Сразу оговорюсь....
Данная статья не является непосредственным руководством к действию и носит исключительно рекомендательный характер.
План проведения внутреннего контроля:
№ | Наименование | Период | Комментарии |
1. | Проверка защиты информации (ПД) | 2-4 раза в год | |
2. | Контроль доступа к нежелательной информации (СКФ) | 4 раза в год | |
3. | Контоль материально технической базы - Инвентаризация | определяется учетной политикой | |
4. | Контроль наполняемости сайта образовательного учреждения | 4 раза в год | |
5. | Финансовый контроль | 4 раза в год |
Что такое защита персональных данных?
- инвентаризация информационных ресурсов; (перечень информационных систем, кто с ними работает, что обрабатывает)
- ограничение доступа работников к персональным данным; (приказы, сейфы, регламент доступа в помещение)
- документальное регламентирование работы с персональными данными; (приказы и регламенты)
- формирование модели угроз безопасности персональных данных; (для каждого ПК своя модель угроз)
- классификация информационных систем персональных данных (ИСПДн) образовательных организаций;
- составление и отправка в уполномоченный орган уведомления об обработке персональных данных; (уведомление в роскомнадзор)
- приведение системы защиты персональных данных в соответствие с требованиями регуляторов; (покупка и установка средств защиты)
- создание подсистемы информационной безопасности ИСПДн и ее аттестация (сертификация) – для ИСПДн классов К1, К2;
- организация эксплуатации и контроля безопасности ИСПДн. (ввод в эксплуатаци и начало работы сотрудников с информационной системой)
Согласно статье 86 Трудового кодекса РФ, работники и их представители должны быть ознакомлены под роспись с теми документами работодателя, которые устанавливают порядок обработки персональных данных работников, а также их права и обязанности в этой области.
Субъект персональных данных самостоятельно решает вопрос их передачи кому-либо (теперь наверное многим стало понятно - почему мы заключаем "договор-поручение" каждый год), оформляя свое намерение документально.
- Порядок проведения внутреннего контроля по защите ПД:
№ | Наименование | Период | Комментарии |
1. | Проверяем актуальность сведений, а так же их перечень, опубликованный на сайте Роскомнадзора | после обновления списка данных, целей, смены ответственного |
вводим ИНН организации и проверяем
|
2. | Приказ об ответственных (организации работ) |
название может быть и другим НО кто за что отвечает должно быть прописано по пукнтам. ВАЖНО!!!! назначая сотрудников - помнить: существуют требования к занимаемой должности (соответствующее образование) и о необходимости внесения изменений в должностную инструкцию или другой документ, регламентирующий действия сотрудника. |
|
3. | Приказ о контроллируемых зонах (КЗ) | 1 раз в 3 года (или при внесении изменений) |
можно все информационные системы указать в одном, отменив старые приказы |
4. | Приказ о перечне сведений | 1 раз в 3 года (или при внесении изменений) | можно одним приказом, таблица с указанием информационных систем и перечень обрабатываемых данных |
5. | Приказ о создании комиссии | 1 раз в 3 года (или при внесении изменений) | состав 3,5 человек (замы, гл. бух, ОК...) |
6. | Приказ о о классификации | 1 раз в 3 года (или при внесении изменений) | наличие акта |
7. | Приказ о мероприятиях | 1 раз в 3 года (или при внесении изменений) |
ВАЖНО!!! в нем прописан перечень работ для всех ответственных, период проведения, а так же шаблоны актов и протоколов к этому приказу будем возвращятся при контроле журналов |
8. | Приказы о вводе в эксплуатацию информационной системы (ИС) | 1 раз в 3 года (или при внесении изменений) |
ВАЖНО!!! Приказ о вводе всегда идет после вышеперечисленных документов В этом приказе можно назначить ответственного за эксплуатацию (например гл.Бухгалтера или Делопроизводителя..) Не путать с ответственным за защиту ПД. |
9. | Приказ о неавтоматизированной обработке | 1 раз в 3 года (или при внесении изменений) |
Пример: рукописный журнал или листы регистрации, без участия объявленных ранее информационных систем (список кто, что и зачем) |
10. | Приказ о запрете подключения 3G,4G | 1 раз в 3 года (или при внесении изменений) | номинально вы заявляете о запрете, даже если и не пользуетесь |
11. | Приказ об обработке перс данных | 1 раз в 3 года (или при внесении изменений) |
приложения: анкеты, согласия, регламент, акт уничтожения). (все что собираете на бумаге нужно учесть и обязательно указать ответственного за контроль и уничтожение ВАЖНО !!! в последних рекомндациях ФСТЭК, приказы объединять не стоит, на утверждение разных документов (инструкций, ответственных - разные приказы) |
12 | Приказ об утверждении плана защиты на год | рекомендую перевыпускать каждый календарный год | |
13. | Политика конфиденциальности персональных данных (размещена на сайте) | размещена на сайте организациии (при разработке учесть все формы и типы сведений, которые может внести пользователь) | |
14. | Инструкция по антивирусной защите. | Проверить ее наличие в учреждении. | |
Журналы - проверяем на наличие заполненной информации
|
|||
1. | Журнал инструктажа сотрудников |
проверка 1 раз в квартал |
