Акт определения уровня защищенности персональных данных образец бланк

Как определить уровень защищенности информационных систем

Акт определения уровня защищенности персональных данных образец бланк

Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных».

На данный момент требования к защите персональных данных при их обработке в информационных системах установлены постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Постановление пришло на смену утратившему силу постановлению Правительства РФ от 17.11.2007 N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и приказу ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г.

N 55/86/20, который утверждал порядок классификации ИСПДн.

Таким образом, сейчас перечень обязательных организационных и технических мер по обеспечению безопасности персональных данных определяется в соответствии с установленным для информационной системы уровнем защищенности персональных данных.

В свою очередь уровни защищенности персональных данных при их обработке в информационных системах определяются исходя из следующих условий:

1) категория субъектов персональных данных, чьи персональные данные обрабатываются в информационной системе: сотрудники или иные лица;

2) количество субъектов персональных данных, чьи персональные данные обрабатываются в информационной системе: до 100 000 или более 100 000;

3) категория персональных данных, обрабатываемых в информационной системе:

  • специальные,
  • биометрические,
  • общедоступные,
  • иные;

4) тип актуальных угроз безопасности персональных данных:

  • актуальны угрозы, связанные с наличием недокументированных возможностей в системном программном обеспечении;
  • актуальны угрозы, связанные с наличием недокументированных возможностей в прикладном программном обеспечении;
  • актуальны угрозы, не связанные с наличием недокументированных возможностей в системном и прикладном программном обеспечении.

Чем выше определен уровень защищенности персональных данных, тем больше мер по обеспечению безопасности персональных данных требуется выполнить.

Если по ошибке определить более высокий уровень защищенности, то, соответственно, придется строить более дорогую систему защиты персональных данных.

Рассмотрим типовые варианты информационных систем, которые используются в большинстве медицинских учреждений.

Защита типовой системы: скромно и со вкусом

Организация защиты информации в медицинском учреждении строится на общих принципах защиты ИСПДн. Например, практически в любом учреждении здравоохранения установлена типовая информационная система персональных данных для учета кадров и расчета зарплаты.

Субъекты обработки персональных данных в этом случае — сотрудники организации, а цель обработки ПДн — обеспечение соблюдения в отношении сотрудника законодательства Российской Федерации в сфере трудовых и непосредственно связанных с ними отношений.

В такой информационной системе не ведется обработка биометрических или специальных категорий персональных данных, а значит, определение уровня защищенности будет зависеть от актуальных угроз безопасности персональных данных, определенных для данной информационной системы.

В большинстве случаев для подобного рода информационных систем актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, а следовательно, в информационной системе необходимо будет обеспечить четвертый уровень защищенности персональных данных, т. е. потребуется выполнение минимального перечня организационных и технических мер.

ИС федерального масштаба: все, как у людей

Федеральный регистр медицинских работников (ФРМР) — система, предназначенная для сбора, хранения и обработки данных учета медицинского персонала субъектов Российской Федерации, а также для контроля распределения и перемещений медперсонала. Как и в описанной выше информационной системе, в ФРМР не ведется обработка биометрических или специальных категорий персональных данных, и при схожих характеристиках в ФРМР требуется обеспечить такой же уровень защищенности.

Несмотря на то что категория субъектов ПДн и обрабатываемые данные в обеих системах практически аналогичны, объединять их в одну ИС все же не стоит, поскольку цели обработки ПДн в первом случае — это исполнение требований трудового законодательства, а во втором — требований Министерства здравоохранения и социального развития Российской Федерации.

Медицинские информационные системы: зона особого внимания

С помощью медицинских информационных систем сотрудники медицинских организаций решают целый ряд задач:

  • ведут электронные амбулаторные карты, электронную регистратуру;
  • обрабатывают данные медицинских исследований в цифровой форме;
  • собирают и хранят данные мониторинга состояния пациента с медицинских приборов;
  • используют как средство общения между сотрудниками;
  • анализируют финансовую и административную информацию.

При определении уровня защиты для медицинских информационных систем следует принимать во внимание ряд факторов:

  • в МИС обрабатываются ПДн специальной категории (состояние здоровья, диагнозы, данные с медицинских приборов и т. д.);
  • субъекты ПДн не являются сотрудниками организации, и их количество может варьироваться.

В зависимости от количества обрабатываемых субъектов персональных данных и типа актуальных угроз безопасности в МИС требуется обеспечить второй или третий уровень защищенности персональных данных.

Прочие информационные системы в сфере здравоохранения

В зависимости от инфраструктуры и задач учреждения в организации могут функционировать и иные ИС. Для них действует точно такой же алгоритм определения требуемого уровня защищенности ПДн, что и для систем, речь о которых шла выше.

Если субъекты и цель обработки ПДн в нескольких информационных системах совпадают, то их можно объединить и выстроить для них единую систему защиты персональных данных.

В заключение напомним, что уровень защищенности персональных данных в информационных системах определяется оператором персональных данных самостоятельно, а следовательно, и выбор организационных и технических мер по защите персональных данных лежит на плечах оператора.

Однако не стоит забывать, что завышение уровня защищенности приведет к увеличению стоимости системы защиты персональных данных, а занижение уровня защищенности персональных данных является нарушением.

Дабы не ломать себе голову вопросом «а правильно ли я классифицировал ИС?», доверьтесь профессионалам.

