Классифицировать ИСПДн необходимо для того, чтобы определить минимальные необходимые меры защиты. Классификация ИСПДн проводится в соответствии со cсовместным приказом ФСТЭК №55, ФСБ №86, Минсвязи №20 от 01.01.01 г. "Об утверждении порядка проведения классификации информационных систем персональных данных" и Постановлением Правительства «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» от 01.01.01г. N 781. Согласно данным нормативно-правовым актам ранее до реорганизации сети учреждения, ИСПДн были присвоенные классы.
Предварительная классификация ИСПДн приведена в таблице:
ИСПДн | Хпд | Хнпд | Класс |
«Кадровый учет» | 2 | 3 | К3 |
«Бухгалтерский учет» | 2 | 3 | К3 |
«Медицинский персонал» | 2 | 3 | К3 |
«Карта ребенка инвалида» | 1 | 2 | К1 |
Но в связи с корректировкой законодательной базы в области безопасности ПДн, и принятием нового Постановления Правительства РФ от 1 ноября 2012г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» изменились термины информационной безопасности – «класс» заменен на «уровень защищенности».
ИСПДн «Кадровый учет»:
Объектом защиты являются ПДн, обрабатываемые в специальной ИСПДн «Кадровый учет».
Обработка ПДн в ИСПДн «Кадровый учет» осуществляется с использованием средств автоматизации.
В рассматриваемой ИСПДн «Кадровый учет» обрабатываются персональные данные относящиеся к категории иных, ИСПДн-И.
В рассматриваемой ИСПДн «Кадровый учет» обрабатываются персональные данные субъектов, являющихся сотрудниками оператора.
В рассматриваемой ИСПДн «Кадровый учет» одновременно обрабатывается персональные данные: объемом менее
ИСПДн «Кадровый учет» относится к специальным, так как в ней существует необходимость обеспечить, кроме конфиденциальности, целостность и доступность.
ИСПДн «Кадровый учет» имеет автономную структуру.
ИСПДн «Кадровый учет» нет подключение к сетям связи общего пользования и сетям международного информационного обмена.
По режиму обработки ПДн ИСПДн «Кадровый учет» является многопользовательская, без разграничения прав доступа.
Все технические средства ИСПДн находятся на территории Российской Федерации.
Для ИСПДн «Кадровый учет» актуальны угрозы 3-го типа.
Актуальные угрозы информационной безопасности, которым подвержены ИСПДн, определяются и обосновываются в Частной модели угроз.
Частная модель угроз разрабатывается на основе РД ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
В соответствии с пунктами 14 и 15 «Порядка проведения классификации информационных систем персональных данных», утвержденного совместным приказом ФСТЭК России, ФСБ России, Министерства информационных технологий и связи Российской Федерации /86/20, в соответствии с постановлением Правительства Российской Федерации «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и на основании анализа исходных данных, комиссия решила в специальной информационной системе персональных данных «Кадровый учет» необходимо обеспечить 4-ый уровень защищенности (УЗ4) персональных данных.
ИСПДн «Бухгалтерский учет», «Медицинский персонал»:
Объектом защиты являются ПДн, обрабатываемые в специальной ИСПДн «Бухгалтерский учет», «Медицинский персонал».
Обработка ПДн в ИСПДн «Бухгалтерский учет», «Медицинский персонал» осуществляется с использованием средств автоматизации.
В рассматриваемой ИСПДн «Бухгалтерский учет», «Медицинский персонал» обрабатываются персональные данные относящиеся к категории иных, ИСПДн-И.
В рассматриваемой ИСПДн «Бухгалтерский учет», «Медицинский персонал» обрабатываются персональные данные субъектов, являющихся сотрудниками оператора.
В рассматриваемой ИСПДн «Бухгалтерский учет», «Медицинский персонал» одновременно обрабатывается персональные данные: объемом менее
ИСПДн «Бухгалтерский учет» относится к специальным, так как в ней существует необходимость обеспечить, кроме конфиденциальности, целостность и доступность.
ИСПДн «Бухгалтерский учет», «Медицинский персонал» имеет локальную структуру.
