Общие требования по защите информации

Обработка информации, содержащейся в ИСПДн, а также подключение к серверному сегменту осуществляется после принятия Управляющей компанией необходимых организационных и технических мер по защите информации:

Определена контролируемая зона, охране помещений, ограничения допуска лиц контролируемую зону.

Подготовке и утверждения комплекта организационно-распорядительной документации, включающей в себя следующие документы:

политика (положение) в отношении обработки ПДн;

приказ о назначении ответственного за организацию обработки ПДн, о назначении ответственного за обеспечение безопасности ПДн (администратора информационной безопасности;

приказ о назначении ответственного за эксплуатацию СКЗИ (если таковые используются в ИСПДн);

приказ о создании комиссии по информационной безопасности;

акт установки и настройки средств защиты информации;

акт определения уровня защищенности ИСПДн;

приказ об установлении границ контролируемой зоны ИС

журналы по информационной безопасности:

журнал учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на автоматизированных рабочих местах;

журнал учета периодического тестирования средств защиты информации;

журнал учета обращений субъектов персональных данных;

журнал учета резервного копирования и восстановления данных в ИСПДн;

журнал учета пользователей, допущенных к ИСПДн;

журнал учета съемных носителей конфиденциальной информации;

журнал учета передачи ПДн;

журнал учета средств защиты информации, эксплуатационной и технической документации к ним;

журнал учета хранилищ;

инструкции по обеспечению безопасности ПДн:

инструкция администратора информационной безопасности;

инструкция пользователя по обеспечения безопасности информации в ИСПДн;

инструкция по выполнению режимных мер и допуску к ИСПДн (о пропускном и внутриобъктовом режимах);

инструкция сотруднику, ведущему обработку ПДн без использования средств автоматизации;

инструкция по организации парольной защиты;

инструкция по проведению антивирусного контроля;

инструкция по резервному копированию и восстановлению данных в ИСПДн;

инструкция по учету лиц, допущенных к работе с ПДн в ИСПДн;

инструкция по обработке запросов субъекта ПДн, его законного представителя и органа, уполномоченного в сфере защиты прав субъекта ПДн;

инструкция по работе с обезличенными ПДн;

описание технологического процесса обработки информации в ИСПДн;

описание настроек системы защиты информации;

перечень ИСПДн с указанием защищаемой информации, обрабатываемой в ИСПДн;

перечень мест хранения материальных носителей ПДн;

перечень лиц, доступ которых к обработке ПДн необходим для исполнения должностных обязанностей;

перечень лиц или должностей, имеющих право самостоятельного (неконтролируемого) пребывания в помещениях размещения основных и вспомогательных средств и систем ИСПДн;

план мероприятий по обеспечению безопасности информации, обрабатываемой в ИСПДн и порядок проведения внутренних проверок организации защиты ПДн;

документ, определяющий состав технических и программных средств ИСПДн;

порядок проведения внутреннего контроля процесса обработки ПДнна соответствия требованиям законодательства Российской Федерации в области защиты ПДн;

порядок уничтожения ПДн при достижении целей обработки или при наступлении иных законных оснований;

разрешительная система доступа пользователей к ИСПДн;

типовая форма согласия на обработку ПДн и обязательства о неразглашении ПДн;

требования по обеспечению безопасности ПДн при их обработке в ИСПДн;

частная модель угроз безопасности ПДн при их обработке в ИСПДн.

Ознакомление работников Управляющей компании, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Управляющей компании, как оператора ПДн в отношении их обработки, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников.

Проведена оценка эффективности принимаемых мер по обеспечению безопасности ПДн и закрепление.

Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Для организации обработки Управляющая компания должна заключить договор-поручение на обработку ПДн с лицом, организующим функционирование серверного сегмента.

Должны быть предприняты организационно-технические меры по организации процедуры обезличивания (деобезличивания) ПДн при их передаче по каналам связи выходящим за границы контролируемой зоны.