Руководства, Инструкции, Бланки

Поиск

Новые файлы

Руководства, Инструкции, БланкиРуководства типовые требования к содержанию и порядку разработки руководства по защите
типовые требования к содержанию и порядку разработки руководства по защите img-1
типовые требования к содержанию и порядку разработки руководства по защите - фото 2 типовые требования к содержанию и порядку разработки руководства по защите - фото 3 типовые требования к содержанию и порядку разработки руководства по защите - фото 4 типовые требования к содержанию и порядку разработки руководства по защите - фото 5 типовые требования к содержанию и порядку разработки руководства по защите - фото 6 типовые требования к содержанию и порядку разработки руководства по защите - фото 7 типовые требования к содержанию и порядку разработки руководства по защите - фото 8 типовые требования к содержанию и порядку разработки руководства по защите - фото 9 типовые требования к содержанию и порядку разработки руководства по защите - фото 10 типовые требования к содержанию и порядку разработки руководства по защите - фото 11

типовые требования к содержанию и порядку разработки руководства по защите

Рейтинг: 4.0/5.0 (1847 проголосовавших)

Категория: Руководства

Описание

Ведомственная нормативная база - Студопедия

Ведомственная нормативная база

Нормативные документы и инструктивные материалы МВД РФ:

Приказ МВД РФ от 22 августа 1992 г. № 292 "Об организации исполнения органами внутренних дел Закона Российской Федерации "О частной детективной и охранной деятельности в Российской Федерации" (с изменениями от 14 ноября 1994 г.).

Приказ МВД РФ от 31 декабря 1999 г. № 1105 "О мерах по усилению контроля органами внутренних дел за частной детективной и охранной деятельностью".

РД-78.143-92 "Системы и комплексы охранной сигнализации, элементы технической укрепленности объектов. Нормы проектирования".

РД-78.147-93 "Единые требования по технической укрепленности и оборудованию сигнализации охраняемых объектов".

Нормативные документы и инструктивные материалы ФСБ РФ:

1. Приказ ФСБ РФ от 13 ноября 1999 г. № 564 "Об утверждении положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия".

2. Приказ ФСБ РФ от 9 февраля 2005 г. № 66. Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (ПКЗ-2005).

Данное положение распространяется на СКЗИ, предназначенные для защиты информации с ограниченным доступом, но не содержащей сведения, составляющие государственную тайну.

3. Приказ ФАПСИ от 13 июня 2001 г. № 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну".

Нормативные документы и инструктивные материалы ФСТЭК (Гостехкомиссии) РФ:

1. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации». Руководящий документ Гостехкомиссии России,

2. «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники». Руководящий документ Гостехкомиссии России,

3. «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники». Руководящий документ Гостехкомиссии России,

4. «Защита информации. Специальные защитные знаки. Классификация и общие требования». Руководящий документ Гостехкомиссии России,

5. «Защита от несанкционированного доступа к информации. Термины и определения». Руководящий документ Гостехкомиссии России,

6. «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей». Руководящий документ Гостехкомиссии России,

7. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Часть 1. Часть 2. Часть 3. Руководящий документ Гостехкомиссии России,

8. «Инструкция о порядке проведения специальных экспертиз предприятий, учреждений и организаций на право осуществления мероприятий и (или) оказания услуг в области противодействия иностранной технической разведке». Утверждена Председателем Гостехкомиссии 17 октября 1995 г.

9. «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации». Руководящий документ Гостехкомиссии России,

10. Решение Гостехкомиссии от 3 октября 1995 г. № 42 «О типовых требованиях к содержанию и порядку разработки руководства по защите информации от технических разведок и от ее утечки по техническим каналам на объекте»,

11. Положение по аттестации объектов информатизации по требованиям безопасности информации. Утверждено Председателем Гостехкомиссии России 25 ноября 1994 г.

12. Положение об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации. Утверждено Председателем Гостехкомиссии России 25 ноября 1994 г.