ИСПДн «Бухгалтерский учет», «Медицинский персонал» имеет подключение к сетям связи общего пользования и сетям международного информационного обмена.
По режиму обработки ПДн ИСПДн «Бухгалтерский учет», «Медицинский персонал» является многопользовательская, без разграничения прав доступа.
Все технические средства ИСПДн находятся на территории Российской Федерации.
Для ИСПДн «Бухгалтерский учет», «Медицинский персонал» актуальны угрозы 3-го типа.
Актуальные угрозы информационной безопасности, которым подвержены ИСПДн, определяются и обосновываются в Частной модели угроз.
Частная модель угроз разрабатывается на основе РД ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
В соответствии с пунктами 14 и 15 «Порядка проведения классификации информационных систем персональных данных», утвержденного совместным приказом ФСТЭК России, ФСБ России, Министерства информационных технологий и связи Российской Федерации /86/20, в соответствии с постановлением Правительства Российской Федерации «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и на основании анализа исходных данных, комиссия решила в специальной информационной системе персональных данных «Бухгалтерский учет» и «Медицинский персонал» необходимо обеспечить 4-ый уровень защищенности (УЗ4) персональных данных.
Для ИСПДн «Карта ребенка инвалида»:
Объектом защиты являются ПДн, обрабатываемые в специальной ИСПДн «Карта ребенка инвалида».
Обработка ПДн в ИСПДн «Карта ребенка инвалида» осуществляется с использованием средств автоматизации.
В рассматриваемой ИСПДн «Карта ребенка инвалида» обрабатываются персональные данные специальной категории, ИСПДн-С.
В рассматриваемой ИСПДн «Карта ребенка инвалида» обрабатываются персональные данные субъектов, не являющихся сотрудниками оператора.
В рассматриваемой ИСПДн «Карта ребенка инвалида» одновременно обрабатывается персональные данные: объемом менее
ИСПДн «Карта ребенка инвалида» относится к специальным, так как в ней существует необходимость обеспечить, кроме конфиденциальности, целостность и доступность.
ИСПДн «Карта ребенка инвалида» имеет автономную структуру.
ИСПДн «Карта ребенка инвалида» нет подключение к сетям связи общего пользования и сетям международного информационного обмена.
По режиму обработки ПДн ИСПДн «Карта ребенка инвалида» является многопользовательская, без разграничения прав доступа.
Все технические средства ИСПДн находятся на территории Российской Федерации.
Для ИСПДн «Карта ребенка инвалида» актуальны угрозы 3-го типа.
Актуальные угрозы информационной безопасности, которым подвержены ИСПДн, определяются и обосновываются в Частной модели угроз.
Частная модель угроз разрабатывается на основе РД ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
В соответствии с пунктами 14 и 15 «Порядка проведения классификации информационных систем персональных данных», утвержденного совместным приказом ФСТЭК России, ФСБ России, Министерства информационных технологий и связи Российской Федерации /86/20, в соответствии с постановлением Правительства Российской Федерации «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и на основании анализа исходных данных, комиссия решила в специальной информационной системе персональных данных «Карта ребенка инвалида» необходимо обеспечить 3-ий уровень защищенности (УЗ3) персональных данных.
Государственное казенное учреждение здравоохранения «Ямало-Ненецкий окружной специализированный Дом ребенка» находится по адресу: А.
Помещения ГКУЗ «ЯНОСДР» расположены на втором этаже двухэтажного здания. В организации должно существовать специальное защищенное помещение, так называемое выделенное помещение.
При аттестации выделенного помещения необходимо:
· определить уровни акустического сигнала и шумов в предполагаемых местах размещения прослушивающих устройств.
· определить уровни вибрационного сигнала, шумов в предполагаемых местах размещения прослушивающих устройств контактного ти
· измерить коэффициент звукоизоляции конструкций ограждения выделенного помещения (окна, двери, стены, пол, потолок).
· измерить коэффициент виброизоляции конструкций ограждения выделенного помещения, включая всевозможные компоненты инженерно-технических систем и их коммуникации.
· измерить уровни вибрационных и акустических шумов в предполагаемых местах размещения прослушивающих устройств, при применении в выделенном помещении систем виброакустической маскировки.
