Результаты обследования технологических процессов обработки и обеспечения защиты ПДн
№ | Описание критерия | Источник | Пункт | Соответствует (да/нет/частично)/Не применимо | Пояснение |
1. | Законность целей и способов обработки ПДн. | ФЗ-152 | статья 5, п.1.1 | да | Основаниями для обработки ПДн является Приказ № 000 от 01.01.2001 Федеральной службы по надзору в сфере образования и науки «О закреплении за Федеральным государственным учреждением «Федеральный центр тестирования» полномочий по осуществлению организационного и информационно-технологического обеспечения организации и проведения единого государственного экзамена». |
2. | Соответствие целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям оператора. | ФЗ-152 | статья 5, п.1.2 | да | Цели обработки ПДн соответствуют целям, заранее заявляемым при сборе ПДн, а также полномочиям оператора. |
3. | Соответствие объема и характера обрабатываемых ПДн, а также способов обработки ПДн целям обработки ПДн. | ФЗ-152 | статья 5, п.1.3 | да | Объем и характер обрабатываемых ПДн, а также и способы обработки ПДн соответствуют целям обработки ПДн. |
4. Бланк | Недопустимость объединения созданных для несовместимых между собой целей баз данных ИСПДн. | ФЗ-152 | статья 5, п.1.5 | да | В рамках ИСПДн ФГУ «ФЦТ» хранятся данные, использующиеся для одного процесса - проведение Единого государственного экзамена в штатном режиме. ИСПДн объединяет в своей базе данных ПДн одной категории, которые используются в рамках процессов обработки ПДн объединенных одной целью. |
5. | Уничтожение ПДн по достижению целей обработки или в случае утраты необходимости в их достижении. | ФЗ-152 | статья 5, п.2 | ||
6. | Обработка ПДн осуществляется с согласия субъектов ПДн. Форма письменного согласия соответствует требованиям статьи 9, пункта 4 ФЗ-152. Обработка специальных категорий ПДн осуществляется исключительно с письменного согласия субъекта ПДн, за исключением специально оговоренных случаев. | ФЗ-152 | статья 6, п.1 статья 9, п.4 статья 10, п. 2.2 | ||
7. | Обработка биометрических ПДн осуществляется исключительно с письменного согласия субъекта ПДн, за исключением специально оговоренных случаев. | ФЗ-152 | статья 11 | ||
8. | Исключительно автоматизированная обработка ПДн в целях принятия решения, порождающего юридические последствия в отношении субъекта ПДн, осуществляется только с письменного согласия субъекта ПДн. | ФЗ-152 | статья 16 | ||
9. | В договорах с прочими лицами, осуществляющими обработку ПДн оператора, в явном виде прописаны обязанности указанного лица по обеспечению конфиденциальности ПДн и безопасности ПДн при их обработке. | ФЗ-152 | статья 6, п.4 | ||
10. | Возможность предоставления доказательств получения согласия субъекта ПДн на обработку его ПДн. | ФЗ-152 | статья 9, п.3 | ||
11. | Выполняются требования по трансграничной передаче ПДн. | ФЗ-152 | статья 12 | ||
12. | Разработана процедура взаимоотношений с субъектом ПДн в том случае, если он реализует законные права на доступ к своим ПДн. | ФЗ-152 | статья 14 статья 20 статья 21 | ||
13. | Осуществляется уведомление субъекта ПДн до начала обработки его ПДн в том случае, если ПДн получены не от субъекта. | ФЗ-152 | статья 18, п.3 | ||
14. | Уведомление в Роскомнадзор об обработке ПДн направлено в форме, соответствующей требованиям законодательства. | ФЗ-152 | статья 22 | ||
15. | Разработан акт классификации ИСПДн. | Приказ № 55/86/20 | |||
16. | Разработан акт принятия ИСПДн в промышленную эксплуатацию, утверждена приемо-сдаточная документация. | СТР-К | |||
17. | Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн используются отдельные материальные носители. | Постановление № 000 | п. 5 | ||
18. | Сотрудники, обрабатывающие ПДн без использования средств автоматизации проинформированы о категориях обрабатываемых ПДн и о правилах осуществления обработки. | Постановление № 000 | п. 6 | ||
19. | Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии). | Постановление № 000 | п. 6 | ||
20. | Типовые формы документов, предполагающие включение ПДн, удовлетворяют требованиям по информированию субъекта ПДн о том, что его ПДн обрабатываются оператором, а также по ознакомлению субъекта ПДн со своими ПДн без нарушения прав иных субъектов ПДн. | Постановление № 000 | п. 7 | ||