Специалисты «Контур-Безопасность»

  • составят модель угроз
  • классифицируют информационную систему
  • помогут выбрать оптимальные средства защиты
  • грамотно выстроят систему защиты

Узнать больше

Максим Малкиев, эксперт по защите информационных систем персональных данных компании «СКБ Контур», проект «Контур-Безопасность»

Источник: https://kontur.ru/articles/1940

Перемиловское сельское поселение | Об утверждении Акта определения уровня защищённости информационной системы персональных данных администрации Перемиловского сельского поселения

Акт определения уровня защищенности персональных данных образец бланк

Закрыть

Глава 2. Классификация информационной продукции

Статья 6. Осуществление классификации информационной продукции

Информация об изменениях:

Федеральным законом от 28 июля 2012 г. N 139-ФЗ в часть 1 статьи 6 настоящего Федерального закона внесены изменения

См. текст части в предыдущей редакции

1. Классификация информационной продукции осуществляется ее производителями и (или) распространителями самостоятельно (в том числе с участием эксперта, экспертов и (или) экспертных организаций, отвечающих требованиям статьи 17 настоящего Федерального закона) до начала ее оборота на территории Российской Федерации.

2. При проведении исследований в целях классификации информационной продукции оценке подлежат:

1) ее тематика, жанр, содержание и художественное оформление;

2) особенности восприятия содержащейся в ней информации детьми определенной возрастной категории;

3) вероятность причинения содержащейся в ней информацией вреда здоровью и (или) развитию детей.

ГАРАНТ:

Об определениии возрастного ценза основной телевизионной передачи с учетом содержания сообщений «бегущей строки» см.информацию Роскомнадзора от 22 января 2013 г.

Акт проверки (обследования) обеспечения защиты ПДн

Акт определения уровня защищенности персональных данных образец бланк

(Полное наименование оператора)
«УТВЕРЖДЕНО»
(должность) (личная подпись) (расшифровка подписи)
№  

о результатах проведения проверки обеспечения защиты персональных данных

Внутренняя проверка (далее — Проверка) произведена на основании Приказа № . Проверка проводилась  на территории предприятия  по адресу .

Проверка проводилась в соответствии с принципами и положениями Концепции информационной безопасности и Политики информационной безопасности.

В ходе проверки была выявлена ИСПДн:  

В ходе проверки для ИСПДн определялось:

1) Состав и структура объектов защиты.

2) Конфигурация и структура ИСПДн.

3) Режим обработки ПДн.

4) Перечень лиц, участвующих в обработке ПДн.

5) Права доступа лиц, допущенных к обработке ПДн.

6) Угрозы безопасности персональных данных. Оценивалась вероятность их реализации, реализуемость, опасность и актуальность.

7) Существующие меры защиты ПДн.

8) Список необходимых мер защиты ПДн.

Данные Проверки служат информационной основой для других нормативно-организационных документов.

Данные о составе и структуре объектов защиты отражаются в Перечне персональных данных, подлежащих защите.

Данные о составе и структуре обрабатываемых персональных данных, конфигурации ИСПДн и режиме обработке являются основой для составления Акта классификации информационной системы персональных данных.

Данные о лицах, допущенных к обработке ПДн, и уровне их доступа отражаются в Положении о разграничении прав доступа к обрабатываемым персональным данным.

Данные об угрозах безопасности ПДн служат основной для составления Модели угроз безопасности персональных данных.

Данные о существующих и необходимых мерах защиты ПДн служат основной для составления Плана мероприятий по обеспечению защиты ПДн.

Данные о технических средствах защиты отражаются в Перечне по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним.

Структура информационной системы:  

Наличие подключений к сетям связи общего пользования и (или) сетям международного информационного обмена:  

Местонахождение технических средств информационных систем персональных данных:

2.

 Состав и структура персональных данных.

2.1.

 Обрабатываемые персональные данные:

Иные персональные данные: .

2.2.

 Состав и структура персональных данных сотрудников:

Исходя из состава обрабатываемых персональных данных, можно сделать вывод, что ИСПДн  является информационной системой, обрабатывающей  .

Объем обрабатываемых персональных данных    записей о субъектах персональных данных.

3.1.

 Технологическая информация.

Технологическая информация, подлежащая защите, включает:

— управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.) :

 — информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

 — информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

3.2.

 Программно-технические средства обработки.

Программно-технические средства включают в себя:

 — резервные копии общесистемного программного обеспечения;

 — инструментальные средства и утилиты систем управления ресурсами ИСПДн;

3.3.

 Каналы информационного обмена и телекоммуникации.

Каналы информационного обмена и телекоммуникации являются объектами защиты, так как по ним передаются обрабатываемая и технологическая информация.

3.4.

 Объекты и помещения, в которых размещены компоненты ИСПДн.

Объекты и помещения являются объектами защиты, так как в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.

4.1.

 Конфигурация элементов ИСПДн.

4.2.

 Территориальное расположение ИСПДн относительно контролируемой зоны.

5.

 Структура обработки персональных данных.

В ИСПДн   обработка персональных данных происходит по следующим этапам:

Этап обработки данных в ИСПДн

6.

 Режим обработки персональных данных.

Режим обработки персональных данных в информационной системе:  .

ФИО пользователя Должность пользователя Уровень доступа

8.

 Угрозы безопасности ПДн.

При обработке персональных данных в ИСПДн можно выделить следующие угрозы:

Наименование угрозы Описание угрозы

9.

 Существующие меры защиты ИСПДн.

9.1. Технические меры защиты ИСПДн. 

Элемент ИСПДн Программное средство обработки ПДн Установленные средства защиты

9.2. Организационные меры защиты ИСПДн.

Наименование организационной меры защиты ИСПДн

10.

 Необходимые меры защиты.

На основании анализа актуальности выявленных угроз безопасности, для достижения требуемого уровня защиты рекомендуется осуществить следующие мероприятия:

Наименование мероприятия по обеспечению сохранности ПДн

Источник: https://www.freshdoc.ru/zashita_personalnyh_dannyh/docs/akts/akt_proverka_zashity_personalnyh_dannyh/

Дневник юриста
Добавить комментарий