· определить уровни информационных сигналов на выходе ВТСС, возникающих вследствие акустоэлектрического преобразования акустических сигналов элементами ВТСС.
· определяется уровень слышимости речи.
Тестирование на присутствие внедренных специальных электронных устройств перехвата информации.
Список для обследования:
· помещения для закрытых мероприятий;
· технические средства для операций с информацией ограниченного доступа;
· вспомогательные технические средства, находящиеся на объектах информатизации, а также в выделенных помещениях.
По итогам проверки технических средств на наличие электронных устройств перехвата данных создается акт, в соответствии с которым заказчик получает заключение.
После окончания специальной проверки выделенного помещения формируется акт, в котором указываются итоги проверки и рекомендации по защите помещения, утверждающийся руководителем, ответственным за проведение подобных проверок. Акт специальной проверки выполняется в двух экземплярах, один из них высылается по адресу владельца-заказчика помещения прошедшего проверку, а второй остается в организации исполнителя, проводившей специальную проверку.
По результатам аттестации оформляются протоколы испытаний и заключение с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.
В том случае, когда эффективность защиты выделенного помещения или объекта информатизации не отвечает стандартам нормативно-методической документации руководящих органов, для устранения найденных в процессе аттестации нарушений, составляются рекомендации со сроками и условиями повторной аттестации выделенного помещения или объекта информатизации.
Заключение по итогам аттестации объекта информатизации должно быть подписано участниками аттестационной комиссии, утверждено руководителем органа аттестации и передано заказчику.
Для выявления вероятных каналов утечки информации в ИСПДн ГКУЗ «ЯНОСДР», нужно разработать частную модель угроз безопасности ПДн при их обработке в ИСПДн. Данный документ дает возможность определить актуальные угрозы безопасности ПДн, оценить вероятность их осуществления и последствия их влияния.
Частная модель угроз предназначена для анализа защищенности ИСПДн от угроз безопасности ПДн в процессе организации и осуществления работ по обеспечению безопасности ПДн, созданию системы защиты ПДн, обеспечивающей нейтрализацию возможных угроз с применением методов и способов защиты ПДн, установленных для соответствующего уровня защищенности ИСПДн. Также, при осуществлении мероприятий, ориентированных на устранение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации и воспрепятствование воздействия на технические средства ИСПДн, в следствие которого может произойти сбой в их функционировании, применяется разрабатываемый документ.
Моделирование процессов нарушения информационной безопасности стоит проводить на основе рассмотрения логической цепочки: «угроза-источник угрозы-метод реализации-уязвимость-последствия».
В ходе анализа требуется удостовериться, что все вероятные источники угроз определены, все возможные уязвимости определены и соотнесены с определенными источниками угроз, всем определенным источникам угроз и уязвимостям (факторам) сопоставлены методы реализации.
При этом имеет большое значение возможность, при необходимости, не меняя самого методического инструментария, устанавливать новые виды источников угроз, методов реализации, уязвимостей, которые смогут быть известны в результате развития знаний в этой области.
Отсюда следует, что анализ отрицательных последствий реализации угроз подразумевает обязательную идентификацию (например, присвоение уникального кода) вероятных источников угроз, уязвимостей, способствующих их проявлению и методов реализации, то есть классификацию.
Подобная классификация для информационных систем персональных данных уже осуществлена ФСТЭК России и обозначена в документе Базовая модель угроз безопасности ПДн при их обработке в ИСПДн.
Базируясь на предоставленную в данном документе классификацию угроз была составлена Частная модель угроз (далее – ЧМУ) для ИСПДн ГКУЗ «ЯНОСДР».
При анализе возможных угроз в ИСПДн использовался полный перечень вероятных угроз безопасности ПДн, применяющийся в Базовой модели угроз.
К параметрам ИСПДн, обуславливающим возникновение угроз безопасности ПДн. Можно отнести категорию и объем обрабатываемых в ИСПДн персональных данных, структуру ИСПДн, наличие подключений ИСПДн к сетям международного информационного обмена и (или) сетям связи общего пользования, характеристики подсистемы безопасности ПДн, обрабатываемых в ИСПДн режимы разграничения прав доступа пользователей ИСПДн, режимы обработки ПДн, месторасположение и условия размещения технических средств ИСПДн. Это все складывается в так называемую «исходную защищенность» ИСПДн, для которой существует отдельная методика оценки.
