Журнал "Системы Безопасности" № 2‘2025
S E C U R I T Y A N D I T M A N A G E M E N T 29 l информировать сотрудников о положениях закона о персональных данных, локальных актов по вопросам обработки этих данных, требований к их защите; l принимать и обрабатывать обращения или запросы субъектов персональных данных или их представителей. Примерный план мероприятий по организации защиты ПДн для организации защиты Пдн учреждение раз- рабатывает примерно такой план: 1. назначение ответственного за обработку Пдн. 2. Подготовка политики "Об обработке персо- нальных данных работников на предприятии…". 3. Размещение данного документа на сайте предприятия в открытом доступе. 4. Подготовка уведомления об обработке Пдн оператором Пдн. 5. Проведение аудита в каждом подразделе- нии, обрабатывающем Пдн. 6. Подготовка и утверждение организационно- распорядительной документации. Организационно-распорядительная документация по обработке ПДн для обработки Пдн необходимо разработать и утвердить документы, указанные в табл. 6. Проведение общего аудита Целью данного мероприятия является текущая ревизия (инвентаризация), проводимая для понимания реального состояния дел по защите информации в организации. Общий аудит осуществляется по способам защиты Пдн, коммерческой тайны, иной кон- фиденциальной информации, расположенной на материальных носителях, а также конфиден- циальной информации, находящейся в АиС. в РнБ в настоящее время проводится общий аудит с целью определения: l видов конфиденциальной информации, цир- кулирующей в РнБ; l категорий Пдн; l типов угроз; l уровней защищенности АиС; l лидеров команд поддержки АиС (ответствен- ных за поддержку и обновления ОС, приклад- ного ПО, администраторов Бд); l когда проводились аудиты защищенности АиС, ролей/доступов СУБд и т.д. l других вспомогательных данных. для достижения данной цели в РнБ была раз- работана контрольная таблица. Руководителям подразделений предложено ее заполнить – это позволит иметь реальную кар- тину текущего состояния защиты информации. Определение уровней защищен- ности и конкретных мер защиты по уровню защищенности меры защиты по уровню защищенности опре- деляются согласно приложению к приказу ФСТЭК от 18.02.2013 № 21 "Об утверждении состава и содержания организационных и тех- нических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных". Уровни защищенности иСПдн могут определятся как вручную (табл. 3), так и при помощи широко представленных в интернете интерактивных калькуляторов, например см. рис. 2. Определив уровень защищенности по таблице, представленной в приказе ФСТЭК от 18.02.2013 № 21, определяем конкретные необходимые меры защиты Пдн для конкретной АиС, а получив информацию о текущих мерах защиты, нетрудно вычислить недостающие. Главные цели аудита Является информация конфиденциальной или нет – это определяет исполнитель или владелец информации. исполнитель – субъект, который непосредственно работает с данным видом информации. владелец – субъект, как правило, руководитель, который подписывает докумен- ты, содержащие данные сведения. По такому принципу проходит первичный аудит, когда выявляются: 1. наименование подразделения, обрабаты- вающего Пдн. 2. ФиО исполнителя (заполняющего таблицу). 3. название автоматизированной информа- ционной системы (иСПдн). 4. Расположение автоматизированной инфор- мационной системы. 5. виды (типы) обрабатываемой информации ограниченного доступа. 6. Пояснение, что именно содержит указанная информация. 7. на каком материальном носителе обра- батывается информация ограниченного доступа. 8. меры защиты для документов на материаль- ных носителях, содержащих указанную инфор- мацию ограниченного доступа. 9. меры защиты для автоматизированных информационных систем (АиС), содержащих указанную информацию ограниченного доступа. 10. Тип актуальных угроз АиС. 11. Уровень защищенности Пдн. 12. ФиО владельца АиС. 13. ФиО лидера команды эксплуатации инфор- мационной системы. 14. ФиО лидера команды установки обновле- ний и поддержки ОС, наименование ОС. 15. дата последнего сканирования на уязвимо- сти (день, месяц, год). 16. Периодичность антивирусного сканирова- ния в днях. 17. дата последнего аудита ролей/доступов (день, месяц, год). Главные цели аудита – определить текущее состояние дел по защищенности иС и помеще- ний от несанкционированных действий, а также соответствие текущего уровня защиты АиС необходимому, согласно требованиям следую- щих документов: l Федерального закона от 27.07.2006№152-Фз "О персональных данных"; l постановления Правительства РФ от 01.11.2012 № 1119 "Об утверждении требо- ваний к защите персональных данных при их обработке в информационных системах пер- сональных данных"; l приказа Федеральной службы по техническо- му и экспортному контролю от 18.02.2013 № 21 "Об утверждении Состава и содержа- ния организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных". Заключение мы рассмотрели на примере Российской национальной библиотеки вопросы определе- ния субъекта Кии, а также различные аспекты обработки Пдн. надеемся, что этот материал будет полезным для организаций и ведомств, сталкивающихся с подобными задачами. n Иллюстрации предоставлены автором. www.secuteck.ru апрель – май 2025 СПЕЦПРОЕКТ АнТиТЕРРОР. БЕзОПАСнОСТь мЕСТ С мАССОвым ПРЕБывАниЕм людЕй Ваше мнение и вопросы по статье направляйте на ss @groteck.ru № пп Документы Требования нормативных правовых актов 12. Документы, устанавливающие места хранения материальных носителей персональных данных П. 14 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правитель- ства РФ от 15.09.2008 № 687 13. Документы, устанавливающие перечень мер, необходимых для обеспечения условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер П. 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правитель- ства РФ от 15.09.2008 № 687 14. l Локальные документы, регламентирующие порядок и условия обработки персональных данных работ- ников, кандидатов на замещение вакантных должностей, ведение кадрового резерва (при наличии). l Документы, подтверждающие факт ознакомления работников с локальными документами, регламен- тирующими порядок и условия обработки их персональных данных Глава 14 Трудового кодекса Российской Федерации
Made with FlippingBook
RkJQdWJsaXNoZXIy Mzk4NzYw