Техпаспорт Информационной Системы Персональных Данных Пример

Технический Паспорт Информационных Систем Персональных Данных

Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных, в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.

В СТР-К есть понятия «основные технические средства и системы» (ОТСС) и «вспомогательные технические средства и системы» (ВТСС). ОТСС это все технические средства, которые участвуют в обработке защищаемой информации, то есть непосредственно сервера и компьютеры, а также устройства ввода и вывода информации — клавиатуры, мыши, мониторы, принтеры, считыватели смарт-карт и т.д. и т.п. Ну, с ОТСС, понятно, это нужно вносить в техпаспорт. С ВТСС все гораздо веселее. Дело в том, что ВТСС, если упростить определение, это все что находится в одном помещении с ОТСС и включается в розетку. То есть под ВТСС понимаются электрочайники, микроволновки, холодильники и прочее добро, которое можно встретить в рабочих кабинетах.

Техпаспорт Информационной Системы Персональных Данных Пример

Начальство Приказом требует разработать тех.паспорт на все имеющиеся в организации ИСПДн. Разъясните, пожалуйста, что должен включать в себя тех.паспорт на ИСПДн вцелом? Не на единичный объект информатизации или отдельное средство ВТ, а именно на целую ИСПДн? И вообще имеет ли место быть подобный документ?

Эксперты НПО «Эшелон» в результате исследования открытых программных проектов выявили критическую угрозу для интернет-приложений – возможность проведения атаки Бляйхенбахера! В настоящее время самым эффективным средством для заблаговременного предупреждения данной атаки является статический анализатор кодов AppChecker!

Типовая форма технического паспорта информационной системы персональных данных

6 Тип ОТСС 5 Сервер базы данных С 2) 6 Принтер 22) Программные и технические характеристики Процессор: Intel Core 2 Quad Q ГГц Память: 2048 Мб Жесткий диск: 2×250 Гб Asus Striker II Extreme Видео: 52Mb GeForce 9600GT Сетевая : Интегрированная + D-Link DFE- 520TX Microsoft Windows Server 2003 R2 С: Бухгалтерия локальный 3.2. Состав вспомогательных технических средств и систем (ВТСС): Таблица 4 вспомогательных технических средств, входящих в состав ИСПДн (средств вычислительной техники, не участвующих в обработке персональных данных) Наименование и тип ВТСС Стационарный телефонный 202, 203, аппарат 2 Факс 203 Примечание

5 Тип ОТСС 3 АРМ сотрудника кадровой службы 3) 4 АРМ сотрудника бухгалтерии 4) Программные и технические характеристики Процессор: Intel Celeron ГГц Память: 52 Мб Жесткий диск: 80 Гб Интегрированная видео Процессор: Intel Celeron ГГц Память: 52 Мб Жесткий диск: 80 Гб Интегрированная видео

Пример заполнения модели угроз информационной системы персональных данных «Турбо- бухгалтер»

Режим обработки предусматривает следующие действия с персональными данными: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

На лиц II категории возложены задачи по использованию программно-аппаратных средств и баз данных ИСПДн ТБ. Пользователи потенциально могут реализовывать угрозы ИБ используя возможности по непосредственному доступу к защищаемой информации, обрабатываемой и хранимой в ИСПДн ТБ, а также к техническим и программным средствам ИСПДн ТБ, включая средства защиты, используемые в конкретных АС, в соответствии с установленными для них полномочиями.

Технический паспорт информационных систем

Технический паспорт ИСПДн разрабатывается в соответствии со специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К). Прямых требований к составлению технического паспорта для ИСПДн нет, но они косвенно вытекают из других требований.

• наименование ИСПДн;
• адрес местонахождения ИСПДн;
• данные об утвержденной частной модели угроз безопасности ПДн в ИСПДн;
• перечень персональных данных, обрабатываемых в ИСПДн;
• перечень технологических процессов обработки ПДн, используемых в ИСПДн;
• перечень основных технических средств и систем, входящих в состав ИСПДн;
• перечень вспомогательных технических средств, входящих в состав ИСПДн;
• перечень средств защиты информации, установленных в ИСПДн.

Технический паспорт на оборудование: образец оформления и назначение документа

В техническом паспорте оборудования предусмотрено место для внесения пометок во время его эксплуатации. Перечисленные сведения помогают владельцу устройства правильно и безопасно использовать его, сохраняя функциональность аппарата на протяжении полного периода эксплуатации.

Паспорт оформляется в соответствии с совокупностью сроков испытаний и исследований оборудования. Если устройство изготавливается на заказ, то заказчик вправе сам провести необходимые для подтверждения его качества проверки. В случае несоответствия их результатов с данными, заявленными производителем, заказчик предъявляет свои претензии в адрес производителя.

Классификация информационных систем персональных данных

Например, на основании только фамилии, имени и отчества нельзя точно установить личность, т.к. существуют полные однофамильцы. Но если в ИСПДн помимо ФИО обрабатываются также данные об адресе проживания, биометрические данные (фотографическое изображение), данные о месте работы и т.д., то уже на основании их можно выделить конкретного человека.

1. Объем ПДн, обрабатываемых в ИСПДн (Хнцд). Должен быть определен объем записей ПДн в ИСПДн, может принимать значение:

• 1 — в информационной системе одновременно обрабатываются ПДн более чем 100 000 субъектов ПДн или ПДн субъектов ПДн в пределах субъекта Российской Федерации или Российской Федерации в целом;
• 2 — в информационной системе одновременно обрабатываются ПДн от 1000 до 100 000 субъектов ПДн или ПДн субъектов ПДн, рабо­тающих в отрасли экономики Российской Федерации, в органе государст­венной власти, проживающих в пределах муниципального образования;
• 3 — в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов ПДн или ПДн субъектов ПДн в пределах конкретной организации.

