+7(499)-938-42-58 Москва
+7(800)-333-37-98 Горячая линия

Перечень документов по защите информации в организации

Содержание

Документы по информационной безопасности | Комплект типовых документов по информационной безопасности

Перечень документов по защите информации в организации

Федеральный закон «О защите персональных данных». Данный закон, в частности, определяет требования к информационным системам персональных данных и регламентирует необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним.

Федеральный закон «О коммерческой тайне»

Федеральный закон о коммерческой тайне. Этот закон регулирует отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности.

Закон «Об архивном деле»

Федеральный закон «Об архивном деле». Этот закон регулирует отношения в сфере организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации и других архивных документов независимо от их форм собственности.

Стандарт Банка России

«Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Данный документ, в частности, регламентирует порядок работы с конфиденциальной информацией внутри банка.

Соглашение Basel II

«Международная конвергенция измерения капитала и стандартов капитала: новые подходы». Все банки Европы, а также крупнейшие банки США должны иметь архивы электронной корреспонденции с возможностью проведения аналитических выборок и гарантией аутентичности сохраняемых сообщений.

Закон HIPAA

Health Insurance Portability and Accountability Act of 1996 гласит, что: «Все медицинские, страховые и финансовые организации, работающие с чувствительной медицинской информацией должны хранить не менее 6 лет всю свою электронную документацию».

Закон SOX

Sarbanes-Oxley Act of 2002, §802 – Все публичные компании, представленные на фондовом рынке США, обязаны собирать, архивировать и хранить на протяжении минимум семи лет электронную корпоративную корреспонденцию.

Правило 17а-4 Комиссии по ценным бумагам США

SEC Rule 17a-4. Все финансовые публичные компании, представленные на фондовом рынке США, должны хранить переписку с клиентами в виде отдельной базы данных.

Федеральный закон «О связи»

Настоящий Федеральный закон устанавливает правовые основы деятельности в области связи на территории Российской Федерации и на находящихся под юрисдикцией Российской Федерации территориях, определяет полномочия органов государственной власти в области связи, а также права и обязанности лиц, участвующих в указанной деятельности или пользующихся услугами связи.

Доктрина информационной безопасности

Данный документ — совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности РФ. Доктрина служит основой для:

  • формирования государственной политики в области обеспечения ИБ РФ;
  • подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения ИБ РФ;
  • разработки целевых программ обеспечения ИБ РФ.

Доктрина ИБ РФ была утверждена президентом России В.В. Путиным 9.09.2000 года. Новую редакцию доктрины приняли в декабре 2016 года.

Федеральный закон «Об информации, информационных технологиях и о защите информации»

Закон «Об информации, информационных технологиях и защите информации» определяет и закрепляет права на защиту информации и информационную безопасность граждан и организаций в ЭВМ и в информационных системах, а также вопросы информационной безопасности граждан, организаций, общества и государства. В законе дано правовое определение понятия «информация»: «информация — сведения (сообщения, данные) независимо от формы их представления».

Федеральный закон «О противодействии неправомерному использованию инсайдерской информации»

Новый для российского правового поля Федеральный закон №224-ФЗ определяет сведения, относящиеся к инсайдерской информации, обозначает перечень лиц, относящихся к инсайдерам, а также действия, относящиеся к манипулированию рынком. Также он устанавливает меры противодействия неправомерному использованию инсайдерской информации и манипулированию рынком и перечень запрещенных способов использования инсайдерской информации, обязанность и порядок ее раскрытия.

Требования закона направлены, в том числе, на банки. Для автоматизированного контроля за конфиденциальными сведениями банковские службы ИБ используют DLP-системы.

Федеральный закон «О банках и банковской деятельности»

Безопасность информации, отнесенной к банковской тайне, обеспечивается в соответствии со статьей 26 Федерального закона «О банках и банковской деятельности»

Федеральный закон «Об электронной подписи»

В Законе РФ от 6 апреля 2011 года №63-ФЗ «Об электронной подписи» прописаны условия использования ЭП, особенности её использования в сферах государственного управления и в корпоративной информационной системе.

Благодаря ЭП теперь, в частности, многие российские компании осуществляют свою торгово-закупочную деятельность в Интернете, через «Системы электронной торговли», обмениваясь с контрагентами необходимыми документами в электронном виде, подписанными ЭП.

Это значительно упрощает и ускоряет проведение конкурсных торговых процедур.

Перечень документов по персональным данным в организации

Перечень документов по защите информации в организации

Практическая защита
персональных данных

Ниже приведен список документов, адаптированный для организации (учреждения), в котором обрабатываются только персональные данные сотрудников. Все эти документы Вы можете сгенерировать при помощи нашего онлайн сервиса. Для регистрации в сервисе перейдите по ссылке.

  • 20.06.2019
  • | Обработка ПДн
  • | 415

В последнее время скандалы, связанные с утечкой персональных данных, приобрели невиданный прежде масштаб. Подобные инциденты происходят все чаще. Финансовый и репутационный ущерб от их реализации становится все более ощутимым для компаний, а практика показывает, что даже у корпоративных гигантов отсутствует 100% уверенность в защищенности своей конфиденциальной информации.