21. | Журналы (реестров, книг), содержащие ПДн, необходимые для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях, ведутся с выполнением требований. | Постановление № 000 | п. 8 | ||
22. | Места хранения материальных носителей ПДн определены. | Постановление № 000 | п. 13 | ||
23. | Перечень лиц, осуществляющих обработку материальных носителей ПДн, определен. | Постановление № 000 | п. 13 | ||
24. | Хранение материальных носителей, содержащих различные категории ПДн, осуществляется раздельно. | Постановление № 000 | п. 14 | ||
25. | Хранение материальных носителей ПДн осуществляется с обеспечением их сохранности и исключает несанкционированный доступ к носителям. | Постановление № 000 | п. 15 | ||
26. | Неконтролируемое проникновение и пребывание в помещения со средствами обработки ПДн и носителями ПДн исключено. | Постановление № 000 | п. 8 | ||
27. | Назначены должностные лица, прямыми обязанностями которого является обеспечение безопасности ПДн. | Постановление № 000 | п. 10 | ||
28. | Работникам, в состав должностных обязанностей которых входит обработка ПДн, вменена обязанность обеспечению безопасности ПДн в рамках их полномочий. | Постановление № 000 | п. 10 | ||
29. | Реализуются мероприятия, направленные на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации. | Постановление № 000 | п. 11 | ||
30. | Факты несанкционированного доступа к ПДн своевременно обнаруживаются. | Постановление № 000 | п. 11 | ||
31. | Воздействие на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование, исключено. | Постановление № 000 | п. 11 | ||
32. | Возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. | Постановление № 000 | п. 11 | ||
33. | Осуществляется постоянный контроль за обеспечением уровня защищенности персональных данных. | Постановление № 000 | п. 11 | ||
34. | Осуществляется учет лиц, допущенных к работе с ПДн в ИСПДн, при помощи соответствующего списка доступа. | Постановление № 000 | п. 14 | ||
35. | Регистрация запросов пользователей к ПДн автоматизированными средствами ИСПДн в электронный журнал событий. | Постановление № 000 | п. 15 | ||
36. | Периодическая проверка журнала событий администратором безопасности. | Постановление № 000 | п. 15 | ||
37. | Осуществляется учет средств защиты, используемых для обеспечения безопасности ПДн. | Постановление № 000 | п. 19 | ||
38. | Разработана матрица доступа для ИСПДн. | СТР-К | |||
39. | Разработана схема расположения элементов ИСПДн относительно границ контролируемой зоны. | СТР-К | |||
40. | Разработана схема с описанием сетевой топологии ИСПДн. | СТР-К | |||
41. | В штате Компании работают специалисты, обладающие профильным образованием в области ИБ, либо прошедшие соответствующие курсы повышения квалификации. | СТР-К | |||
42. | Наличие инструкции администратора безопасности. | Типовые мероприятия по защите | |||
43. | Наличие инструкции пользователя с описанием правил обеспечения ИБ. | Типовые мероприятия по защите | |||
44. | Применение средств антивирусной защиты. | Типовые мероприятия по защите | |||
45. | Средства антивирусной защиты сертифицированы. | Типовые мероприятия по защите | |||
46. | Применение средств межсетевого экранирования. | Типовые мероприятия по защите | |||
47. | Средства межсетевого экранирования сертифицированы. | Типовые мероприятия по защите | |||
48. | Применение средств защиты от несанкционированного доступа. | Типовые мероприятия по защите | |||
49. | Средства защиты от несанкционированного доступа сертифицированы. | Типовые мероприятия по защите | |||
50. | Применение средств обнаружения и предотвращения атак. | Типовые мероприятия по защите | |||
51. | Средства обнаружения и предотвращения атак сертифицированы. | Типовые мероприятия по защите | |||
52. | Применение средств анализа защищенности. | Типовые мероприятия по защите | |||
53. | Средства анализа защищенности сертифицированы. | Типовые мероприятия по защите | |||
54. | Применение средств криптографической защиты информации. | Типовые мероприятия по защите | |||