ИСПДн «Медицинский персонал»
ИСПДн «Карта ребенка инвалида»
ИСПДн «Бухгалтерский учет»
Базу ИСПДн представляет программный продукт «Медицинский персонал», рассчитанный для ведения реестра медицинского персонала, а также программный продукт «Федеральный регистр детей-инвалидов» рассчитанный для ведения реестра детей инвалидов. Базой для ИСПДн «Бухгалтерский учет» является Программный продукт «Парус 7»
Для исполнения требований в части ТЗИ следует обеспечить защиту от НСД сертифицированными средствами. Вдобавок с учётом того что АРМ, входящее в состав ИСПДн, находятся в сети ГКУЗ «Ямало-Ненецкий окружной специализированный Дом ребенка» необходимо логически или физически разъединить информационные потоки ИС. С целью сохранения существующей топологии сети, рекомендуется применять наложенные или выделенные средства межсетевого экранирования (далее СМЭ). Сертифицированные по РД. МЭ. по классу не выше 4 межсетевые экраны должны разграничивать информационные потоки ИСПДн. С учетом того, что две ИСПДн размещены на одном АРМ, нужно разграничить права доступа к ним либо разнести их на разные АРМ.
В состав СЗПДн входят такие аппаратно-программные средства как:
• Система защиты информации от несанкционированного доступа «Secret Net 6.5-А» (автономный вариант);
• Программный комплекс Security Studio Endpoint Protection: Personal Firewall, HIPS включающий в свой состав межсетевой экран, средство обнаружения вторжений и сертифицированный антивирус;
В систему защиты устанавливается программный комплекс Security Studio Endpoint Protection, включающий в себя межсетевой экран, антивирус и средство обнаружения вторжений, сертифицированные ФСТЭК России по требованиям защиты персональных данных.
Кроме блокировки адресов с помощью глобальных правил и правил для приложений, межсетевой экран предоставляет еще один инструмент для гибкого ограничения нежелательного трафика — блокировку IP-адресов. Данный модуль создан для фильтрации всех входящих и исходящих интернет-соединений по IP-адресам и гарантирует абсолютный контроль над сетевой активностью компьютера посредством блокировки назначенных адресов. Модуль блокирует хакеров, вредоносные сайты и рекламные сети на основании "черных списков", содержащих IP-адреса.
Security Studio Endpoint Protection используется совместно с СЗИ от НСД Secret Net для обеспечения комплексной защиты автоматизированного рабочего места.
Ведение журнала регистрации событий и управление осуществляется локально на каждом АРМ с установленным Клиентом Secret Net 6.5 (автономный вариант).
Средствами Клиента Secret Net 6.5 осуществляется функция разграничения доступа к ресурсам. Установка и настройка компонентов СЗИ от НСД Secret Net 6.5 производится в соответствии с эксплуатационной документацией на СЗИ от НСД Secret Net 6.5, которая входит в комплект поставки Secret Net 6.5.
ИСПДн «Кадровый учет»
Основой ИСПДн является программный продукт пакет офисного ПО Microsoft Office, применяемый для создания и вывода на печать текстовых документов.
Для исполнения требований в части ТЗИ следует обеспечить защиту от НСД сертифицированными средствами.
В состав СЗПДн входят следующие аппаратно-программные средства:
• Программа контроля сертифицированной версии ОС Windows XP Professional(XP_Cheek 3.0);
Ведение журнала регистрации событий и управление осуществляется локально на каждом АРМ с установленной программой контроля сертифицированной версии ОС Windows XP Professional (XP_Check 3.0)
Средствами программы контроля XP_Check 3.0 реализована функция разграничения доступа к ресурсам. Установка и настройка компонентов XP_Check 3.0 производится в соответствии с эксплуатационной документацией.
На АРМ не входящей в ИСПДн устанавливается:
· Сетевой сканер безопасности «XSpider 7.8»– сканер уязвимостей, проверяет все возможные уязвимости независимо от программной и аппаратной платформы узлов: начиная от рабочих станций под Windows и заканчивая сетевыми устройствами Cisco.