Тем не менее, угроза эта касается не только крупных коммерческих организаций. Оператором персональных данных согласно российскому законодательству является любое юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных.

При этом исчерпывающего списка, что же является персональными данным, нет, но мы можем выделить самые важные из них:

адрес места регистрации и/или проживания;

номер банковской карты и/или лицевого счета.

Исходя из списка выше, можно понять, что в качестве оператора персональных данных может выступать любая организация, которая обрабатывает данные своих сотрудников. Следовательно, под проверку Роскомнадзора может попасть каждая организация.

Что первым проверит Роскомнадзор?

Роскомнадзор, конечно, не будет следить круглосуточно за вашей организацией. Первое, на что обратит внимание регулятор во время проверки, — наличие и актуальность документов, регламентирующих порядок сбора, хранения, обработки и уничтожения персональных данных граждан.

Эта организационно-распорядительная документация является фундаментом успешной и эффективной системы защиты информации, и потому очень важна.

ОРД определяет ответственных лиц, их обязанности, порядок работы с данными, уровень доступа, алгоритмы реагирования в случае возникновения инцидентов и другие важные нюансы.

Весь перечень документации, регламентирующей деятельность оператора ПДн, содержится более чем в 30 нормативно-правовых актах. Чтобы разобраться в них и выделить главное – понадобится большое количество времени.

Для вашего удобства мы собрали весь список, требуемых законодательством документов по персональным данным, в единый чек-лист.

Данный список поможет вам определить уровень готовности вашего пакета ОРД к проверкам регулятора.

Чек-лист готовности пакета документов к проверке Роскомнадзора для юридических лиц и индивидуальных предпринимателей.

  1. Акт установления уровня защищенности информационных систем персональных данных.
  2. Акт классификации государственной информационной системы или муниципальной информационной системы.
  3. Журнал регистрации письменных запросов граждан на доступ к своим персональным данным.
  4. Журнал регистрации обращений граждан для получения доступа к своим персональным данным.
  5. Журнал регистрации инцидентов информационной безопасности.
  6. Заключение об оценке вреда субъектам персональных данных.
  7. Инструкция об осуществлении контроля выполнения требования по защите персональных данных.
  8. Инструкция по допуску лиц в помещения, в которых ведется обработка персональных данных.
  9. Инструкция по учёту машинных носителей и регистрации их выдачи.
  10. Модель угроз.
  11. Отзыв согласия субъекта персональных данных.
  12. Перечень информационных систем персональных данных.
  13. Перечень мероприятий по защите персональных данных.
  14. План внутренних проверок состояния защиты персональных данных.
  15. Политика обработки персональных данных.
  16. Положение об ответственном за организацию обработки персональных данных.
  17. Положение о порядке обработки персональных данных.
  18. Положение по работе с инцидентами информационной безопасности.
  19. Приказ «О ведении журнала ознакомления работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и обучения указанных сотрудников.
  20. Приказ «О журнале учета посетителей».
  21. Приказ «О журнале регистрации инцидентов информационной безопасности».
  22. Приказ «О журнале учёта проверок юридического лица, индивидуального предпринимателя, проводимых органами государственного контроля (надзора), органами муниципального контроля».
  23. Приказ «О назначении ответственного за организацию обработки персональных данных».
  24. Приказ «О назначении комиссии по работе с инцидентами информационной безопасности».
  25. Приказ «О создании комиссии по установлению уровня защищенности персональных данных в информационных системах персональных данных».
  26. Приказ «Об организации мероприятий по защите персональных данных».
  27. Приказ «Об ответственности за обработку и защиту персональных данных».
  28. Приказ «Об установлении границ контролируемой зоны объектов информатизации».
  29. Приказ «Об утверждении мест хранения материальных носителей персональных данных».
  30. Приказ «Об утверждении перечня лиц, имеющих право доступа в помещения, где размещены используемые средства криптографической защиты информации (СКЗИ), хранятся СКЗИ и (или) носители ключевой и аутентифицирующей и парольной информации СКЗИ».
  31. Приказ «Об утверждении типового обязательства работника о неразглашении персональных данных субъектов персональных данных».
  32. Приказ «Об утверждении типовой формы разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные».
  33. Приказ «Об утверждении форм актов уничтожения персональных данных».
  34. Приказ «Об утверждении форм согласий на обработку персональных данных».
  35. Приказ «Об утверждении типовой формы поручения обработки персональных данных».
  36. Типовая форма поручения обработки персональных данных.
  37. Уведомление об обработке персональных данных.

