Общие требования по защите информации

Обработка информации, содержащейся в ИСПДн, а также подключение к серверному сегменту осуществляется после принятия Управляющей компанией необходимых организационных и технических мер по защите информации:
Определена контролируемая зона, охране помещений, ограничения допуска лиц контролируемую зону.
Подготовке и утверждения комплекта организационно-распорядительной документации, включающей в себя следующие документы:
политика (положение) в отношении обработки ПДн;
приказ о назначении ответственного за организацию обработки ПДн, о назначении ответственного за обеспечение безопасности ПДн (администратора информационной безопасности;
приказ о назначении ответственного за эксплуатацию СКЗИ (если таковые используются в ИСПДн);
приказ о создании комиссии по информационной безопасности;
акт установки и настройки средств защиты информации;
акт определения уровня защищенности ИСПДн;
приказ об установлении границ контролируемой зоны ИС
журналы по информационной безопасности:
журнал учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на автоматизированных рабочих местах;
журнал учета периодического тестирования средств защиты информации;
журнал учета обращений субъектов персональных данных;
журнал учета резервного копирования и восстановления данных в ИСПДн;
журнал учета пользователей, допущенных к ИСПДн;
журнал учета съемных носителей конфиденциальной информации;
журнал учета передачи ПДн;
журнал учета средств защиты информации, эксплуатационной и технической документации к ним;
журнал учета хранилищ;
инструкции по обеспечению безопасности ПДн:
инструкция администратора информационной безопасности;
инструкция пользователя по обеспечения безопасности информации в ИСПДн;
инструкция по выполнению режимных мер и допуску к ИСПДн (о пропускном и внутриобъктовом режимах);
инструкция сотруднику, ведущему обработку ПДн без использования средств автоматизации;
инструкция по организации парольной защиты;
инструкция по проведению антивирусного контроля;
инструкция по резервному копированию и восстановлению данных в ИСПДн;
инструкция по учету лиц, допущенных к работе с ПДн в ИСПДн;
инструкция по обработке запросов субъекта ПДн, его законного представителя и органа, уполномоченного в сфере защиты прав субъекта ПДн;
инструкция по работе с обезличенными ПДн;
описание технологического процесса обработки информации в ИСПДн;
описание настроек системы защиты информации;
перечень ИСПДн с указанием защищаемой информации, обрабатываемой в ИСПДн;
перечень мест хранения материальных носителей ПДн;
перечень лиц, доступ которых к обработке ПДн необходим для исполнения должностных обязанностей;
перечень лиц или должностей, имеющих право самостоятельного (неконтролируемого) пребывания в помещениях размещения основных и вспомогательных средств и систем ИСПДн;
план мероприятий по обеспечению безопасности информации, обрабатываемой в ИСПДн и порядок проведения внутренних проверок организации защиты ПДн;
документ, определяющий состав технических и программных средств ИСПДн;
порядок проведения внутреннего контроля процесса обработки ПДнна соответствия требованиям законодательства Российской Федерации в области защиты ПДн;
порядок уничтожения ПДн при достижении целей обработки или при наступлении иных законных оснований;
разрешительная система доступа пользователей к ИСПДн;
типовая форма согласия на обработку ПДн и обязательства о неразглашении ПДн;
требования по обеспечению безопасности ПДн при их обработке в ИСПДн;
частная модель угроз безопасности ПДн при их обработке в ИСПДн.
Ознакомление работников Управляющей компании, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Управляющей компании, как оператора ПДн в отношении их обработки, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников.
Проведена оценка эффективности принимаемых мер по обеспечению безопасности ПДн и закрепление.
Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Для организации обработки Управляющая компания должна заключить договор-поручение на обработку ПДн с лицом, организующим функционирование серверного сегмента.
Должны быть предприняты организационно-технические меры по организации процедуры обезличивания (деобезличивания) ПДн при их передаче по каналам связи выходящим за границы контролируемой зоны.