13. Типовое положение об органе по сертификации средств защиты информации по требованиям безопасности информации. Утверждено приказом председателя Гостехкомиссии России от 5 января 1996 года № 3,

14. Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации. Утверждено приказом председателя Гостехкомиссии России от 5 января 1996 года № 3,

15. Типовое положение об испытательной лаборатории. Утверждено приказом председателя Гостехкомиссии России от 5 января 1996 года № 3,

16. «Перечень средств защиты информации, подлежащих сертификации в системе сертификации Гостехкомиссии России» (N РОСС RU.0001.01БИ00);

17. «Положение о государственном лицензировании деятельности в области защиты информации». Утверждено Решением Государственной технической комиссии при Президенте Российской Федерации и Федерального агентства правительствен­ной связи и информации при Президенте Российской Федерации от 27.04.1994г. №10;

18. «Положение о сертификации средств защиты информации по требованиям безопасности информации». Введено в действие Приказом Председателя Гостехкомиссии России от 27.10.1995г. №199;

19. «Положение по аттестации объектов информатизации по требованиям безопасности информации». Утверждено Председателем Гостехкомиссии при Президенте Российской Федерации 25 ноября 1994 г.,

20. «Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам (СТР-97)» от 23 мая 1997 г. № 55,

21. «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». Руководящий документ Гостехкомиссии России,

22. «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». Руководящий документ Гостехкомиссии России.

23. «Средства защиты информации. Защита информации в контрольно-кассовых машинах и автоматизированных кассовых системах. Классификация контрольно-кассовых машин, автоматизированных кассовых систем и требования по защите информации». Руководящий документ Гостехкомиссии России;

24. Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР — К)»,

25. Средства защиты информации. Специальные и общие технические требования, предъявляемые к сетевым помехоподавляющим фильтрам. Руководящий документ Гостехкомиссии России,

26. «Положение о государственном лицензировании деятельности в области защиты информации». Утверждено решением Гостехкомиссии при Президенте Российской Федерации и ФАПСИ при Президенте Российской Федерации от 24 апреля 1994 г. № 10 (в редакции решения от 24 июня 1997 г. № 60);

Видео

Похожие файлы

требования к руководству по качеству
Подробнее

требования к руководству по качеству

ремонт киа сид своими руками руководство с чертежами
Подробнее

ремонт киа сид своими руками руководство с чертежами

партия свобода и народовластие руководство
Подробнее

партия свобода и народовластие руководство

архитектура корпоративных сетей. краткое руководство скачать
Подробнее

архитектура корпоративных сетей. краткое руководство скачать

по согласованию с руководством запятая
Подробнее

по согласованию с руководством запятая

как выглядит содержание в курсовой работе образец
Подробнее

как выглядит содержание в курсовой работе образец

требование о досрочном расторжении договора займа образец
Подробнее

требование о досрочном расторжении договора займа образец

инструкция по бонитировке курдючных овец
Подробнее

инструкция по бонитировке курдючных овец

Другие статьи

Рекомендации по выполнению 152 ФЗ

/ рекомендации по выполнению 152 ФЗ

(или) профессиональной подготовки в области ИБ, а также стажа работы в этой области не менее 5 лет.

Следует помнить, что обработка ПДн ведется не только в информационных системах. ПДн могут существовать не только в электронном, но и в бумажном виде, и храниться на других (магнитных, оптических и т.д.) носителях, для которых установлен особый порядок хранения, уч?та и обращения. Этот порядок регламентирован в настоящее время лишь Положением о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, введ?нным постановлением Правительства РФ от 3 ноября 1994 г. № 1233. Согласно данному Положению, при?м и уч?т (регистрация) документов, содержащих служебную информацию ограниченного распространения, осуществляются, как правило, структурными подразделениями, которым поручен при?м и уч?т несекретной документации. Данное Положение полностью применимо при формировании системы защиты персональных данных, обрабатываемых без использования средств автоматизации, которая строится с уч?том постановления Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». И поэтому в организации могут быть разделены роли и ответственность сотрудников, отвечающих за техническую защиту информации (как правило, подразделения ИТ и ИБ) и за служебное делопроизводство (режимные подразделения).

Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от е? утечки по техническим каналам. Введено в действие постановлением Совета Министров – Правительства РФ от 15 сентября 1993 года № 912-51;

Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти. Утверждено постановлением Правительства Российской Федерации от 03 ноября 1994 г. № 1233; Типовые требования к содержанию и порядку разработки Руководства по защите информации от технических разведок и от е? утечки по техническим каналам. Одобрено решением Гостехкомиссии России от 03 октября 1995 г. № 42; ГОСТ Р 51583-2000 «Защита информации. Порядок создания автоматизированных систем в

защищ?нном исполнении. Общие положения» (для служебного пользования); Инструкция об организации и обеспечении безопасности хранения, обработки и передачи

по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну. Утверждена приказом ФАПСИ России от 13 июня 2001 г. № 152; Руководящий документ «Специальные требования и рекомендации по технической защите

конфиденциальной информации (СТР-К)». Утвержд?н приказом Гостехкомиссии России от 30 августа 2002 г. № 282 (для служебного пользования); Постановление Правительства РФ от 15 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»;

Постановление Правительства РФ от 29 декабря 2007 г. № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами»;

© LETA IT-company, 2010 | 21

Методический документ «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», ФСТЭК России, 15 февраля 2008 г. (пометка «для служебного пользования» снята решением ФСТЭК России от 16 ноября 2009 г.); Методический документ «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных». Утвержден руководством 8 Центра ФСБ России 21 февраля 2008 г. № 149/6/6-622; Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об

утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

22 | © LETA IT-company, 2010

Определить состав обрабатываемых ПДн, цели и условия обработки. Определить срок хранения ПДн

Для того, чтобы наиболее эффективно спланировать деятельность по приведению процессов, в рамках которых происходит обработка ПДн, в соответствие требованиям нормативно-правовых актов Российской Федерации, необходимо обеспечить ч?ткое представление о том, какие именно категории информации ограниченного распространения используются оператором в производственной деятельности, на каких условиях и с какой целью осуществляется их обработка. Это достигается разработкой перечня сведений конфиденциального характера (перечня персональных данных), обрабатываемых оператором.

Цели проведения работ

Целью этапа является закрепление представления о составе, условиях и целях обработки персональных данных, формирование основы для дальнейшего планирования работ по приведению процессов, в рамках которых происходит обработка персональных данных, в соответствие требованиям нормативно-правовых актов Российской Федерации, регламентирующих порядок обработки ПДн.

Документированным выражением данного представления для оператора ПДн является Перечень персональных данных – подробный, четко структурированный документ, содержащий информацию обо всех категориях и видах персональных данных, обрабатываемых в организации с применением средств автоматизации или без такового, достаточный для:

принятия решения о защите ПДн при их обработке в ИСПДн с применением средств автоматизации или без такового;

определения максимальной категории ПДн, обрабатываемых в ИСПДн;

разработки требований к системе защиты;

определения условий и порядка начала и прекращения обработки ПДн и передачи их третьим лицам;

определения степени ущерба, который может быть нанесен субъекту вследствие реализации возможных угроз безопасности ПДн.

Основание проведения работ

Требования по разработке подобного перечня оператором изложены в руководящих и методических документах ФСТЭК России.

Согласно руководящему документу «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), п. 3.6, в организации

© LETA IT-company, 2010 | 23

должен быть документально оформлен перечень сведений конфиденциального характера, подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персонала к такого рода сведениям.

Согласно методическому документу ФСТЭК России «Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в информационных системах персональных данных», в числе прочих мероприятий на предпроектной стадии определяется перечень ПДн, подлежащих защите от НСД.

Для составления Перечня должен привлекаться широкий круг экспертов и должностных лиц структурных подразделений, отделов, служб организации с тем, чтобы ни одно из возможных направлений е? деятельности не было упущено при его разработке. В ходе подготовки Перечня должностные лица организации, а в случае проведения работ сторонней организацией – сотрудники организации-исполнителя должны провести анализ всех сторон деятельности оператора с целью определения конкретных сведений, разглашение которых может нанести ущерб их собственнику и владельцу (субъекту персональных данных).

При этом выполняются следующие работы:

изучение внутренней и внешней организационно-распорядительной документации;

интервьюирование должностных лиц и специалистов оператора;

идентификация точек входа и выхода информации ограниченного распространения и пути е? миграции в структуре оператора;

изучение содержания входящих и исходящих информационных потоков всех типов и направлений;

выявление в информационных потоках, сопровождающих бизнес-процессы оператора, персональных данных и других видов информации ограниченного распространения, обрабатываемых как с использованием, так и без использования средств автоматизации;

анализ оснований и установление категорий и степеней конфиденциальности выявленных персональных данных и других видов информации ограниченного распространения, циркулирующих в структуре оператора;

уточнение целей, выявление условий начала и прекращения и определение сроков обработки (хранения) для каждой установленной категории персональных данных и другой информации ограниченного распространения;

определение структурных подразделений и должностных лиц оператора, использующих в своей деятельности персональные данные и другую информацию ограниченного распространения, их правомочности в принятии решений, касающихся определения целей, условий и сроков обработки указанной информации;

составление и представление на утверждение Перечня сведений конфиденциального характера (Перечня персональных данных), отвечающего

24 | © LETA IT-company, 2010

требованиям руководящих документов и содержащего информацию, необходимую и достаточную для достижения целей работ.

В результате данного шага оператор получает сформированное мнение о составе и содержании обрабатываемых в его структуре персональных данных и другой информации ограниченного распространения, оформленное в виде Перечня сведений конфиденциального характера (Перечня персональных данных) и приказа о его введении в действие. Данным приказом могут быть определены порядок и правила использования Перечня в тех или иных бизнес-процессах, требования по его доведению до сотрудников организации-оператора, клиентов и прочих физических и юридических лиц.

В результате работ ответственные за организацию и обеспечение безопасности ПДн получают возможность спланировать дальнейшие работы по приведению процессов организации, связанных с обработкой ПДн, в соответствие требованиям закона № 152-ФЗ.

Ограничения / на что стоит обратить внимание

Наиболее информативными источниками получения исходных данных для формирования Перечня могут быть процессы:

оформления трудовых договоров с работниками;

ведения уч?та труда работников и их оплаты;

осуществления обязательного государственного пенсионного страхования работников;

осуществления обязательного пенсионного страхования в негосударственном пенсионном фонде;

продажи товаров дистанционным способом;

оказания услуг связи; оказания услуг по обязательному (добровольному) медицинскому страхованию граждан; оказания банковских услуг;

В ходе формирования Перечня должны быть обеспечены единый подход к созданию Перечня со стороны всех структурных подразделений организации и привлекаемых сотрудников, обоснованность принимаемых решений о включении в него сведений за структурное подразделение в отдельности и за организацию в целом, а также воспитание чувства ответственности за их несанкционированное распространение (разглашение, передачу, опубликование, утечку, хищение) вплоть до применения соответствующих норм Гражданского кодека Российской Федерации (ГК РФ), Кодекса Российской Федерации об административных правонарушениях (КоАП) и Уголовного кодекса Российской Федерации (УК РФ).

В Перечень должны включаться сведения, содержащие информацию ограниченного распространения (персональные данные), не составляющую государственную тайну, – как являющиеся собственностью организации, так и передаваемые (предоставляемые) в

© LETA IT-company, 2010 | 25

распоряжение (пользование) организации органами исполнительной власти, государственными учреждениями и организациями, а также любыми другими организациями, предприятиями и субъектами (физическими лицами), с которыми установлены договорные отношения, предусматривающие обязательства по неразглашению конфиденциальной информации.

Следует особое внимание уделять обоснованию целей обработки всех категорий информации ограниченного распространения. Совмещение в одной ИСПДн персональных данных с различными целями обработки недопустимо. Так, согласно части 2 статьи 5 федерального закона хранение персональных данных должно осуществляться не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. А в соответствии частью 4 статьи 21 закона обработка персональных данных по достижении целей обработки должна быть прекращена в срок не менее тр?х рабочих дней, если иное не предусмотрено федеральными законами.

Так, согласно Перечню типовых управленческих документов, сопровождающих

Руководящий документ «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)». Утвержден приказом Гостехкомиссии России от 30 августа 2002 г. № 282 (для служебного пользования); Методический документ «Основные мероприятия по организации и техническому

обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», ФСТЭК России, 15 февраля 2008 г. (пометка «для служебного пользования» снята решением ФСТЭК России от 16 ноября 2009 г.).

26 | © LETA IT-company, 2010

Получить согласие субъекта на обработку его ПДн, в том числе в письменной форме

Одним из условий обработки персональных данных является е? осуществление с согласия субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 федерального закона № 152-ФЗ.

Невыполнение условия согласия субъекта на обработку его персональных данных может привести к нарушению конституционных прав субъекта вследствие вмешательства в его личную жизнь пут?м осуществления контактов с ним по различным поводам без его на то согласия (например – рассылка персонифицированных рекламных предложений и т.п.).

Для обеспечения защиты законных прав и свобод субъекта на неприкосновенность частной жизни необходимо исключить случаи, когда обработка персональных данных прямо или косвенно нарушает эти права. В этих целях рекомендуется провести ряд мероприятий, направленных на получение согласия субъектов персональных данных, чьи данные уже обрабатываются, и разработать схему для штатного получения таких согласий в будущем.

Цели проведения работ

Цели данного этапа:

проверить наличие юридически значимого согласия субъектов персональных данных на обработку персональных данных, выявленных на Шаге 2;

получить согласие на обработку персональных данных от субъектов, согласие которых на обработку которых должно быть получено, но не было обнаружено в ходе проверки;

разработать и ввести в действие процедуры, связанные с получением и использованием согласия субъектов персональных данных на обработку их персональных данных оператором; сформировать юридически значимые доказательные базы для обоснования легитимности обработки персональных данных.

Основание проведения работ

В соответствии с частью 1 статьи 6 Федерального закона № 152-ФЗ, обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 той же статьи.

Согласно части 2 статьи 6, согласия субъекта на обработку его персональных данных не требуется в случаях, когда:

© LETA IT-company, 2010 | 27

обработка персональных данных осуществляется на основании федерального закона, устанавливающего е? цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Во всех других случаях необходимо провести комплекс мероприятий по получению согласия на обработку персональных данных.

Согласно части 1 статьи 9 закона, субъект персональных данных принимает решение о предоставлении своих персональных данных и да?т согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 той же статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

Законом установлен ряд случаев, когда согласие субъекта на обработку его персональных данных должно быть дано исключительно в письменной форме или когда отсутствие письменного подтверждения согласия приводит к невозможности принятия решения, порождающего юридические последствия в отношении субъекта персональных данных. Доказательной базой наличия согласия субъекта на обработку его персональных данных могут быть только официальные, юридически грамотно оформленные документы.

Таким образом, отсутствие доказательств, подтверждающих право оператора на обработку ПДн в тех случаях, когда отсутствуют основания для обработки ПДн без согласия субъекта, а также продолжение такой обработки после отзыва субъектом своего согласия может быть расценено как нарушение федерального закона и привести к неприемлемым последствиям для субъекта персональных данных.

28 | © LETA IT-company, 2010

Учитывая сформированное при выполнении работ по Шагу 2 представление о составе, условиях и целях обработки персональных данных, на текущем шаге выделяются следующие блоки ПДн, обработка которых осуществляется оператором:

ПДн, согласие на обработку которых имеется;

ПДн, на обработку которых согласие необходимо, но отсутствует;

ПДн, подлежащие опубликованию в соответствии с законом;

прочие ПДн, согласия субъектов на обработку которых не требуется в соответствии счастью 2 статьи 6 федерального закона № 152-ФЗ «О персональных данных».

В соответствии с данными блоками выполняемые работы включают в себя:

анализ состава и содержания документов, подтверждающих легитимность обработки оператором персональных данных, в отдельности для каждого из субъектов, чьи ПДн обрабатываются оператором;

идентификацию субъектов персональных данных, чь? разрешение на обработку их ПДн отсутствует, и принятие решения о необходимости или об отсутствии необходимости получения такого разрешения;

разработку (корректировку) договоров с сотрудниками и клиентами организацииоператора в части внесения в них положений об условиях и формах обработки ПДн оператором и о согласии на такую обработку;

разработку типовых форм согласия и направление запросов субъектам для получения их согласия на обработку их ПДн оператором;

организацию юридически значимого получения согласия через web-формы;

формирование юридически значимой базы согласий субъектов на обработку их ПДн;

разработку процедур и порядка реагирования на отсутствие ответа от субъекта, подтверждающего его согласие на обработку его ПДн;

разработку процедур и порядка реагирования на отзыв субъектом своего согласия на обработку его ПДн;

идентификацию ПДн, подлежащих опубликованию в соответствии с федеральными законами, в инфраструктуре оператора;

установление наличия или отсутствия целей обработки персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в инфраструктуре оператора, направление субъектам при необходимости запросов о предоставлении таких ПДн для обработки оператором;

идентификацию прочих ПДн, согласия субъектов на обработку которых не требуется в соответствии с частью 2 статьи 6 федерального закона № 152-ФЗ «О персональных данных»;

формирование документированной, юридически значимой доказательной базы правомерности обработки ПДн, осуществляемой без согласия субъекта персональных данных.

© LETA IT-company, 2010 | 29

Результаты данного этапа:

выявлены персональные данные, по которым согласие уже получено или не требуется;

проведены мероприятия по получению юридически значимого письменного согласия на обработку ПДн в тех случаях, когда такое согласие получено не было;

разработаны процедуры и порядок действий оператора, связанных с получением согласия субъектов на обработку их ПДн;

сформированы юридически значимые базы письменных согласий субъектов на обработку их ПДн; сформирована юридически значимая доказательная база правомерности

обработки ПДн, осуществляемой без согласия субъекта персональных данных.

Ограничения / на что стоит обратить внимание

Особенно важной является аналитическая проработка и создание юридически значимой доказательной базы правомерности обработки ПДн, осуществляемой без согласия субъекта персональных данных. Как показывает практика, таких случаев достаточно много, и качественная аналитическая проработка данного блока ПДн позволяет значительно снизить издержки на разработку и исполнение процедуры получения согласия.

Необходимо также обратить внимание на то, что согласно закону № 152-ФЗ «О персональных данных» в большинстве случаев от субъекта необходимо получить именно письменное согласие. Согласно части 4 статьи 9 закона, письменное согласие субъекта персональных данных на обработку персональных данных должно включать в себя:

фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

цель обработки ПДн;

перечень ПДн, на обработку которых дается согласие субъекта персональных данных;

перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;

срок, в течение которого действует согласие, а также порядок его отзыва.

Для упрощения и повышения эффективности мероприятий по получению согласия субъектов на обработку их ПДн могут быть предложены следующие процедуры:

направление в адрес субъекта персональных данных письма с просьбой подписать согласие на обработку его ПДн в адрес субъекта. К письму рекомендуется приложить заполненную типовую форму согласия и конверт с заполненным обратным адресом;

30 | © LETA IT-company, 2010

Руководство определяет содержание и порядок осуществления мероприятий по защите информации, содержащей сведения, отнесенные в установленном порядке к

к содержанию и порядку разработки Руководства

по защите информации от технических разведок

и от ее утечки по техническим каналам на объекте

(одобрено решением от 03.10.95 г. № 42 Гостехкомиссии России)

1. ОБЩИЕ ПОЛОЖЕНИЯ.


1.1. Настоящий документ устанавливает единые типовые требования к содержанию и порядку разработки Руководства по защите информации от технических разведок и от ее утечки по техническим каналам (далее - Руководство) на строящемся (реконструируемом), действующем (находящимся в эксплуатации) объекте. Под объектом защиты (далее - объект) понимается имущественный комплекс: здания, сооружения, помещения и территория, на которой они размещены, а также расположенные в них технические средства и иное имущество, требующее защиты и принадлежащее государственным органам, государственным и коммерческим организациям (в том числе НИИ, КБ, опытный или серийный завод, испытательный центр, полигон, воинская часть и т.п.) на праве собственности, оперативного управления или хозяйственного ведения.

1.2. В соответствии с требованиями Положения о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам, утвержденного постановлением Совета Министров - Правительства Российской Федерации от 15 сентября 1993 года №912-51, Руководство разрабатывается на каждом объекте, на котором предусматривается защита информации от технических разведок и от ее утечки по техническим каналам (далее - защита информации) в ходе его строительства (реконструкции) и эксплуатации.

1.3. Руководство определяет содержание и порядок осуществления мероприятий по защите информации, содержащей сведения, отнесенные в установленном порядке к государственной или служебной тайне. Мероприятия по защите информации должны быть увязаны с мероприятиями по легендированию объектов и режиму секретности.

1.4. При разработке Руководства используются:



  1. концепция защиты информации от иностранной технической разведки (ИТР);

  2. модель иностранной технической разведки применительно к объекту защиты;

  3. нормы противодействия средствам иностранной технической разведки;

  4. нормы эффективности защиты информации, обрабатываемой техническими средствами;

  5. инструкция по защите информации об образцах вооружения и военной техники, создаваемых или используемых на объекте;

  6. требования по защите информации о создаваемых образцах вооружения и военной техники и выполняемых работах, подлежащих защите от ИТР;

  7. инструкция по проектированию технических мероприятий защиты промышленных объектов от ИТР;

  8. проектная документация на строительство (реконструкцию) объекта в части мер защиты информации в ходе его эксплуатации, общий маскировочный замысел защиты информации для объектов первой категории;

  9. результаты анализа разведдоступности и аттестования объекта (первая, вторая, третья категории) или его составных частей на соответствие требованиям по защите информации;

  10. методические и другие руководящие документы в области защиты информации.

  11. При разработке Руководства данные об осведомленности разведок в отношении конкретного объекта получают в соответствующем министерстве (ведомстве).

  • 2. ОСНОВНОЕ СОДЕРЖАНИЕ РУКОВОДСТВА ПО ЗАЩИТЕ ИНФОРМАЦИИ

  • 2.1. Руководство должно состоять из следующих разделов:

  • общие положения;

  • охраняемые сведения об объекте;

  • демаскирующие признаки объекта и технические каналы утечки информации;

  • оценка возможностей технических разведок и других источников угроз безопасности информации (возможно спецтехника, используемая преступными группировками);

  • организационные и технические мероприятия по защите информации;

  • оповещение о ведении разведки (раздел включается в состав Руководства при необходимости);

  • обязанности и права должностных лиц;

  • планирование работ по защите информации и контролю;

  • контроль состояния защиты информации;

  • аттестование рабочих мест;

  • взаимодействие с другими предприятиями (учреждениями, организациями).

  • В зависимости от особенностей объекта допускается вводить и другие разделы.

  • 2.2. В разделе "Общие положения" указывается назначение Руководства, приводятся общие требования по защите информации на объекте, указывается категория объекта по требованиям обеспечения защиты информации, указываются должностные лица, ответственные за выполнение требований Руководства, определяется порядок финансирования работ по защите информации на объекте, приводятся сведения о полученной лицензии на допуск к работе со сведениями, составляющими государственную тайну и об имеющихся сертифицированных средствах защиты информации.

  • 2.3. В разделе "Охраняемые сведения об объекте" указывается конкретная цель, которая должна быть достигнута в результате проведения мероприятий по защите информации (охраняемых сведений) об объекте, замысел достижения этой цели и приводится перечень охраняемых сведений об объекте и его деятельности (без указания конкретных числовых параметров).

  • 2.4. В разделе "Демаскирующие признаки объекта" и технические каналы утечки информации" указываются демаскирующие признаки, которые раскрывают охраняемые сведения об объекте, в том числе демаскирующие признаки, возникающие в связи с использованием средств обеспечения его деятельности. Приводятся возможные технические каналы утечки охраняемых сведений об объекте, включая каналы утечки информации в технических средствах ее обработки.

  • 2.5. В разделе "Оценка возможностей иностранных технических разведок и других источников угроз безопасности информации" приводится перечень видов и средств технической разведки, источников угроз несанкционированного доступа к информации, которые опасны для данного объекта, в том числе со стороны преступных группировок и результаты оценки их возможностей:

  • по обнаружению (определению) демаскирующих признаков объекта, раскрывающих охраняемые сведения;

  • по перехвату информации, циркулирующей в технических средствах ее обработки;

  • по перехвату речевой информации из помещений;

  • по получению, разрушению (уничтожению), искажению или блокированию информации в результате несанкционированного доступа к ней.

  • При оценке используется Модель иностранной технической разведки, Методики оценки возможностей иностранной технической разведки и другие документы по этому вопросу.

  • 2.6. В разделе "Организационные и технические мероприятия по защите информации" приводятся организационные и технические мероприятия, обеспечивающие устранение или ослабление (искажение) демаскирующих признаков и закрытие возможных технических каналов утечки охраняемых сведений об объекте, мероприятия по защите информации о создаваемых (применяемых) образцах вооружения и военной техники в соответствии с Инструкциями по защите информации на эти образцы, мероприятия по защите информации об иной создаваемой (применяемой) продукции и технологиях, мероприятия по защите информации при постоянном контролируемом и неконтролируемом нахождении иностранных граждан, как на территории объекта, так и в непосредственной близости от него, а также мероприятия по защите информации в системах и средствах информатизации и связи. При нахождении на территории объекта организации, арендующей территорию данного объекта, требования по защите информации на данный объект должны быть включены в договор аренды.

  • 2.7. В разделе "Оповещение о ведении разведки" указывается порядок получения, регистрации и передачи данных о пролетах разведывательных ИСЗ, самолетов иностранных авиакомпаний, на хождении иностранных судов в открытых портах, местах, маршрутах и времени проведения иностранных инспекций в соответствии с международными договорами, посещении объекта иностранными представителями, появлении в районе дислокации объекта иностранных граждан, подозреваемых в ведении разведки. А также приводятся внутри объектовая схема оповещения и действия должностных лиц при оповещении.

  • 2.8. В разделе "Обязанности и права должностных лиц" определяются должностные лица подразделений объекта, ответственные за разработку, обеспечение и выполнение мероприятий по защите информации, их функциональные обязанности и права, приводится структурная схема взаимодействия подразделений по защите информации на объекте с соответствующими подразделениями данного объекта.

  • 2.9. В разделе "Планирование работ по защите информации и контролю" указываются основные руководящие документы для планирования работ по защите информации, требования к содержанию планов, приводится порядок разработки, согласования, утверждение и оформления планов, устанавливается порядок отчетности и контроля за выполнением планов.

  • 2.10. В разделе "Контроль состояния защиты информации" указываются задачи контроля, перечень органов и подразделений, имеющих право проверки состояния защиты информации на объекте, привлекаемые силы и средства контроля, порядок привлечения (при необходимости) к этой работе специалистов основных подразделений объекта, устанавливаются периодичность и виды контроля, порядок оформления результатов контроля, определяются действия должностных лиц по устранению нарушений норм и требований по защите информации и порядок разработки мероприятий по устранению указанных нарушений.

  • 2.11. В разделе "Аттестование рабочих мест" указываются подразделения или должностные лица, ответственные за аттестование рабочих мест, стендов, вычислительных комплексов, выделенных помещений и т.д. приводится форма документирования результатов аттестования и порядок выдачи разрешения на проведение работ с секретной информацией, а также порядок и периодичность их переаттестования.

  • 2.12. В разделе "Взаимодействие с другими предприятиями (учреждениями, организациями)" указываются порядок взаимодействия в области защиты информации с предприятиями (учреждениями, организациями) при выполнении совместных работ, применяемые совместные организационные и технические мероприятия по защите информации, ответственность, права и обязанности взаимодействующих сторон, а также приводится структурная схема взаимодействия.

  • 2.13. В приложения к Руководству могут включаться:

  • таблицы, схемы, графики, расчеты, исходные данные и другие справочные материалы для оценки обстановки, определения мероприятий по защите информации;

  • перечень создаваемых (применяемых) образцов вооружения и военной техники, выполняемых НИОКР и другой продукции, подлежащих защите;

  • перечень сведений, подлежащих защите;

  • план объекта с указанием схем размещения рабочих мест,

  • стендов и т.д. и схем организации связи и сигнализации объекта;

  • структура системы защиты информации на объекте;

  • перечень руководящих, нормативных и методических документов по защите информации и др.

    • Корректировка приложений должна проводиться в случаях изменения характера и направленности работ, разведобстановки, влияющих на состояние защиты охраняемых сведений, введения в действие новых нормативных документов по защите информации или уточнений к ним, а также при уточнении (изменении) легенд прикрытия.
    3. ПОРЯДОК РАЗРАБОТКИ, СОГЛАСОВАНИЯ И УТВЕРЖДЕНИЯ РУКОВОДСТВА ПО ЗАЩИТЕ ИНФОРМАЦИИ
    3.1. Руководство по защите информации разрабатывается подразделением по защите информации от иностранных технических разведок и от ее утечки по техническим каналам совместно с основными подразделениями объекта. При отсутствии подразделения или отдельных специалистов по защите информации разработку Руководства организует руководитель объекта по договору с предприятиями, организациями, имеющими лицензию на данный вид деятельности. Руководство подписывается должностным лицом, ответственным за защиту информации на объекте и утверждается руководителем объекта по согласованию с представителем заказчика, головным подразделением отрасли по защите информации (для предприятий, входящих в состав ведомств) и соответствующим территориальным органом государственной безопасности. Согласованное Руководство утверждается руководителем органа государственной власти или предприятия (учреждения, организации).

    3.2. Изменения в Руководство вносятся, согласовываются и утверждаются в том же порядке и на том же уровне, что и основной документ.

    3.3. К ознакомлению с Руководством в полном объеме допускается строго ограниченный круг лиц по решению руководителя объекта. Исполнители мероприятий по защите информации на объекте должны быть ознакомлены с Руководством в части, их касающейся.

    © Руководства, Инструкции, Бланки 2016