2. Перечень документов, обеспечивающих защиту информации на предприятии

Перечень документов по защите информации в организации

  • Перечень сведений, составляющих конфиденци­альную информацию предприятия;
  • Договорное обязательство о неразглашении КИ;
  • Инструкция по защите конфиденциальной информации;
  • Инструкция о работе с иностранными фирмами и их представителями;
  • Соглашение о конфиденциальности (между организациями)
  • Также различные законодательные акты в сфере информации, информационных технологиях и ее защите
  • Номенклатура должностей работников, допущенных к сведениям, составляющих конфиденциальную тайну
  • Документы, регламентирующие порядок допуска и доступа к сведениям конфиденциального характера

3. Основные руководящие документы

  • Федеральный закон “Об информации, информационных технологиях и о защите информации” от 27 июля 2006 года № 149-ФЗ;
  • Федеральный закон “О персональных данных” от 27 июля 2006 года № 152-ФЗ;
  • Указ Президента Российской Федерации от 6 марта 1997 г. № 188 “Об утверждении Перечня сведений конфиденциального характера”;
  • Приказ ФСТЭК России от 5 февраля 2010 г. № 58 “Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных”;

4. Основные принципы и правила работы с документами конфиденциального характера, требования по защите зао «Эр-Телеком Холдинг»

Защита информацииобеспечивается комплексомпрограммно-технических средств иподдерживающих их организационных мер.В их числе:

  • применение специальных программно – аппаратных средств защиты;
  • организация системы контроля безопасности информации;
  • физическая охрана ПЭВМ и ее средств;
  • наличие администратора службы информационной безопасности;
  • учет носителей информации;
  • сигнализация о попытках нарушения защиты;
  • периодическое тестирование технических и программных средств защиты;
  • использование сертифицированных программных и технических средств.
  • организация пропускного и внутриобъектового режима;
  • организация видеонаблюдения.
  • Организация разграничительной системы доступа сотрудников к информации различного уровня секретности программными и аппаратными средствами;
  • Проведение различных инструктажей

Защита информациидолжна обеспечиваться во всехтехнологических этапах обработкиинформации и во всех режимахфункционирования, в том числе, припроведении ремонтных и регламентныхработ.

Защита информациидолжна предусматривать контрольэффективности средств защиты. Этотконтроль может быть периодическим, либоинициироваться по мере необходимостипользователем или контролирующимиорганами.

Каждый исполнительработ как пользователь сети конфиденциальнойсвязи должен быть зарегистрирован уадминистратора службы безопасности.

При осуществлениидоступа в глобальные сети передачиданных непосредственно с рабочих местдолжны быть приняты меры, исключающиевозможность воздействия нарушителя поканалам связи, выходящим за пределыконтролируемой зоны

5. Организационные меры защиты информации от нсд

На предприятиидолжны соблюдаться следующиеорганизационные меры:

  1. Право доступа к рабочим местам предоставляется только лицам, ознакомленными с правилами пользования и изучившим эксплуатационную документацию на программное обеспечение.

  2. Запрещается осуществление несанкционированного администратором копирования носителей информации.

  3. Запрещается разглашение содержимого носителей и передачу самих носителей лицам, к ним не допущенным, а также выводить ключевую информацию на дисплей и принтер при работе с клиентами.

  4. Запрещается запись на носители информации посторонней информации.

  5. На технических средствах должно использоваться только лицензионное программное обеспечение фирм производителей.

  6. На ПЭВМ не допускается установка средств разработки и отладки ПО. Если средства отладки приложений необходимы для технологических потребностей пользователя, то их использование должно быть санкционировано администратором безопасности. Необходимо исключить попадание в систему программ, позволяющих, пользуясь ошибками ОС, получать привилегии администратора.

  7. Должен быть исключен несанкционированный доступ посторонних лиц в помещения, по роду своей деятельности, не являющихся персоналом, допущенным к работе в указанных помещениях.

  8. Запрещается оставлять без контроля вычислительные средства после ввода ключевой информации. При уходе пользователя с рабочего места должно использоваться автоматическое включение парольной заставки.

  9. Администратором безопасности должно быть проведено опечатывание системного блока, исключающее возможность несанкционированного изменения аппаратной части рабочей станции.

  10. Из состава системы должно быть исключено все оборудование, которое может создавать угрозу безопасности ОС. Также избегают использования любых нестандартных аппаратных средств, имеющих возможность влиять на нормальный ход работы компьютера или ОС.

  11. На ПЭВМ, подключенных к общедоступным сетям связи, должны быть предприняты меры, исключающие возможность НСД к системны ресурсам.

  12. При загрузке ОС должен производить контроль целостности программного обеспечения, самой ОС и всех исполняемых файлов, функционирующих совместно с СКЗИ.

  13. Должно производиться физическое затирание содержимого удаляемых файлов.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

Создание системы защиты персональных данных

Перечень документов по защите информации в организации

Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

  1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
  2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
  3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
  4. Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
  5. Разработка технического задания на создание системы защиты персональных данных.
  6. Приобретение средств защиты информации.
  7. Внедрение системы защиты персональных данных.
  8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Обеспечьте защиту персональных данных в вашей компании

Узнать больше

Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал,  «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).

В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.

Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.

Модель угроз безопасности ПДн: пример

Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:

* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.

Основными источниками угроз в данном случае будут выступать:

  • внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
  • внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.

Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

Определение уровня защищенности ПДн

В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.

Построение системы защиты персональных данных

В соответствии с Приказом ФСТЭК России от 18.02.

2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.

Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:

Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации.

Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.

ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.

Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.

Выводы

Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.

Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности

Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.