1. Количество рабочих станций, входящих в состав ИСПДн. Должен быть определен перечень рабочих станций, задействованных в ка­ком-либо качестве в обработке ПДн в ИСПДн и (или) имеющих незащи­щенное физическое подключение к ИСПДн.
2. Структура ИСПДн. ИСПДн является:

• АРМ, если вся обработка ПДн производится в рамках одного рабочего места;
• локальной информационной системой, если вся обработка ПДн производится в рамках одной ЛВС;
• распределенной информационной системой, если обработка ПДн производится в рамках комплекса АРМ и (или) локальных информа­ционных систем, объединенных в единую информационную систему сред­ствами связи с использованием технологии удаленного доступа, т.е. эле­менты ИСПДн разнесены территориально, например, в ИСПДн включена сеть филиала, и связь между территориально удаленными элементами осуществляется по каналам сетей общего пользования и (или) междуна­родного обмена.

1. Количество пользователей, допущенных к работе в ИСПДн. Дол­жен быть определен перечень пользователей, допущенных к ПДн в ИСПДн.
2. Режим обработки ПДн в ИСПДн. ИСПДн является однопользо­вательской, если сотрудник обрабатывающий ПДн совмещает в себе функции администратора (осуществляет настройка и поддержку техниче­ских и программных средств) и оператора. Во всех других случаях ИСПДн является многопользовательской.

Техпаспорт Информационной Системы Персональных Данных Пример

1. Сегментация. Физическая или логическая сегментация ИСПДн по классам обрабатываемой информации, выделение сегментов сети, в ко­торых происходит автоматизированная обработка ПДн. Данные работы можно провести с помощью внедрения в ЛВС оператора сертифицирован­ных по требованиям ФСТЭК России МЭ.
2. Обезличивание. Введение в процесс обработки ПДн процедуры обезличивания существенно упростит задачи по защите ПДн. После вы­полнения обезличивания защите будет подлежать лишь справочник, по­зволяющий выполнить обратное преобразование.
3. Разделение ПДн на части. В этом случае возможно уменьшение количества субъектов ПДн, обрабатываемых в ИСПДн. Это может быть достигнуто, например, за счет использования таблиц перекрестных ссылок в базах данных.
4. Постановка требований поставщикам и разработчикам систем обработки ПДн. Включение требований наличия в составе закупаемых информационных систем средств, обеспечивающих защиту ПДн в соответ­ствии с действующим законодательством, позволит снизить затраты на приобретение дополнительных СЗИ.

Комиссия, на основании определяющих признаков классификации и в соответствии с приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных", а также с рекомендациями ФСТЭК России,

Информационные системы персональных данных

Необходимо подчеркнуть, что требований этих достаточно много, и они весьма жесткие. Так, для ИСПДн класса 2 они в основном (но не полностью) повторяют требования по предотвращению несанкционированного доступа для многопользовательских автоматизированных систем класса 1Г, а для ИСПДн класса 1 — для АС класса 1В. Выдвигаются и дополнительные требования, которых в руководящих документах ФСТЭК ранее не было, например по уровню защищенности межсетевых экранов, функциональности систем выявления вторжений, противодействия программно-математическим воздействиям и др.

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах в обязательном порядке должны включать в себя учет лиц, допущенных к работе с персональными данными в информационной системе. При этом лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, должны допускаться к соответствующим данным на основании списка, утвержденного оператором или уполномоченным лицом.

Пример заполнения модели угроз информационной системы персональных данных учреждения

При разработке модели угроз для ____________________ учитывается, что ____________________ является специальной информационной системой т.к., к обрабатываемым в ней данным предъявляются требования не только по конфиденциальности, но и по целостности и доступности.

Персональные данные – любая информация, относящаяся к определен­ному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущест­венное положение, образование, профессия, доходы, другая информация.

Техпаспорт Информационной Системы Персональных Данных Пример

В этой связи обращаем Ваше внимание, что федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных», установлены жёсткие требования к защите и обработке персональных данных. Обработка персональных данных сотрудников, воспитанников и их родителей (законных представителей) в большом объёме осуществляется в каждом дошкольном образовательном учреждении, которое, как предусмотрено федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных», обязаны принять меры по защите персональных данных. В свою очередь данные меры предусматривают, прежде всего, создание достаточно большого количества локальных нормативных актов дошкольного образовательного учреждения.

Защита персональных данных — комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

Техпаспорт Информационной Системы Персональных Данных Пример

Таким образом, получается, что отдельно взятая фамилия будет являться персональными данными не выше 4-й категории. Сочетание же фамилии и адреса проживания будет 3-ей категорией. Если мы возьмем обычную поликлиническую карту, то она будет относится к 1-ой категории, так как содержит фамилию, имя, отчество, адрес, номера страховых полисов и сведения о здоровьи.

Таким образом, любые медицинские данные, а также кадровый учет, содержащий графу “национальность” и(или) вероисповедание», относятся к 1-ой категории персональных данных. Из этих примеров также становится ясно, что фрагменты персональных данных часто могут иметь меньшую категорию, чем их совокупность. Например, сведения о здоровье физического лица будут иметь 4-ю категорию, если неизвестна фамилия или другие данные, позволяющие однозначно идентифицировать пациента. Такое обезличивание данных — неплохой выход для разработчиков информационных систем для понижения класса безопасности, необходимых для внедрения вместе с системой.