Дневник megavtogal.com

МЕНЮ
  • Контакты
  • Статьи

Является ли файловый сервер испдн

Обновлено: 15.01.2025

2. надо ли объединять несколько ИСПДн на одних и тех же АРМ в одну?

Давайте рассмотрим требования, которые оказывают влияние на определение ИСПДн:

1. недопустимо объединение созданных для несовместимых между собой целей баз данных ИСПДн (в соответствии с статьей 5 ФЗ-152)

2. при фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы (ПП 687)

3. обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ (ПП 687)

4. необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях (ПП 687)

5. подключение информационной системы к информационной системе другого класса или к информационно-телекоммуникационной сети международного информационного обмена (сети связи общего пользования) осуществляется с использованием межсетевых экранов (приказ ФСТЭК Р N 58 от 05.02.2010)

6. учет лиц, допущенных к работе с персональными данными в информационной системе (ПП 781)

7. реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам (приказ ФСТЭК Р N 58 от 05.02.2010)

Как правило, цели обработки для разных категорий субъектов ПДн различаются (например, обработка данных сотрудников в целях выполнения трудового договора и обработка данных клиентов в целях выполнения федерального закона).

Учитывая приведенные требования 1-4 делаем вывод что ИСПДн логично разделять по категориям обрабатываемых субъектов ПДн. А если для одной категории субъектов цели обработки не совместимы – то разделять и по целям обработки ПДн.

Если в организации на одних и тех-же АРМ и серверов используется большое количество различного ПО, в рамках которого обрабатываются ПДн одной и той-же категории субъектов, то логично объединить их в одну ИСПДн. В таком случае выполнение требований 5-7 будет возможно минимальными силами и затратами.

Если в организации есть неавтоматизированная обработка ПДн, в которой участвуют те же сотрудники, что и в автоматизированной обработке ПДн, то для минимизации усилий на выполнение требований 3 и 6 логично объединить эти обработки в одну ИСПДн.

2. Да. Объединяем по максимуму ИСПДн с одинаковыми целями и субъектами ПДн.

3. Нет. Смысл этого потерялся - так как средства защиты для всех классов примерно одинаковые.

4. Нет. По возможности объединять в одну со смешанной обработкой.

Используя продукты Контура, специалисты делают внутренний контроль бизнеса систематизированным, снижают объем ручной работы и эффективно предупреждают нарушения.

Предмет данной статьи — разграничение информационных систем при защите персональных данных с помощью программы Киберсейф Межсетевой экран. В статье будет показан пример развертывания программы и разграничения доступа групп ПК в реальной компании.



Требования к защите информационных систем персональных данных

ИСПДн (Информационная система персональных данных) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Согласно приказу ФСТЭК России №21 от 18 февраля 2013 г., для обеспечения 3 уровня защищенности персональных данных применяются (пункт 12б):

межсетевые экраны не ниже 3 класса в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно­телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно­-телекоммуникационными сетями международного информационного обмена;

В этой статье будет рассмотрено практическое использование программы Киберсейф Межсетевой экран, которая на данный момент сертифицирована по 4-ому уровню защищенности, однако в течение месяца будет сертифицирована по 3-ему уровню (сертификат уже находится на подписи в ФСТЭК). С соответствующим сертификатом можно ознакомиться на сайте компании КиберСофт. Ссылка на государственный реестр сертифицированного ПО будет приведена в конце статьи.

Постановка задачи

Структура компании, в которой мы недавно внедряли программу Киберсейф Межсетевой экран, изображена на рис. 1.



Рис. 1. Структура компании

Рассматриваемая компания содержит пять отделов (Агроотдел, IT-отдел, юридический отдел, отдел управления, ИСПДн «Атлант ПД») и три филиала. Связь с удаленными филиалами осуществляется через Интернет. На шлюзе, как и на остальных компьютерах сети, установлена программа Киберсейф Межсетевой экран.
Далее в этой статье будет показано развертывание программы Киберсейф Межсетевой экран на все компьютеры сети с помощью Active Directory, а также настройка групповых правил.
Наша задача — оградить группу ИСПДн от внешнего мира (то есть закрыть ей доступ в Интернет) и от остальной локальной сети. Таким образом, компьютеры в ИСПДн смогут «общаться» только друг с другом. Стоит отметить, что данный продукт был специально создан для максимально быстрого решения задач по ограничению доступа к группам ПК. В других продуктах решение поставленной задачи занимает гораздо больше времени или вообще невозможно (если используется система динамического распределения сетевых адресов). Если не учитывать время, необходимое на развертывание программы с помощью Active Directory, ограничить доступ одной группы компьютеров к другой вы сможете за считанные минуты.
Данная схема не претендует на оригинальность или новизну. Задача была сделать продукт максимально удобным для разграничения нескольких ИС или ограничить одну ИС с конфиденциальной информацией от других секторов локальной сети и интернет в строгом соответсвии с законодательством РФ.

