Вопросы защиты конфиденциальной информации, в том числе персональных данных

Разработка систем защиты информации начинается с формулирования технических требований заказчика. На их основе создаётся модель угроз безопасности и формируется техническое задание на разработку системы защиты информации. По мере разработки технические требования могут уточняться.

Обращайтесь к нам – мы поможем подобрать и протестировать необходимые технические решения для защиты информации.

Ниже приведены справочные сведения по составу организационно-распорядительной документации для защиты конфиденциальной информации при различных направлениях её обработки.

Защищённая обработка конфиденциальной информации, включая персональные данные, и эксплуатация средств криптографической защиты

Состав организационных мер и требуемое документальное обеспечение мероприятий по защите информации:

1. Утверждение границ контролируемой зоны.
   Организовать постоянное размещение стационарных технических средств обработки конфиденциальной информации, средств защиты и инженерно-технических устройств, обеспечивающих их функционирование.

2. Назначение ответственных лиц.

   • Назначить ответственное лицо за организацию обработки персональных данных в информационных системах.
   • Назначить ответственное лицо за защиту информации и обеспечение безопасности персональных данных в информационных системах.
   • Назначить администратора информационной безопасности – должностное лицо, ответственное за технические меры защиты, включая персональные данные.

3. Создание рабочей группы или комиссии.
   Организовать постоянно действующую рабочую группу (или комиссию) для:

   • Установления уровня защищенности персональных данных;
   • Оценки вреда, который может быть причинён субъектам персональных данных при нарушении требований по их обработке и безопасности;
   • Работы с инцидентами информационной безопасности.

4. Утверждение перечней и регламентирующих документов.

   • Перечень информационных систем (в том числе систем обработки персональных данных).
   • Перечень должностей работников, осуществляющих обработку персональных данных.
   • Перечень персональных данных, разрешённых к обработке.
   • Акт по установлению уровня защищенности персональных данных в информационных системах.
   • Политику по обработке и защите персональных данных в информационных системах.

5. Разработка инструкций и порядков.

   • Инструкция Ответственного лица за защиту информации и обеспечение безопасности персональных данных в информационных системах.
   • Инструкция Администратора информационной безопасности информационных систем.
   • Инструкция по работе с инцидентами информационной безопасности.
   • Инструкция о порядке проведения разбирательств.
   • Инструкция системного администратора технических средств защиты информации информационных систем.
   • Инструкция ответственного лица за организацию обработки персональных данных в информационных системах.
   • Порядок обработки персональных данных в информационных системах.
   • Порядок использования типовых форм, содержащих персональные данные, не регламентируемых законодательством Российской Федерации.
   • Правила неавтоматизированной обработки персональных данных.
   • Правила оценки вреда, который может быть причинён субъектам персональных данных при нарушении требований по их обработке и безопасности.
   • Заключение об оценке вреда, который может быть причинён субъектам персональных данных при нарушении требований по их обработке и безопасности.
   • Матрица доступа пользователей к ресурсам информационных систем.
   • Перечень обрабатываемых сведений конфиденциального характера.
   • Правила внутреннего контроля соответствия обработки персональных данных в информационных системах.
   • Порядок уничтожения персональных данных в информационных системах при достижении целей обработки или при наступлении иных законных оснований.

6. Документальное обеспечение дополнительного уровня защиты.

   • Правила работы с обезличенными персональными данными и состав рабочей группы по их обезличиванию.
   • Места хранения материальных носителей персональных данных, используемых при обработке без средств автоматизации, обрабатываемых в информационных системах.
   • Места размещения машинных носителей персональных данных, используемых при обработке в информационных системах.
   • Инструкция по доступу работников в помещения, где размещаются технические средства информационных систем персональных данных, в которых ведётся обработка данных и обеспечивается их безопасность.
   • Регламент реагирования на запросы/обращения субъектов персональных данных и их представителей, а также уполномоченных органов по поводу неточности, неправомерной обработки, отзыва согласия и доступа субъектов к своим данным.

7. Обеспечение информационной безопасности и защиты данных.

   • Инструкция о порядке резервирования и восстановления информации в информационных системах.
   • Инструкция по организации антивирусной защиты.
   • Инструкция для пользователей, допущенных к обработке персональных данных.
   • Инструкция по организации парольной защиты в информационных системах.
   • Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам информационных систем.
   • Политика по управлению событиями информационной безопасности в информационных системах.
   • Политика по учёту внешних электронных носителей файлов, содержащих персональные данные, и правила проверки этих файлов перед загрузкой в информационные системы (при наличии соответствующей технологии).
   • Политика управления конфигурацией информационных систем.
   • Политика информационного взаимодействия со сторонними информационными системами.
   • План мероприятий по защите информации на ближнюю/среднесрочную перспективу.
   • Перечень лиц, осуществляющих техническую поддержку и сопровождение эксплуатации системы информационной безопасности информационных систем.
   • Форма соглашения о неразглашении сведений конфиденциального характера.

8. Отмена устаревших нормативных актов.

   • Прекратить действие локальных нормативных актов по вопросам защиты информации, действующих до принятия перечисленных документов (при необходимости).