Тех Паспорт Информационной Системы Персональных Данных

Технический Паспорт Информационных Систем Персональных Данных

В СТР-К есть понятия «основные технические средства и системы» (ОТСС) и «вспомогательные технические средства и системы» (ВТСС). ОТСС это все технические средства, которые участвуют в обработке защищаемой информации, то есть непосредственно сервера и компьютеры, а также устройства ввода и вывода информации — клавиатуры, мыши, мониторы, принтеры, считыватели смарт-карт и т.д. и т.п. Ну, с ОТСС, понятно, это нужно вносить в техпаспорт. С ВТСС все гораздо веселее. Дело в том, что ВТСС, если упростить определение, это все что находится в одном помещении с ОТСС и включается в розетку. То есть под ВТСС понимаются электрочайники, микроволновки, холодильники и прочее добро, которое можно встретить в рабочих кабинетах.

Для любых информационных систем, в том числе для ИСПДн и ГИС, должен составляться технический паспорт, в котором отражается, по сути, текущее состояние системы. В нем перечисляются серийные (инвентарные) номера оборудования, входящего в информационную систему, список используемого в системе ПО, операционных систем, средств защиты информации, а также рисуются схемы расположения техники относительно границ контролируемой зоны.

Технический паспорт информационных систем

• наименование ИСПДн;
• адрес местонахождения ИСПДн;
• данные об утвержденной частной модели угроз безопасности ПДн в ИСПДн;
• перечень персональных данных, обрабатываемых в ИСПДн;
• перечень технологических процессов обработки ПДн, используемых в ИСПДн;
• перечень основных технических средств и систем, входящих в состав ИСПДн;
• перечень вспомогательных технических средств, входящих в состав ИСПДн;
• перечень средств защиты информации, установленных в ИСПДн.

Технический паспорт ИСПДн разрабатывается в соответствии со специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К). Прямых требований к составлению технического паспорта для ИСПДн нет, но они косвенно вытекают из других требований.

Типовая форма технического паспорта информационной системы персональных данных

4 3. Состав оборудования системы. 3.. Состав основных технический средств и систем (ОТСС): Таблица 3 основных технических средств и систем, входящих в состав ИСПДн Тип ОТСС АРМ начальника отдела кадров ) 2 АРМ зам. Начальника отдела кадров 2) Программные и технические характеристики Процессор: Intel Core 2 Duo E ГГц Память: 2048 Мб HDD: 250 Гб Интегрированная видео Процессор: Intel Core 2 Duo E ГГц Память: 2048 Мб HDD: 250 Гб Интегрированная видео

6 Тип ОТСС 5 Сервер базы данных С 2) 6 Принтер 22) Программные и технические характеристики Процессор: Intel Core 2 Quad Q ГГц Память: 2048 Мб Жесткий диск: 2×250 Гб Asus Striker II Extreme Видео: 52Mb GeForce 9600GT Сетевая : Интегрированная + D-Link DFE- 520TX Microsoft Windows Server 2003 R2 С: Бухгалтерия локальный 3.2. Состав вспомогательных технических средств и систем (ВТСС): Таблица 4 вспомогательных технических средств, входящих в состав ИСПДн (средств вычислительной техники, не участвующих в обработке персональных данных) Наименование и тип ВТСС Стационарный телефонный 202, 203, аппарат 2 Факс 203 Примечание

Тех Паспорт Информационной Системы Персональных Данных

Информационная система персональных данных – это совокупность программных (например «1С-Предприятие») и технических средств (компьютеры, принтеры, сканеры, коммутационное оборудование и т.д.) на которых обрабатываются персональные данные. Обработка – это добавление, изменение, удаление, хранение, анализ, распространение персональных данных. Каждая ИСПДн должна иметь свою цель обработки. Именно цель обработки является основным критерием при выделении ИСПДн. Например, во многих медицинских учреждениях можно выделить 2 ИСПДн – «Сотрудники» и «Пациенты». Они имеют разные цели обработки персональных данных.

У всех ИСПДн должен быть назначен администратор безопасности. Администратор безопасности – сотрудник в должностные обязанности которого входит обеспечение защиты персональных данных в информационной системе. Он должен следить за работой средств защиты информации, своевременно проводить антивирусные проверки, консультировать сотрудников по вопросам безопасности персональных данных и т.п. Администраторов безопасности может быть несколько (например по одному на каждую ИСПДн). Администратор безопасности назначается приказом руководителя («Приказ о назначении администратора безопасности информационных систем персональных данных»). Чтобы определить требуемые меры по защите персональных данных необходимо определить уровень защищенности ИСПДн.О том как это сделать Вы можете прочитать в разделе Определение уровня защищенности ИСПДн.