Создание файла трансформации



Рис. 2. Создание сценария развертывания



Рис. 3. Сохранение сценария развертывания

Развертывание Киберсейф Межсетевой экран с помощью Active Directory

Теперь рассмотрим процесс развертывания программы Киберсейф Межсетевой экран с помощью ActiveDirectory. Все иллюстрации для этого раздела были созданы в Microsoft Windows Server 2012 R2, но все приведенные инструкции будут работать и в более старых версиях (Microsoft Windows Server 2003/2008), возможно, немного будут отличаться иллюстрации.
Первым делом нужно создать папку для развертывания программного обеспечения. Она будет содержать все MSI-пакеты, развертывания которых вам нужно выполнить (не нужно создавать отдельную папку для программы Киберсейф Межсетевой экран).
Пусть это будет папка C:\Install. В этой папке создайте подпапку CSFirewall. В нее нужно поместить установочный файл csfirewall.msi и файл трансформации csfirewall.mst, который вы создали в предыдущем разделе.
К папке C:\Install нужно предоставить общий доступ. Для этого щелкните правой кнопкой по папке и выберите команду Свойства. На вкладке Доступ нажмите кнопку Общий доступ и предоставьте доступ на чтение и запись администратору и доступ только на чтение всем остальным пользователям сети.
Далее запустите редактор групповой политики gpmc.msc. Мы предполагаем, что программу Киберсейф Межсетевой экран нужно установить на все компьютеры сети. Поэтому щелкните правой кнопкой мыши на домене и выберите команду Создать объект групповой политики в этом домене и связать его (рис. 4).



Рис. 4. Редактор групповой политики

Назовите новый объект групповой политики CS_Firewall (рис. 5). В разделе Фильтры безопасности удалите группу Прошедшие проверку и добавьте компьютеры, группы и пользователей, к которым будут применены параметры данного объекта групповой политики (рис. 6). Другими словами добавьте компьютеры, на которые должна быть установлена программа.



Рис. 5. Создание нового объекта GPO



Рис. 6. Созданный объект GPO

Щелкните правой кнопкой мыши на только что созданном GPO (CS Firewall) и выберите команду Изменить. Перейдите в раздел Конфигурация пользователя, Политики, Конфигурация программ, Установка программ (рис. 7).



Рис. 7. Раздел Конфигурация пользователя, Политики, Конфигурация программ, Установка программ

Щелкните правой кнопкой на разделе Установка программ и выберите команду Создать, Пакет. В появившемся окне нужно выбрать путь к MSI-файлу программы. Обратите внимание, что вводить нужно не локальный путь, а сетевой, поскольку пользователи будут получать доступ к пакету по сети.
Следующий шаг — выбор метода развертывания. Поскольку мы хотим предоставить файл трансформации (mst-файл, созданный программой Киберсейф Удаленный сервер), то нужно выбрать особый метод развертывания (рис. 8). Благодаря этому будет открыто окно настройки пакета развертывания (рис. 9). Затем перейдите на вкладку Модификации, нажмите кнопку Добавить и выберите файл трансформации (.mst-файл), рис. 10.



Рис. 8. Выбор метода развертывания



Рис. 9. Настройка пакета развертывания



Рис. 10. Указываем файл трансформации

Примечание. После нажатия кнопки OK пакет и файл трансформации (файлы .msi и .mst соответственно) будут прокэшированы. Если вам понадобится изменить файл трансформации после создания пакета, то придется создавать пакет развертывания заново.

На этом работа с редактором групповой политики завершена. Закройте все окна, откройте командую строку (или хотя бы окно Выполнить, нажав комбинацию клавиш Win + R) и введите команду:


На этом все. Программа будет автоматически установлена на компьютеры после их перезагрузки и до отображения окна входа в систему. Пользователь ни на что не может повлиять и ни в чем не может ошибиться.
Иногда программа не устанавливается автоматически. Чаще всего такая проблема наблюдается на рабочих станциях под управлением Windows XP. Чтобы произвести ее установку, нужно вручную ввести на ней команду gpupdate /force.

