вторник, 23 августа 2016 г.

ФЗ №152 и перечень мероприятий по защите ПДн! Продолжение....

........как было описано ранее, что оператор обязан принимать меры описанные в ПП №1119.
Что в зависимости от уровня защищённости (УЗ) необходимо выполнить следующие требования:
  • для 4-го УЗ
-организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
-обеспечение сохранности носителей персональных данных;
-утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
-использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
  • для 3-го УЗ
-включает требования для 4-го УЗ
-необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.
  • для 2-го УЗ
-включает требования для 3-го УЗ
-необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
  • для 1-го УЗ
-включает требования для 2-го УЗ
-автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
-создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.


После того как определили уровень защищённости необходимо принять меры в соответствии в Приказом ФСТЭК №21 в частности такие как:
-идентификация и аутентификация субъектов доступа и объектов доступа;
-управление доступом субъектов доступа к объектам доступа;
-ограничение программной среды;
-защита машинных носителей информации, на которых хранятся и (или) обрабатываются -персональные данные (далее - машинные носители персональных данных);
-регистрация событий безопасности;
-антивирусная защита;
-обнаружение (предотвращение) вторжений;
-контроль (анализ) защищенности персональных данных;
-обеспечение целостности информационной системы и персональных данных;
-обеспечение доступности персональных данных;
-защита среды виртуализации;
-защита технических средств;
-защита информационной системы, ее средств, систем связи и передачи данных;
-выявление инцидентов (одного события или группы событий), которые могут привести к -сбоям или нарушению функционирования информационной системы и (или) к -возникновению угроз безопасности персональных данных (далее - инциденты), и -реагирование на них;
-управление конфигурацией информационной системы и системы защиты персональных данных.


В итоге у меня последовательность действий вышла  такая :
  1. Приказ о назначении ответственного за организацию обработки ПДн.
  2. Разработать и утвердить политику оператора в отношении обработки ПДн.
  3. Разместить Политику в общедоступном месте. Ознакомить с Политикой сотрудников имеющих доступ к ПДн.
  4. Разработать оценку вреда субъектам ПДн.
  5. Разработать модель угроз.
  6. Разработать модель нарушителя (в случае применения СКЗИ).
  7. Составить акт определения уровня защищённости.
  8. Выбрать меры в соответствии с определённым уровнем защищённости согласно ПП №1119 
  9. Выбрать меры в соответствии с определённым уровнем защищённости согласно Приказу ФСТЭК №21.
  10. Разработать техническое задание и технический проект по защите ПДн.
  11. Приобрести для защиты ПДн только сертифицированные (ФСТЭК, ФСБ) средства защиты информации.
  12. Произвести оценку эффективности принимаемых мер.
  13. Промаркировать все машинные носители ПДн и занести в журнал учёта машинных носителей.
  14. Ну и конечно, отправить уведомление в РКН, о начале обработки ПДн .

Комментариев нет:

Отправить комментарий