3. Разработка комплекта организационно-распорядительной документации для ИСПДн
Процесс обеспечения информационной безопасности является непрерывным и происходит в рамках жизненного цикла не только системы информационной безопасности, но и всей деятельности ГКУЗ «ЯНОСДР».
На данном этапе осуществлялась разработка системы организационно-распорядительной документации, регламентирующей порядок обеспечения безопасности персональных данных и эксплуатации СЗПДн. В таблице 2 приводится перечень разработанной документации и ее содержание.
Таблица 2. Перечень актуальных угроз безопасности ПДн
№ п. п | Наименование организационно-распорядительного Документа | Содержание документа |
1 | Приказ об организации работ по обеспечению безопасности персональных данных при их обработке в ИСПДн | - организационная структура системы обеспечения безопасности ПДн; - назначение и обязанности ответственного за организацию обработки персональных данных в ИСПДн; - назначение и обязанности администратора безопасности информации в ИСПДн; - назначение и обязанности ответственных за эксплуатацию ИСПДн; - назначение и обязанности ответственного за резервирование и восстановление баз ПДн; - обязательство о неразглашении информации, содержащей персональные данные; - утверждение списка сотрудников, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения должностных обязанностей; - учет лиц, допущенных к работе с ПДн; - организация парольной защиты в ИСПДн; - организация антивирусной защиты в ИСПДн; - порядок работы пользователей ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн; - порядок проверки электронного журнала обращений к ИСПДн; - использование средств защиты информации в ИСПДн; - заявление-согласие сотрудника, обрабатывающего ПДн без использования средств автоматизации; - утверждение списка сотрудников, обрабатывающих данные без использования средств автоматизации; - инструкция сотруднику, ведущему обработку ПДн без использования средств автоматизации. |
2 | Положение об обработке и защите ПДн | - порядок сбора, хранения, передачи и любого другого использования ПДн; - общие требования при обработке ПДн; - права и обязанности субъектов ПДн и оператора; - ответственность за нарушение норм, регулирующих обработку и защиту ПДн; - заявление-согласие субъекта на обработку его ПДн; - заявление-согласие субъекта на обработку ПДн подопечного; - отзыв согласия на обработку ПДн; - заявление-согласие субъекта на получение его ПДн у третей стороны; - заявление-согласие субъекта на передачу его ПДн третьей стороне. |
3 | План мероприятий по защите ПДн | список мероприятий по защите персональных данных, сроки их выполнения и ответственных по контролю за выполнением этих мероприятий |
4 | Приказ о постоянно действующей комиссии по классификации ИСПДн | - утверждение состава постоянно действующей комиссии по классификации ИСПДн; - протокол заседания постоянно действующей комиссии по классификации ИСПДн. |
5 | Приказ о проведении внутренней проверки условий обработки ПДн | Разрабатывается на основании пункта 1 Постановления Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", пункта 2 статьи 19 Федерального закона Российской Федерации от 01.01.01 г. N 152-ФЗ «О персональных данных» |
6 | Частная модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных | - модель нарушителя; - уровень исходной защищенности ИСПДн; - актуальные угрозы безопасности ИСПДн. В соответствии с нормативными документами ФСТЭК России и ФСБ России |
7 | Акт классификации ИСПДн | разрабатывается в соответствии с Приказом № 55/86/20 ФСТЭК, ФСБ, Мининформсвязи от 01.01.01 г., который утверждает «Порядок проведения классификации информационных систем персональных данных». |
8 | Приказ об утверждении перечня конфиденциальной информации | разрабатывается на основании пункта 3 перечня сведений конфиденциального характера, утверждённого Указом Президента Российской Федерации , главой 14 Трудового кодекса Российской Федерации и федеральными законами |
9 | Приказ об утверждении перечня ПДн | разрабатывается на пункта 1 перечня сведений конфиденциального характера, утверждённого Указом Президента Российской Федерации и пункта 1 статьи 3 Федерального закона «О персональных данных» |
10 | Приказ об утверждении перечня ИСПДн | разрабатывается в целях выполнения требований постановления Правительства РФ от 01 ноября 2012 № 000 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» |