Настройка правил брандмауэра

Используя панель администрирования Киберсейф межсетевой экран, вы можете задать глобальные и групповые правила для всех межсетевых экранов Киберсейф, установленных в вашей сети. Глобальные правила распространяются на все компьютеры, на которых установлена программа Киберсейф межсетевой экран, а групповые правила определяют поведение программы Киберсейф межсетевой экран, установленной на определенной группе компьютеров.
Прежде, чем приступить к настройке глобальных и групповых правил, нужно назначить пользователя администратором. Сделать это можно только с помощью программы Киберсейф Удаленный сервер.
Администратор может с помощью панели администрирования управлять удаленным брандмауэром. Итак, в программе Киберсейф Удаленный сервер разверните узел Пользователи и выберите пользователя, которого вы хотите сделать администратором и включите переключатель Администратор (рис. 11).



Рис. 11. Назначение пользователя администратором

Теперь приступим к решению нашей задачи. Напомню, нам нужно запретить доступ компьютерам ИСПДн «Атлант» доступ к Интернету и к другим компьютерам сети.
Войдите в программу Киберсейф Межсетевой экран и выберите команду меню Файрвол, Панель администрирования.
Создайте различные группы компьютеров, которые будут соответствовать имеющимся в сети отделам (см. рис. 1). Для создания группы щелкните правой кнопкой мыши на рабочей области и выберите команду Добавить группу. А чтобы добавить в группу компьютер просто перетащите его пиктограмму на пиктограмму группы. Конечный результат приведен на рис. 12. Обязательно нажмите кнопку Применить, чтобы программа «запомнила» созданные группы.
Нужно отметить, что при изменении IP-адресов входящих в группу компьютеров состав созданной группы не изменится. Поэтому не стоит волноваться о составе группы в случае использования в вашей организации DHCP-сервера.



Рис. 12. Созданные группы

Выделите ИСПДн «Атлант ПД» и нажмите кнопку Установить правила. Так вы сможете установить групповые правила. Для установки глобальных правил нужно выделить узел Все и нажать кнопку Установить правила.
Итак, установим правила для группы ИСПДн «Атлант ПД». В появившемся окне перейдите в раздел Правила безопасности и нажмите кнопку Добавить (рис. 13).



Рис. 13. Правила безопасности: пока не заданы

На вкладке Общие (рис. 14) задайте описание правила — «Запрет обмена данными с группой <Название группы>».
Установите тип правила — Запретить пакеты, выберите направление пакетов — Для всех пакетов и протокол — Любой.



Рис. 14. Вкладка Общие



Рис. 15. Вкладка Источник



Рис. 16. Вкладка Получатель

Повторите описанную процедуру для остальных групп в вашей сети. У вас должен получиться набор правил, показанный на рис. 17.



Рис. 17. Созданные правила для группы ИСПДн «Атлант ПД»

  1. Описание — Запрет доступа к Интернету
  2. Тип правила — Запретить пакеты
  3. Направление пакетов — Для всех пакетов
  4. Протокол — Любой

На вкладке Источник выберите в качестве источника ИСПДн «Атлант ПД» (рис. 15). На вкладке Получатель установите IP-адрес сервера (внутренний), например, 192.168.1.1 (рис. 18).



Рис. 18. Запрет доступа к Интернету



Рис. 19. Окончательный вариант правил

Закройте окно редактирования правил безопасности, а в окне Панель администрирования нажмите кнопку Применить, а затем закройте само окно.

Вывод

Поставленная задача решена и теперь компьютеры группы ИСПДн «Атлант ПД» не могут взаимодействовать с остальными компьютерами локальной сети и у них нет доступа к Интернету. Средствами программ Киберсейф Межсетевой экран информационная система персональных данных была полностью изолирована от остальной сети.

Основные меры по обеспечению безопасности персональных данных при их обработке в ИСПДн, необходимых для выполнения установленных Правительством РФ и ФСТЭК России требований к защите персональных данных для каждого из уровней защищенности

Виды информационных систем персональных данных

Угрозы безопасности персональных данных зависят от вида информационной системы персональных данных (ИСПДн). Нормативными правовыми актами в области защиты персональных данных определены виды ИСПДн, которые различаются теми или иными характеристиками.

