Обязательные требования при обработке ПДн без использования средств автоматизации

Обязательные требования по защите информации при обработке ПДн в информационных системах ПДн (автоматизированная обработка) и без использования средств автоматизации

1. Проведение классификации информационной системы ПДн (п.6 ПП РФ от 17.11.2007 №781).

2. Наличие модели угроз безопасности ПДн (п.п. а) п.12 ППРФ от 17.11.2007 №781, п.16 приказа ФСТЭК, ФСБ, Минкомсвязи России от 13.02.2008 №55/86/20).

3. Наличие приказа о составе комиссии по классификации информационных систем ПДн (п.18 приказа ФСТЭК, ФСБ, Минкомсвязи России от 13.02.2008 №55/86/20).

4. Наличие акта оператора о классификации информационных систем ПДн (приказ ФСТЭК, ФСБ, Минкомсвязи России от 13.02.2008 №55/86/20).

5. Наличие перечня технических средств, участвующих в обработке ПДн и их учёт (п.1 п.п. е) п.12 ППРФ от 17.11.2007 №781).

6. Обеспечение сохранности носителей ПДн и средств защиты информации, а также исключения возможности неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц (п.8 ППРФ от 17.11.2007 №781).

7. Наличие договоров о передаче обработки ПДн уполномоченному лицу (п.10 ППРФ от 17.11.2007 №781).

8. Меры (проведённые мероприятия), направленные на предотвращение НСД к ПДн (или) передачи их лицам, не имеющим права доступа к такой информации:
наличие помещения, выделенного для обработки ПДн (наименование, номер);
наличие перечня лиц, имеющих допуск в помещение;
наличие приказа о назначении сотрудников;
ответственных за обработку ПДн либо имеющих к ним доступ;
наличие отверждённого списка лиц, допущенных к ПДн для выполнения служебных (трудовых) обязанностей (п.п.а) п.11, п.14 ППРФ от 17.11.2007 №781, п.13 ППРФ от 15.09.2008 №687).

9. Меры по своевременному обнаружению фактов несанкционированного доступа к персональным данным (п.п.б) п.11 ППРФ от 17.11.2007 №781).

10. Меры по недопущению воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование; (п.п.в) п.11 ППРФ от 17.11.2007 №781).

11. Меры по возможности незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие НСД к ним (п.п.г) п.11 ППРФ от 17.11.2007 №781).

12. Меры по постоянному контролю за обеспечением уровня защищённости ПДн (п.п.д) п.11 ППРФ от 17.11.2007 №781).

13. Наличие и содержание модели угроз безопасности ПДн при их обработке в ИС ПДн (п.п.а) п.12 ППРФ от 17.11.2007 №781).

14. Наличие разработанной на основе модели угроз, системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПД (п.п.б) п.12 ППРФ от 17.11.2007 №781).

15. Проведение проверки готовности средств защиты информации к использованию и наличие заключения о возможности их эксплуатации (п.п.в) п.12 ППРФ от 17.11.2007 №781).

16. Проведение установки и ввода в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией (п.п.г) п.12 ППРФ от 17.11.2007 №781).

17. Наличие обученных лиц, использующих средства защиты информации, применяемые в ИСПДн, правилам работы с ними (п.п.д) п.12 ППРФ от 17.11.2007 №781).

18. Наличие учёта применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей ПД и учёт лиц, допущенных к работе с ПДн в ИСПДн (п.п. е) и ж) п.12 ППРФ от 17.11.2007 №781).

19. Осуществление контроля за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией (п.п. з) п.12 ППРФ от 17.11.2007 №781).

20. Наличие разбирательств и составления заключений по фактам несоблюдения условий хранения носителей ПДн, использования средств защиты информации, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищённости ПДн, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений (п.п. и) п.12 ППРФ от 17.11.2007 №781).

21. Наличие описания системы защиты ПДн (п.п. к) п.12 ППРФ от 17.11.2007 №781).

22. Наличие электронного журнала обращений на получение ПДн (п.15 ППРФ от 17.11.2007 №781).

23. Проведение тематических исследований и контрольных тематических исследований в целях проверки выполнения требований по безопасности информации в отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности ПДн при их обработке в информационных системах (п.17 ППРФ от 17.11.2007 №781).

1. Наличие Правил обработки ПДн, осуществляемых без средств автоматизации (п.3 ППРФ от 15.09.2008 №687).

2. Наличие отдельных материальных носителей для каждой категории ПДн (п.4 и 5 ППРФ от 15.09.2008 №687).

3. Наличие типовых форм, в которых предполагается или допускается включение в них ПДн (п.7 ППРФ от 15.09.2008 №687).

4. Наличие и ведение журнала (реестра, книги) для пропуска субъекта ПДн на территорию оператора (п.8 ППРФ от 15.09.2008 №687).

5. Организация раздельного хранения категорий ПДн (п.14 ППРФ от 15.09.2008 №687).

6. Информирование сотрудников, обрабатывающих ПДн о Правилах их обработки (п.6 ППРФ от 15.09.2008 №687).


Лекция 18

Л12 ПОИБ