственной тайны.
Правильно ли они сделали, что в состав средств защиты ОИ не внесли антивирусные средства защиты?
При этом в качестве ПО указали ЕСЕТ НОД32 Платинум с сертификатом по защите конфиденциальной информации?

Спасибо.
Читайте:

ИНСТРУКЦИЮ ОПОРЯДКЕ ПРОВЕДЕНИЯСПЕЦИАЛЬНЫХ ЭКСПЕРТИЗ ПО ДОПУСКУ ПРЕДПРИЯТИЙ, УЧРЕЖДЕНИЙ И ОРГАНИЗАЦИЙ К ПРОВЕДЕНИЮ РАБОТ, СВЯЗАННЫХ СИСПОЛЬЗОВАНИЕМ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХГОСУДАРСТВЕННУЮТАЙНУ ОТ 23 АВГУСТА 1995 ГОДА № 28

И ЧИТАЙТЕ:

ПОЛОЖЕНИЕ О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПРЕДПРИЯТИЙ, УЧРЕЖДЕНИЙ И ОРГАНИЗАЦИЙ ПО ПРОВЕДЕНИЮ РАБОТ, СВЯЗАННЫХ С ИСПОЛЬЗОВАНИЕМ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОЗДАНИЕМ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ, А ТАКЖЕ С ОСУЩЕСТВЛЕНИЕМ МЕРОПРИЯТИЙ И (ИЛИ) ОКАЗАНИЕМ УСЛУГ ПО ЗАЩИТЕ ГОСУДАРСТВЕННОЙ ТАЙНЫ ОТ 15 АПРЕЛЯ 1995 ГОДА
[ Закрыто] Нужен ли сертифицированный антивирус на объекте информатизации для гостайны, Аттестация РЭБ и ФСТЭК
Цитата
Tolian пишет:
Цитата
Гость2 пишет:
Цитата
Tolian пишет:
Насколько мне известно для гос тайны нет требований в необходимости антивируса
Т.е. можно аттестовать секретную ЛВС без антивирусных средств защиты?

Покажи хоть один документ в котором это требование есть(именно по гос.тайне а не конфидециалке).
Читайте:

ИНСТРУКЦИЮ ОПОРЯДКЕ ПРОВЕДЕНИЯСПЕЦИАЛЬНЫХ ЭКСПЕРТИЗ ПО ДОПУСКУ ПРЕДПРИЯТИЙ, УЧРЕЖДЕНИЙ И ОРГАНИЗАЦИЙ К ПРОВЕДЕНИЮ РАБОТ, СВЯЗАННЫХ СИСПОЛЬЗОВАНИЕМ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХГОСУДАРСТВЕННУЮТАЙНУ ОТ 23 АВГУСТА 1995 ГОДА № 28

И ЧИТАЙТЕ:

ПОЛОЖЕНИЕ О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПРЕДПРИЯТИЙ, УЧРЕЖДЕНИЙ И ОРГАНИЗАЦИЙ ПО ПРОВЕДЕНИЮ РАБОТ, СВЯЗАННЫХ С ИСПОЛЬЗОВАНИЕМ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОЗДАНИЕМ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ, А ТАКЖЕ С ОСУЩЕСТВЛЕНИЕМ МЕРОПРИЯТИЙ И (ИЛИ) ОКАЗАНИЕМ УСЛУГ ПО ЗАЩИТЕ ГОСУДАРСТВЕННОЙ ТАЙНЫ ОТ 15 АПРЕЛЯ 1995 ГОДА
Приказ об утверждении Порядка учета, хранения и уничтожения машинных носителей информации., Проект
ПРИКАЗ


«___»_________ 20_____ г. № ______



О введении в действие «Положения о порядке хра нения
и уничтожения носителей персональных данных в
.............................



Во исполнение требований Федерального закона РФ № 152-ФЗ от 27 июля 2006г. «О персональных данных», Федерального закона РФ № 149-ФЗ от 27 июля 2006 г. «Об информатизации, информационных технологиях и о защите информации»,


ПРИКАЗЫВАЮ:
1. Ввести в действие «Положение о порядке хранения и уничтожения носителей персональных данных в ............................. далее Положение). (Приложение 1).

2. Сотрудникам, допущенным к обработке персональных данных (ПД), принять к руководству настоящее Положение.

3. Контроль за выполнением требований Положения возложить на заместителя генерального директора по правовым вопросам Котова В.А..




Генеральный директор А.Н.Фальченко

Страницы: 1