Характеристики информационных систем персональных данных

  • на автономные (не подключенные к иным ИСПДн) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);
  • на комплексы автоматизированных рабочих мест, объединенных в единую ИСПДн средствами связи без использования технологии удаленного доступа (локальные ИСПДн);
  • на комплексы автоматизированных рабочих мест и (или) локальных ИСПДн, объединенных в единую ИСПДн средствами связи с использованием технологии удаленного доступа (распределенные ИСПДн).

По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена ИСПДн подразделяются на системы, имеющие подключения, и системы, не имеющие подключений.

ИСПДн имеет подключения к сетям связи общего пользования и (или) сетям международного информационного обмена, если вся система или ее элементы пересылают данные по электронным каналам связи в другие системы или имеют подключение к сети Интернет.

По режиму обработки персональных данных в ИСПДн. ИСПДн подразделяются на однопользовательские и многопользовательские.

ИСПДн является однопользовательской, когда один сотрудник сочетает в себе роли Администратора и Пользователя ИСПДн, и единолично осуществляет обработку персональных данных на одном автоматизированном рабочем месте. Во всех других случаях, ИСПДн является многопользовательской.

По разграничению прав доступа пользователей. ИСПДн подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа.

ИСПДн является системой с разграничением прав, если в ней присутствуют разные группы пользователей с разными правами. ИСПДн является системой без разграничения прав, когда все пользователи имеют одинаковые права на действия с персональными данными.

ИСПДн в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.

Основные виды информационных систем персональных данных

Исходя из характеристик ИСПДн, ФСТЭК России, выделило 6 видов ИСПДн [1]:

  1. автоматизированные рабочие места, не имеющих подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
  2. автоматизированные рабочие места, имеющих подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
  3. локальных ИСПДн, не имеющих подключения к сетям связи общего пользования и (или) сетям международного информационного обмена;
  4. локальных ИСПДн, имеющих подключения к сетям связи общего пользования и (или) сетям международного информационного обмена;
  5. распределенных ИСПДн, не имеющих подключения к сетям связи общего пользования и (или) сетям международного информационного обмена;
  6. распределенных ИСПДн, имеющих подключения к сетям связи общего пользования и (или) сетям международного информационного обмена.

Виды информационных систем персональных данных в сфере здравоохранения, социальной сферы, труда и занятости


Минздравсоцразвития России,с учетом основных видов ИСПДн от ФСТЭК России и характеристик ИСПДн, определило 10 типов ИСПДн для учреждений здравоохранения, социальной сферы, труда и занятости [2]. А именно:

Вывод

Из вышеизложенного следует вывод, что для всех организаций, которые не являются учреждениями здравоохранения, социальной сферы, труда и занятости, используют 6 основных видов информационных систем персональных данных определенных ФСТЭК России.

Учреждения здравоохранения, социальной сферы, труда и занятости, используют 10 видов информационных систем персональных данных определенных Минздравсоцразвития России.

П остановлением № 1119, принятым 1 ноября 2012 г., утверждены требования, распространяющиеся на защиту персональных данных (ПД) при их обработке в информсистемах. Также этот норматив определяет несколько уровней защищенности такой информации.

Предприятие, использующее персональную информацию, определяет уровень, который должен обеспечить ее защищенность, и оформляет при этом соответствующий акт.

Система защиты персональных данных

Эту систему составляют мероприятия организационной и технической направленности, определяемые в зависимости от реальных угроз, которые имеют место во время обработки ПД и использования при этом информационных технологий в информсистемах.

Обеспечение безопасности должен предусмотреть оператор, занимающийся обработкой ПД. Это может быть конкретное лицо, на которое возложены обязанности, или выполняющее поручение оператора по договору (уполномоченное лицо). Соглашение между предприятием и уполномоченными лицами составляется с учетом обязанности этих лиц обеспечивать безопасность ПД во время их обработки в информационной системе персональных данных (ИСПДн).

Средства защиты ИСПДн выбираются оператором с учетом нормативов, введенных в действие ФСБ РФ и ФС по техническому и экспортному контролю в соответствии с ч. 4 ст. 19 закона «О персональных данных».