первичный, целевой, повторый, внеплановый оформить как по охране труда (инструктажей много) на каждого сотрудника отдельный лист |
2. | Журнал учета внутренних носителей | проверка 1 раз в квартал | В журнале должны быть учтены все жесткие диски, всех ПК, участвующих в обработке |
3. | Журнал учета отчуждаемых носителей (съемных) | проверка 1 раз в квартал | все флешки, переносные HDD и прочие технические устройства |
4. | Журнал антивирусных проверок | проверка 1 раз в квартал | Заполнять необходимо 1 раз в неделю |
5. | Журнал учета хранилищ | проверка 1 раз в квартал | сейфы, металл.шкафы |
6. | Журнал учета проверок эл.журналов обращений к ИС | проверка 1 раз в квартал | |
7. | Журнал учета нештатных ситуаций в ИС | проверка 1 раз в квартал | Вносятся данные, если что то вышло из строя или произошел программный сбой. |
8. | Журнал поэкземплярного учета криптосредств | проверка 1 раз в квартал | Все приобретенные и введенные в эксплуатацию крипто средства должны быть внесены с версиями и датами дейтсвия |
9. | Журнал проверок криптосредств | проверка 1 раз в квартал |
Единой методики проверки нет, можно осуществлять проверку использую сторонние программы (XSpider) первичные, плановые, внеплановые проверки |
10. | Журнал учета передачи перс.данных | проверка 1 раз в квартал | заполняется при наличии запросов |
11. | Журнал учета лиц, допущенных в серверное помещение или кабинет хранилище ПД | проверка 1 раз в квартал | если таковое имеется |
12. | Журнал учета журналов | проверка 1 раз в квартал |
Я уже упоминал о приказах "о мероприятиях" и "ответственных". Исполнители должны быть указаны - ранее определенные сотрудники. Вынесем более подробно информацию из них в таблицу:
№ п/п |
Мероприятие |
Проверяемый документ |
Исполнители |
Сроки проведения |
1 |
Уточнение и корректировка списка допущенных лиц |
Журнал учета доступа в ИС |
Ответственный за организацию обработки защищаемой информации |
Ежемесячно |
2 |
Контроль за соблюдением порядка доступа в помещения, где расположены элементы ИС |
Журнал учета доступа в ИС |
Ответственный за организацию обработки защищаемой информации |
Ежемесячно |
3 |
Контроль за соблюдением антивирусной политики |
Инструкция ответственных лиц |
Администратор безопасности |
Ежемесячно |
4 |
Контроль за соблюдением порядка резервирования баз данных и хранения резервных копий |
Регламент резервного копирования |
Администратор безопасности |
Ежемесячно |
5 |
Проверка знаний пользователями ИС действий во внештатных ситуациях |
– |
Ответственный за организацию обработки защищаемой информации |
Раз в квартал |
6 |
Проверка знаний пользователями ИС положений законодательства РФ о защите информации, локальных актов по вопросам обработки защищаемой информации, и (или) обучение указанных сотрудников |
Журнал учета доступа в ИС |
Ответственный за организацию обработки защищаемой информации |
Раз в полгода |
7 |
Контроль за работоспособностью средств защиты информации, а также работы пользователей со средствами защиты информации |
– |
Администратор безопасности |
Раз в квартал |
8 |
Контроль за соблюдением пользователями ИС правил работы со съемными внешними машинными носителями защищаемой информации |
Журнал учета носителей информации |
Администратор безопасности |
Раз в квартал |
9 |
Контроль состава основных технических средств и систем |
Технический паспорт объекта информатизации |
Администратор безопасности |
Раз в квартал |
10 |
Контроль наличия и целостности пломб (печатей, специальных защитных знаков) на корпусах ПЭВМ и устройств, входящих в состав ИС |
– |
Администратор безопасности |
Раз в квартал |
11 |
Контроль соответствия общесистемной программной среды |
Перечень программного обеспечения, разрешенного к установке в ИС |
Администратор безопасности |
Раз в полгода |
12 |
Контроль обновления программного обеспечения ИС, предназначенного для обработки защищаемой информации, а также программного обеспечения установленных средств защиты информации |
Технический паспорт объекта информатизации |
Администратор безопасности |
Раз в полгода |
13 |
Контроль получения соглашений о соблюдении конфиденциальности от пользователей, допущенных к обработке защищаемой информации |
Журнал учета доступа в ИС |
Ответственный за организацию обработки защищаемой информации |
Раз в полгода |
14 |
Контроль за соблюдением пользователями ИС парольной политики |
Инструкция ответственных лиц |
Администратор безопасности |
Раз в полгода |
15 |
Организация анализа и пересмотра имеющихся угроз безопасности защищаемой информации, а также выявление новых, еще не известных угроз |
Частная модель определения актуальных угроз безопасности защищаемой информации |
Ответственный за организацию обработки защищаемой информации совместно с органом по аттестации |
Раз в год |
16 |
Контроль за соблюдением правил по учету и хранению средств криптографической защиты |
Журнал учета и хранения криптосредств; Технический (аппаратный) журнал |
Ответственный за учет и хранение криптографических средств |
Раз в полгода |
Теперь самое главное: итогом любой проверки является документ. Например: Отчет № от ______ по результатам проведения внутреннего контроля соответствия обработки персональных данных.