11 | Приказ об установлении границ контролируемой зоны | схема объекта информатизации с указанием границ контролируемой зоны |
12 | Приказ об утверждении перечня автоматизированных рабочих мест, общесистемного и прикладного программного обеспечения | Разрабатывается в соответствии с Федеральным законом от 01.01.2001 «О персональных данных», «Порядком проведения классификации информационных систем персональных данных», утвержденным ФСТЭК России, ФСБ России и Мининформсвязи России /86/20 |
13 | Требования по обеспечению безопасности ПДн при их обработке в ИСПДн | разрабатывается на основании приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» и частной модели угроз ИСПДн |
14 | Приказ об утверждении перечня информационных ресурсов, подлежащих защите в ИСПДн | Разрабатывается в соответствии с Федеральным законом от 01.01.2001 «О персональных данных», постановлением Правительства Российской федерации от 1 ноября 2012 № 000 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»,с целью определения информационных ресурсов используемых на автоматизированных рабочих местах и в ИСПДн |
15 | Приказ об утверждении матриц доступа к информационным ресурсам и объектам доступа в ИСПДн | разрабатывается в соответствии с Федеральным законом от 01.01.2001 «О персональных данных» |
16 | Описание технологического процесса обработки информации в ИСПДн | - описание объектов и субъектов доступа, средств обработки и передачи персональных данных; - схема технологического процесса с привязкой к конкретным средствам обработки и передачи информации и пользователями ИСПДн. |
18 | Приказ о вводе в эксплуатацию автоматизированного рабочего места | разрабатывается в целях обеспечения защиты информации и режима безопасности проводимых работ и в соответствии с требованиями руководящих документов ФСТЭК России по защите информации, содержащей персональные данные |
20 | Технический паспорт на ИСПДн | описание состава и схем размещения оборудования информационных систем |
24 | Инструкция о пропускном и внутриобъектовом режимах | порядок охраны и допуска посторонних лиц в защищаемые помещения |
25 | Инструкция по обработке запросов субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных | - регулирование отношений, возникающих при выполнении оператором обязательств согласно требованиям статей 14, 20 и 21 Федерального закона «О персональных данных» 152-ФЗ от 01.01.01 года; - сводная таблица действий в ответ на запросы по ПДн; - форма запроса субъекта ПДн о наличии и ознакомлении с ПДн; - форма запроса субъекта ПДн на уточнение ПДн; - форма запроса субъекта ПДн на уничтожение ПДн; - форма запроса субъекта ПДн с отзывом согласия на обработку ПДн; - форма ответа назапроса субъекта ПДн о наличии и ознакомлении с ПДн; - форма ответа назапроса субъекта ПДн на уточнение ПДн; - форма ответа на запрос субъекта персональных данных на уничтожение ПДн; - форма ответа на запрос субъекта персональных данных отзывом согласия на обработку ПДн; - форма уведомления субъекта ПДн, его законного представителя или уполномоченного органа по защите прав субъектов ПДн при выявлении недостоверности ПДн; - форма уведомления субъекта ПДн, его законного представителя или уполномоченного органа по защите прав субъектов ПДн при выявлении неправомернсоти действий с ПДн. |
26 | Журналы | - журнал антивирусных проверок автоматизированных систем; - журнал периодического тестирования средств защиты информации; - журнал учета журналов; -журнал поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов; - журнал учета лиц, допущенных к работе с персональными данными в ИСПДн; - журнал учета машинных носителей информации (установленных в ПЭВМ), использующихся в ИСПДн для обработки, хранения, транспортировки информации; - журнал учета машинных носителей информации (отчуждаемых), использующихся в ИСПДн для обработки, хранения, транспортировки информации; - журнал учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн; - журнал учета передачи ПДн; - журнал учета проверок электронных журналов обращений к ИСПДн; - журнал учета средств защиты информации, эксплуатационной и технической документации к ним; - журнал учета хранилищ; - учетная карточка резервного носителя ПДн. |
Разработка всего комплекта организационно-распорядительной документации выполнялась в соответствии с действующими законодательными и процессуальными нормами Российской Федерации.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 |