ИСПДн имеет вид системы, в которой обрабатываются специальные категории данных, относящихся к персональным по расовым, национальным признакам, политическим, религиозным, философским взглядам и убеждениям, состоянию здоровья, личной жизни каждого субъекта ПД.

ИС по обработке биометрической информации имеет вид системы, в которой обрабатываются сведения по физиологическим, биологическим параметрам субъекта, позволяющим определить его личность и применяемым оператором для этих целей. Но не проходят обработку данные, имеющие отношение к специальному виду ПД.

Информсистемы с общедоступными данными обрабатывают информацию, которая получена из источников ПД, являющихся общедоступными, сформированных в соответствии со ст. 8 закона о персональных данных.

Информсистема, осуществляющая обработку ПД работников предприятия, производит все действия с их использованием только в отношении своих работников. В других случаях ИСПДн считается информсистемой, в которой проходит обработку информация о субъектах, не являющихся сотрудниками предприятия.

Актуальные угрозы, типы

К актуальным относят угрозы, представляющие собой группу условий и факторов, создающих определенную опасность неразрешенного (также и случайного) доступа к ПД во время работы с ними в ИС. Такие действия могут привести к тому, что важная конфиденциальная информация может быть уничтожена, изменена, заблокирована, скопирована, предоставлена кому-либо, распространена или даже использована для выполнения неправомерных действий.

Законодательство выделяет три типа угроз, которые могут быть актуальными для персональных данных:

  • к угрозам первого типа в информсистеме относятся те из них, которые в этой системе дополняются угрозами, связанными с недокументированными возможностями в системном ПО, которое применяется в данной ИС;
  • угрозами второго типа являются актуальные для ИС угрозы, включая связанные с недокументированными возможностями с использованием прикладного ПО, которое используется в ИС;
  • угрозы третьего уровня в ИС, которые не связаны с недокументированными возможностями в системном и прикладном ПО, которое в этой системе применяется.

Оператор самостоятельно определяет для себя тип угроз, актуальных для безопасности ПД, учитывая возможный ущерб, который они могут нанести, и ориентируясь на пункт 5 части 1 ст. 18 ФЗ о персональных данных, а также на ч. 4 ст. 19 этого же документа.

Классификация

ИСПДн классифицируются по структурным признакам и бывают:

  • автономного типа, размещенными в пределах одного автоматизированного рабочего места;
  • локального типа, в виде группы автоматизированных рабочих мест, объединенных в одну сеть локального вида;
  • распределенного типа, при котором связь между рабочими местами, локальными сетями, связанными между собой, осуществляется путем удаленного доступа.

Режим работы с ПД в ИСПДн разделяет их на одно- и многопользовательские. Первые встречаются довольно редко, обычно в пределах одного рабочего места может находиться от двух взаимозаменяемых человек.

Многопользовательские ИСПДн подразделяются на:

  • не ограничивающие права доступа;
  • разграничивающие эти права.

По расположению:

  • системы, размещенные на территории РФ;
  • системы, находящиеся полностью или частично за пределами России.

Уровни защищенности

Во время обработки ПД в информсистемах предусматривается установка четырех уровней защищенности этих данных.

Чтобы обеспечить первый уровень, необходимо соблюдение хотя бы одного из ниже перечисленных условий:

  • для такой ИС актуальны угрозы 1-го типа, ИС выполняет обработку спецкатегорий, биометрических или других ПД;
  • актуальность угроз 2-го типа с обработкой в ИС данных спецкатегорий ПД, касающихся больше 100 тыс. субъектов, не относящихся к сотрудникам оператора.

Обеспечить второй уровень необходимо, если соблюдается хоть одно из условий:

  • ИС подвергается угрозам 1-го типа и предназначена для обработки общедоступных ПД;
  • возможны угрозы 2-го типа при обработке информационной системой спецкатегорий ПД работников оператора, а также спецкатегорий данных не больше 100 тыс. субъектов, не считающихся работниками предприятия;
  • возможны угрозы 2-го типа с обработкой биометрических ПД;
  • при угрозах 2-го типа и обработке информсистемой общедоступных данных, касающихся больше чем 100 тыс. субъектов, которые не имеют отношения к сотрудникам оператора;
  • при угрозах 2-го типа и обработке прочих категорий ПД, превышающих по количеству 100 тыс. субъектов этих данных, не относящихся к работникам предприятия;
  • для ИСПДн с актуальными угрозами 3-го типа с обработкой в ней спецкатегорий ПД больше 100 тыс. субъектов, не являющихся работниками компании.

Требуется создать эффективную защиту для персональной информации с использованием 3-го уровня, если соблюдается одно из условий:

  • присутствуют угрозы 3-го типа, обработка информсистемой ведется по общедоступным ПД работников компании или общедоступным ПД, превышающим 100 тыс. субъектов, не являющихся сотрудниками предприятия;
  • актуальны угрозы 2-го типа для информсистемы, обрабатывающей прочие категории ПД работников оператора или другие категории ПД до 100 тысяч субъектов, которые не относятся к сотрудникам оператора;
  • возможны угрозы 3-го типа для информсистемы, которая производит обработку спецкатегорий ПД работников оператора или таких же данных до 100 тысяч субъектов, не относящихся к сотрудникам оператора;
  • угрозы 3-го типа при обработке биометрических ПД;
  • угрозы 3-го типа с обработкой прочих категорий персональной информации свыше 100 тыс. субъектов ПД, не сотрудников оператора.

Четвертый уровень ИСПДн предусматривается, если будет присутствовать одно из условий в информационной системе:

  • присутствие угроз 3-го типа во время обработки общедоступных ПД;
  • присутствуют угрозы 3-го типа при обработке иных категорий ПД сотрудников оператора или субъектов, не являющихся его сотрудниками, в количестве до 100 тыс. человек.

Обеспечение защищенности

Чтобы обеспечить 4-й уровень защищенности ПД, необходимо выполнять следующие требования:

  • организовать режим, обеспечивающий безопасное использование помещений, которые применяются для размещения информсистемы. Такой режим должен препятствовать попыткам несанкционированного доступа или пребывания в них людей, которые не имеют права в них находиться;
  • носителям персональных данных необходимо обеспечить сохранность;
  • руководитель оператора обязан утвердить документ, устанавливающий список сотрудников, имеющих доступ к ПД, которые обрабатываются в информсистеме, и выполняющих с использованием этих данных своих служебные обязанности;
  • должны использоваться средства защиты информации, которые были оценены на соответствие требованиям законов РФ, касающихся обеспечения информационной безопасности, если применение этих средств требуется, чтобы нейтрализовать актуальные угрозы.

Третий уровень защищенности ПД во время их обработки в ИС должен обеспечиваться вышеперечисленными требованиями, а также путем назначения конкретного должностного лица, которое будет отвечать за обеспечение безопасности ПД в информсистеме.

Чтобы обеспечить первый уровень защищенности ПД во время их обработки в информсистемах, кроме всех требований, описанных в этом разделе, нужно выполнять дополнительные условия:

  • выполнение регистрации в электронном журнале в автоматическом режиме изменения полномочий, которыми наделяется сотрудник оператора по доступу к ПД, хранящимся в информсистеме;
  • формирование подразделения в структуре оператора, которое должно отвечать за создание и соблюдение условий безопасности ПД в информсистеме. Можно возложить такие обязанности на определенное структурное подразделение.

Оператор должен обеспечить контроль над соблюдением всех требований, установленных законодательством РФ в отношении использования персональных данных. Сделать это можно как самостоятельно, так и с привлечением по договору лицензированных юридических лиц, ИП для организации технической защиты персональной информации и конфиденциальных данных. Такой контроль должен осуществляться 1 раз в три года. Сроки оператор устанавливает самостоятельно.

Акт классификации ИСПДн

Акт должен определять структуру всей системы ПД, а также режим, в котором будут обрабатываться конфиденциальные сведения. Этот документ относится к категории хранящихся под грифом конфиденциальности, ему должен быть присвоен учетный номер.

Чтобы провести классификацию, оператор должен создать на предприятии специальную комиссию. В ее состав должно войти в обязательном порядке лицо, ответственное за защищенность персональных данных. Комиссию назначают приказом собственника предприятия. Этот орган должен осуществлять свою деятельность с учетом Положения о такой комиссии. Результаты ее работы оформляются актом классификации ИСПДн. Подписанный всеми членами комиссии акт утверждается ее председателем.

Читайте также:

      
  • Как положить текст на картинку на компьютере
    •   
  • Что такое профессиональный компьютер
    •   
  • Как установить mocha pro в premiere pro
    •   
  • Digma dicam 210 обзор
    •   
  • Acrylic dns proxy настройка
  • Контакты
  • Политика конфиденциальности