PreviousОписание системы NextТехнические требования

Last updated 1 year ago

Общие требования по защите информации

Обработка информации, содержащейся в ИСПДн, а также подключение к серверному сегменту осуществляется после принятия Управляющей компанией необходимых организационных и технических мер по защите информации:
Определена контролируемая зона, охране помещений, ограничения допуска лиц контролируемую зону.
Подготовке и утверждения комплекта организационно-распорядительной документации, включающей в себя следующие документы:
политика (положение) в отношении обработки ПДн;
приказ о назначении ответственного за организацию обработки ПДн, о назначении ответственного за обеспечение безопасности ПДн (администратора информационной безопасности;
приказ о назначении ответственного за эксплуатацию СКЗИ (если таковые используются в ИСПДн);
приказ о создании комиссии по информационной безопасности;
акт установки и настройки средств защиты информации;
акт определения уровня защищенности ИСПДн;
приказ об установлении границ контролируемой зоны ИС
журналы по информационной безопасности:
журнал учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на автоматизированных рабочих местах;
журнал учета периодического тестирования средств защиты информации;
журнал учета обращений субъектов персональных данных;
журнал учета резервного копирования и восстановления данных в ИСПДн;
журнал учета пользователей, допущенных к ИСПДн;
журнал учета съемных носителей конфиденциальной информации;
журнал учета передачи ПДн;
журнал учета средств защиты информации, эксплуатационной и технической документации к ним;
журнал учета хранилищ;
инструкции по обеспечению безопасности ПДн:
инструкция администратора информационной безопасности;
инструкция пользователя по обеспечения безопасности информации в ИСПДн;
инструкция по выполнению режимных мер и допуску к ИСПДн (о пропускном и внутриобъктовом режимах);
инструкция сотруднику, ведущему обработку ПДн без использования средств автоматизации;
инструкция по организации парольной защиты;
инструкция по проведению антивирусного контроля;
инструкция по резервному копированию и восстановлению данных в ИСПДн;
инструкция по учету лиц, допущенных к работе с ПДн в ИСПДн;
инструкция по обработке запросов субъекта ПДн, его законного представителя и органа, уполномоченного в сфере защиты прав субъекта ПДн;
инструкция по работе с обезличенными ПДн;
описание технологического процесса обработки информации в ИСПДн;
описание настроек системы защиты информации;
перечень ИСПДн с указанием защищаемой информации, обрабатываемой в ИСПДн;
перечень мест хранения материальных носителей ПДн;
перечень лиц, доступ которых к обработке ПДн необходим для исполнения должностных обязанностей;
перечень лиц или должностей, имеющих право самостоятельного (неконтролируемого) пребывания в помещениях размещения основных и вспомогательных средств и систем ИСПДн;
план мероприятий по обеспечению безопасности информации, обрабатываемой в ИСПДн и порядок проведения внутренних проверок организации защиты ПДн;
документ, определяющий состав технических и программных средств ИСПДн;
порядок проведения внутреннего контроля процесса обработки ПДнна соответствия требованиям законодательства Российской Федерации в области защиты ПДн;
порядок уничтожения ПДн при достижении целей обработки или при наступлении иных законных оснований;
разрешительная система доступа пользователей к ИСПДн;
типовая форма согласия на обработку ПДн и обязательства о неразглашении ПДн;
требования по обеспечению безопасности ПДн при их обработке в ИСПДн;
частная модель угроз безопасности ПДн при их обработке в ИСПДн.
Ознакомление работников Управляющей компании, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Управляющей компании, как оператора ПДн в отношении их обработки, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников.
Проведена оценка эффективности принимаемых мер по обеспечению безопасности ПДн и закрепление.
Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Для организации обработки Управляющая компания должна заключить договор-поручение на обработку ПДн с лицом, организующим функционирование серверного сегмента.
Должны быть предприняты организационно-технические меры по организации процедуры обезличивания (деобезличивания) ПДн при их передаче по каналам связи выходящим за границы контролируемой зоны.

PreviousОписание системы NextТехнические требования

Last updated 1 year ago