Перечень персональных данных, подлежащих защите

• Фамилия, имя, отчество;
• Место, год и дата рождения;
• Адрес по прописке;
• Адрес проживания (реальный);
• Паспортные данные (серия, номер паспорта, кем и когда выдан);
• Информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);
• Информация о трудовой деятельности до приема на работу;
• Информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения);
• Телефонный номер (домашний, рабочий, мобильный);
• Семейное положение и состав семьи (муж/жена, дети);
• Информация о знании иностранных языков;
• Форма допуска;
• Оклад;
• Данные о трудовом договоре (номер трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, номер и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);
• Сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);
• ИНН;
• Данные об аттестации работников;
• Данные о повышении квалификации;
• Данные о наградах, медалях, поощрениях, почетных званиях;
• Информация о приеме на работу, перемещении по должности, увольнении;
• Информация об отпусках;
• Информация о командировках;
• Информация о болезнях;
• Информация о негосударственном пенсионном обеспечении.

Настоящий Перечень персональных данных, подлежащих защите в информационных системах персональных данных (ИСПДн) (далее – Перечень) (полное наименование оператора) (далее – (краткое наименование оператора) ), разработан ___________________________________________________________________________.

Документы по персональным данным для соответствия требованиям ФЗ 152

Есть вариант подготовить необходимый пакет документов, которые вас значительно обезопасят в случае проверки. Эти документы будут у вас храниться на случай внезапной выездной проверки или запроса, существенно снизят возможные штрафы и санкции, возможно, проверка ограничится указанными документами. В любом случае, этот комплект документов Вам необходим, если Вы:

Главный документ, регламентирующий деятельность организации в данной сфере — положение о защите персональных данных (либо положение о персональных данных работников, если в организации не используется другая личная информация). Это внутренний документ, он делается в свободной форме и определяет порядок хранения и использования персональных данных в фирме. Данное положение утверждается руководителем предприятия приказом о защите персональных данных и является обязательным к выполнению всеми сотрудниками организации.

Как фиксировать документы посетителей на КПП и не нарушить закон «О персональных данных» N152-ФЗ

При наличии любой информационной системы персональных данных (а система, установленная для оператора, собирающего информацию о посетителях на КПП относится именно к таким) существует некий штат сотрудников или внешних подрядчиков, которым могут быть доступны собранные персональные данные.

Статья 11 указывает,, что в случае обработки биометрических персональных данных обязательным является письменное согласие. Как мы писали выше в процессе оформления пропуска делается скан копия паспорта или иного документа подтверждающего личность с фотографией, именно фотография является носителем биометрических данных.

Перечень персональных данных и иных объектов, подлежащих защите в информационных системах Лёня»

3.2. Персональные данные Клиентов Общества, содержащиеся на электронных носителях, уничтожаются в течение тридцати дней со дня окончания претензионного срока обращения Клиента с жалобой на качество предоставленных ему туристских услуг, установленного ст.10. Федерального закона от 01.01.2001 года «Об основах туристской деятельности в Российской Федерации», по причине достижения Обществом цели обработки персональных данных этого Клиента и на основании п.4.ст.21. Федерального закона «О персональных данных».

Иные сведения о Клиенте, которые он сообщает о себе в связи с особенностями планируемого им путешествия, или в связи с требованиями, которые предъявляются к информации о Клиенте консульскими службами посольств стран планируемого посещения для рассмотрения вопроса о выдаче визы, либо страховыми компаниями в интересах заключения договора, выгодоприобретателем по которому является Клиент.

Защита информационных систем персональных данных

Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится Оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных». Модель угроз формируется исходя из конкретных условий функционирования ИСПДн. Методическими документами для разработки являются:

Обеспечение безопасности персональных данных при их автоматизированной обработке включает в себя выполнение комплекса организационных и технических мероприятий (применения технических средств), в рамках системы (подсистемы) защиты персональных данных, развертываемой в ИСПДн (информационная система обработки персональных данных) в процессе ее создания или модернизации. Обоснование комплекса мероприятий и требований по обеспечению безопасности проводится с учетом результатов оценки опасности угроз и определения уровня защищенности ПДн и в соответствии с нормативными и методическими документами уполномоченных федеральных органов исполнительной власти. Как правило, данные работы успешно выполняют лицензиаты ФСТЭК России и ФСБ России.

Организационно-распорядительные документы для защиты персональных данных

«Признать утратившим силу «приказ» ФСТЭК России от 5 февраля 2010 г. N 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный N 16456).» — Согласно приказу №21 от 18.02.2013

Документ необходим для назначения комиссии, которая будет заниматься приведением деятельности компании в соответствие с требованиями законодательства в области ПДн с целью исполнения требований законодательства РФ при обработке персональных данных. Выполняет требования следующих нормативных документов:

Комплект типовых документов для операторов персональных данных

1. Согласие субъекта на получение его персональных данных у третьей стороны
2. Согласие работника на передачу его персональных данных третьей стороне
3. Согласие работника на передачу его персональных данных в коммерческих целях
4. Согласие субъекта на обработку его персональных данных
5. Сборник типовых форм документов по персональным данным

Документы по защите информации, которые носят более общий характер и применяются для организации защиты не только персональных данных, но любых других видов информационных активов, в данный комплект не включены. Эти документы можно дополнительно приобрести как по отдельности, так и в составе следующих комплектов: