Сразу оговорюсь....

Данная статья не является непосредственным руководством к действию и носит исключительно рекомендательный характер.

План проведения внутреннего контроля:

 

Наименование Период Комментарии
1. Проверка защиты информации (ПД) 2-4 раза в год  
2. Контроль доступа к нежелательной информации (СКФ) 4 раза в год  
3. Контоль материально технической базы - Инвентаризация определяется учетной политикой  
4. Контроль наполняемости сайта образовательного учреждения 4 раза в год   
5. Финансовый контроль 4 раза в год   

 

 

Что такое защита персональных данных? 

 

Согласно статье 86 Трудового кодекса РФ, работники и их представители должны быть ознакомлены под роспись с теми документами работодателя, которые устанавливают порядок обработки персональных данных работников, а также их права и обязанности в этой области.

Субъект персональных данных самостоятельно решает вопрос их передачи кому-либо (теперь наверное многим стало понятно - почему мы заключаем "договор-поручение" каждый год), оформляя свое намерение документально.

 

  1. Порядок проведения внутреннего контроля по защите ПД:

 

Наименование Период Комментарии
1. Проверяем актуальность сведений, а так же их перечень, опубликованный на сайте Роскомнадзора  после обновления списка данных, целей, смены ответственного

ссылка для перехода

вводим ИНН организации и проверяем

 

2. Приказ об ответственных (организации работ)  

название может быть и другим НО кто за что отвечает должно быть прописано по пукнтам.

ВАЖНО!!!! назначая сотрудников - помнить: существуют требования к занимаемой должности (соответствующее образование) и о необходимости внесения изменений в должностную инструкцию или другой документ, регламентирующий действия сотрудника.

 3. Приказ о контроллируемых зонах (КЗ)  1 раз в 3 года (или при внесении изменений)

можно все информационные системы указать в одном, отменив старые приказы

 4. Приказ о перечне сведений 1 раз в 3 года (или при внесении изменений) можно одним приказом, таблица с указанием информационных систем и перечень обрабатываемых данных
5.  Приказ о создании комиссии  1 раз в 3 года (или при внесении изменений) состав 3,5 человек (замы, гл. бух, ОК...)
 6.  Приказ о о классификации  1 раз в 3 года (или при внесении изменений) наличие акта
 7.  Приказ о мероприятиях  1 раз в 3 года (или при внесении изменений)

ВАЖНО!!! в нем прописан перечень работ для всех ответственных, период проведения, а так же шаблоны актов и протоколов

к этому приказу будем возвращятся при контроле журналов

 8. Приказы о вводе в эксплуатацию информационной системы (ИС)  1 раз в 3 года (или при внесении изменений)

ВАЖНО!!! Приказ о вводе всегда идет после вышеперечисленных документов

В этом приказе можно назначить ответственного за эксплуатацию (например гл.Бухгалтера или Делопроизводителя..)

Не путать с ответственным за защиту ПД.

 9. Приказ о неавтоматизированной обработке  1 раз в 3 года (или при внесении изменений)

Пример: рукописный журнал или листы регистрации, без участия объявленных ранее информационных систем

(список кто, что и зачем)

10.  Приказ о запрете подключения 3G,4G  1 раз в 3 года (или при внесении изменений) номинально вы заявляете о запрете, даже если и не пользуетесь
11.  Приказ об обработке перс данных  1 раз в 3 года (или при внесении изменений)

приложения: анкеты, согласия, регламент, акт уничтожения). (все что собираете на бумаге нужно учесть и обязательно указать ответственного за контроль и уничтожение

ВАЖНО !!! в последних рекомндациях ФСТЭК,  приказы объединять не стоит, на утверждение разных документов (инструкций, ответственных  - разные приказы)

12 Приказ об утверждении плана защиты на год   рекомендую перевыпускать каждый календарный год
13. Политика конфиденциальности персональных данных (размещена на сайте)    размещена на сайте организациии (при разработке учесть все формы и типы сведений, которые может внести пользователь)
14. Инструкция по антивирусной защите.   Проверить ее наличие в учреждении.
       

   

Журналы - проверяем на наличие заполненной информации

 

 1.  Журнал инструктажа сотрудников

проверка 1 раз в квартал

 первичный, целевой, повторый, внеплановый

оформить как по охране труда (инструктажей много) на каждого сотрудника отдельный лист

 2.  Журнал учета внутренних носителей проверка 1 раз в квартал В журнале должны быть учтены все жесткие диски, всех ПК, участвующих в обработке
 3.  Журнал учета отчуждаемых носителей (съемных) проверка 1 раз в квартал  все флешки, переносные HDD и прочие технические устройства
 4.  Журнал антивирусных проверок проверка 1 раз в квартал   Заполнять необходимо 1 раз в неделю
 5. Журнал учета хранилищ  проверка 1 раз в квартал  сейфы, металл.шкафы 
 6.  Журнал учета проверок эл.журналов обращений к ИС   проверка 1 раз в квартал   
7. Журнал учета нештатных ситуаций в ИС проверка 1 раз в квартал  Вносятся данные, если что то вышло из строя или произошел программный сбой.
8. Журнал поэкземплярного учета криптосредств проверка 1 раз в квартал  Все приобретенные и введенные в эксплуатацию крипто средства должны быть внесены с версиями и датами дейтсвия
9. Журнал проверок криптосредств проверка 1 раз в квартал

Единой методики проверки нет, можно осуществлять проверку использую сторонние программы (XSpider)

первичные, плановые, внеплановые проверки

10. Журнал учета передачи перс.данных проверка 1 раз в квартал заполняется при наличии запросов
11. Журнал учета лиц, допущенных в серверное помещение или кабинет хранилище ПД проверка 1 раз в квартал если таковое имеется
12. Журнал учета журналов проверка 1 раз в квартал  

 

 

 

Я уже упоминал о приказах "о мероприятиях" и "ответственных". Исполнители должны быть указаны - ранее определенные сотрудники. Вынесем более подробно информацию из них в таблицу: 

 

№ п/п

Мероприятие

Проверяемый  документ

Исполнители

Сроки проведения

1     

Уточнение и корректировка списка допущенных лиц

Журнал учета доступа в ИС

Ответственный за организацию обработки защищаемой информации

Ежемесячно

Контроль за соблюдением  порядка доступа в помещения, где расположены элементы ИС

Журнал учета доступа в ИС

Ответственный за организацию обработки защищаемой информации

Ежемесячно

Контроль за соблюдением антивирусной политики

Инструкция ответственных лиц

Администратор безопасности

Ежемесячно

4  

Контроль за соблюдением  порядка резервирования баз данных и хранения резервных копий

Регламент резервного копирования

Администратор безопасности

Ежемесячно

5  

Проверка знаний  пользователями ИС действий во внештатных ситуациях

Ответственный за организацию обработки защищаемой информации

Раз в квартал

Проверка знаний пользователями ИС положений законодательства РФ о защите информации, локальных актов по вопросам обработки защищаемой информации, и (или) обучение указанных сотрудников

Журнал учета доступа в ИС

Ответственный за организацию обработки защищаемой информации

Раз в полгода

Контроль за работоспособностью средств защиты информации, а также работы пользователей со средствами защиты информации

Администратор безопасности

Раз  в квартал

Контроль за соблюдением  пользователями ИС правил работы со  съемными внешними машинными носителями защищаемой информации

Журнал учета носителей информации

Администратор безопасности

Раз в квартал

Контроль состава основных технических средств и систем

Технический паспорт объекта информатизации

Администратор безопасности

Раз  в квартал

10 

Контроль наличия и целостности пломб (печатей, специальных защитных знаков) на корпусах ПЭВМ и устройств, входящих в состав ИС

Администратор безопасности

Раз  в квартал

11

Контроль соответствия общесистемной программной среды

Перечень программного обеспечения, разрешенного к установке в ИС

Администратор безопасности

Раз в полгода

12  

Контроль обновления программного обеспечения ИС, предназначенного для обработки защищаемой информации, а также программного обеспечения установленных средств защиты информации

Технический паспорт объекта информатизации

Администратор безопасности

Раз в полгода

13 

Контроль получения соглашений о соблюдении конфиденциальности от пользователей, допущенных к обработке защищаемой информации

Журнал учета доступа в ИС

Ответственный за организацию обработки защищаемой информации

Раз в полгода

14

Контроль за соблюдением пользователями ИС парольной политики

Инструкция ответственных лиц

Администратор безопасности

Раз в полгода

15  

Организация анализа и пересмотра имеющихся угроз безопасности защищаемой информации, а также выявление новых, еще не известных угроз

Частная модель определения актуальных угроз безопасности защищаемой информации

Ответственный за организацию обработки защищаемой информации совместно с органом по аттестации

Раз в год

16 

Контроль за соблюдением правил по учету и хранению средств криптографической защиты

Журнал учета и хранения криптосредств; Технический (аппаратный) журнал

Ответственный за учет и хранение криптографических средств

Раз в полгода

 

Теперь самое главное: итогом любой проверки является документ.  Например: Отчет № от ______  по результатам проведения внутреннего контроля соответствия обработки персональных данных.