55. | Средства криптографической защиты информации сертифицированы. | Типовые мероприятия по защите | |||
56. | Применение средств предотвращения утечек по каналам, вызываемым ПЭМИН. | Типовые мероприятия по защите | |||
57. | Документ, в котором определены общие положения по обработке ПДн. | Типовые мероприятия по защите | |||
58. | Документ, в котором определена общая политика безопасности по отношению к ПДн. | Типовые мероприятия по защите | |||
59. | Документ, в котором определен порядок обеспечения антивирусной защиты. | Типовые мероприятия по защите | · | ||
60. | Документ, в котором определен порядок управления учетными записями и привилегиями. | Типовые мероприятия по защите | |||
61. | Документ, в котором определен порядок мониторинга событий ИБ. | Типовые мероприятия по защите | |||
62. | Документ, в котором определен порядок реагирования на инциденты, связанные с нарушением информационной безопасности ПДн. | Типовые мероприятия по защите | |||
63. | Документ, в котором определен порядок обращения с материальными носителями ПДн. | Типовые мероприятия по защите | |||
64. | Документ, в котором определен порядок обеспечения сетевой безопасности. | Типовые мероприятия по защите | |||
65. | Документ, в котором определен порядок обеспечения физической безопасности. | Типовые мероприятия по защите | |||
66. | Документ, в котором определен порядок резервного копирования ПДн. | Типовые мероприятия по защите | |||
67. | Документ, в котором определен порядок обеспечения непрерывности функционирования системы защиты ПДн. | Типовые мероприятия по защите |
1. Правовая база
· Федеральный закон от 01.01.2001 г. «О персональных данных».
· Приказ ФСТЭК РФ, ФСБ РФ и Министерства информационных технологий и связи РФ «Об утверждении Порядка проведения классификации информационных систем персональных данных» от 01.01.01 года №55/86/20.
· Постановление Правительства РФ от 6 июля 2008 г. № 000 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
· Постановление Правительства от 01.01.01 г. № 000 «Об утверждении положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации».
· Постановление Правительства РФ от 01.01.01 г. N 781 г. Москва «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
· Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (Утвержден приказом Гостехкомиссии России от 01.01.01 г. № 000)
· Методические рекомендации ФСТЭК России по защите персональных данных.
· Методические рекомендации ФСБ России по защите персональных данных.
Также при оценке соответствия было учтено, что обследованная ИСПДн должна пройти процедуру аттестации.
2. Термины и сокращения
В данном документе используются следующие сокращения:
· АРМ – Автоматизированное рабочее место;
· ИСПДн – информационная система, в которой обрабатываются персональные данные;
· ФГУ «ФЦТ» - Федеральное государственное учереждение «Федеральный центр тестирования»;
· НДВ – недекларированные возможности;
· ОУД – Оценочный уровень доверия
· ПДн – персональные данные;
· Постановление № 000 – постановление Правительства РФ от 6 июля 2008 г. № 000 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
· Постановление № 000 – постановление Правительства от 01.01.01 г. № 000 «Об утверждении положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации»;
· Постановление № 000 – постановление Правительства РФ от 01.01.01 г. N 781 г. Москва «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
· Приказ № 55/86/20 – приказ ФСТЭК РФ, ФСБ РФ и Министерства информационных технологий и связи РФ «Об утверждении Порядка проведения классификации информационных систем персональных данных» от 01.01.01 года №55/86/20;
· РФ – Российская Федерация;
· СТР-К – Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» с изменениями, утвержден приказом ФСТЭК от24 марта 2006г. №93;
· Типовые мероприятия по защите – Специальный нормативный документ ФСТЭК «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (2008 год);
· ФЗ-152 – Федеральный закон от 01.01.2001 г. «О персональных данных»;
· ФСБ – федеральная служба безопасности;
· ФСТЭК – федеральная служба по таможенному и экспортному контролю.
