5.23Рекомендации по разработке Эскизного проекта на создание системы обеспечения безопасности информации объекта Эскизный проект на создание системы обеспечения безопасности информации объекта определяет принципы построения системы защиты персональных данных.
Пример Эскизного проекта на создание системы обеспечения безопасности информации объекта.
Эскизный проект должен:
Быть утвержден Руководителем Учреждения или руководителем подразделения ответственного за обеспечение режима безопасности или специально уполномоченным сотрудником.
Эскизный проект может быть изменен с учетом специфики конкретного Учреждения.
5.24Рекомендации по разработке Положения об Электронном журнале обращений пользователей информационной системы к ПДн Положение об Электронном журнале обращений пользователей информационной системы к ПДн определяет порядок регистрации действий пользователей ИСПДн при обработке ПДн. Положение вводится приказом.
Пример Положения об Электронном журнале обращений пользователей информационной системы к ПДн.
Положение должно:
Быть оформлено в соответствии с внутренним порядком документооборота Учреждения.
Быть утверждено Руководителем Учреждения.
Электронный журнал представляет совокупность записей штатных средств обработки ПДн (операционных систем, прикладного ПО) или специально установленных систем управления доступом, регистрации и учета (Политика информационной безопасности раздел 4) о событиях выполняемых пользователями (лог-файлы).
Записи о событиях должны храниться в технических средствах или собираться в едином хранилище специально установленных систем управления доступом, регистрации и учета.
Записи о событиях должны резервироваться в соответствии с Порядком резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ.
5.25Рекомендации по разработке уведомления в территориальный орган Россвязькомнадзора Уведомление в территориальный орган Россвязькомнадзора, является заявкой на получение статуса оператора персональных данных.
Пример Уведомления об обработке.
Уведомление должно быть оформлено в соответствии с рекомендациями Россвязькомнадзора по заполнению Уведомления.
6Рекомендации по выполнению технических мероприятий по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн Учреждений
Технические мероприятия могут быть разделены на 2 типа:
Обязательные технические мероприятия.
Технические мероприятия, выполняемые при выделении дополнительного финансирования.
Перечень возможных дополнительных технических мероприятий представлен в Плане мероприятий по обеспечению защиты ПДн.
6.1Обязательные технические мероприятия Для всех типов ИСПДн обязательным является установка антивирусной защиты на все элементы ИСПДн (рабочие станции, файловые сервера, сервера приложений).
Для ИСПДн, имеющих информационную структуру локальной или распределенной информационной системы и имеющих подключение к сетям общего пользования и / или международного обмена (Интернету), также необходимым является установка межсетевого экрана на границе сети. Для ИСПДн, имеющих информационную структуру автоматизированного рабочего места, установка межсетевого экрана не обязательна.
Для всех ИСПДн, осуществляющих передачу в другие ИСПДн по сетям общего пользования и / или международного обмена, необходимо установить систему криптозащиты.
|