P.S. в данном посте я не рассматриваю вопросы проектирования СЗПДн, а просто пишу технический проект СЗПДн (комплект). Данный вопрос достаточно хорошо регламентирован соответствующими ГОСТами, и хотя у меня есть свое мнение о составе и содержании именно проектных документов на СЗПДн, а также их целесообразности, но в этом посте я его озвучивать не буду.
name='more'> Перечень документов ( майндкарта ):
Итого перечень:
1. Общие положения:
1.1. Политика в отношении обработки ПДн
1.2. Положение об обработке ПДн
1.3. Положение об обеспечении безопасности ПДн
1.4. Положение о распределении ответственности за обработку и обеспечение безопасности ПДн
1.5. Комплект приказов:
- Приказ о назначении ответственного и создании СЗПДн
- Приказ о допуске сотрудников к обработке ПДн
- Приказ о внедрении СЗПДн
- Приказ о назначении ответственного и создании СЗПДн
- Приказ о допуске сотрудников к обработке ПДн
- Приказ о внедрении СЗПДн
2. Проектирование СЗПДн
2.1. Перечень ПДн
2.2. Перечень лиц, допущенных к обработке ПДн
2.3. Перечень ИСПДн
2.4. Описание ИСПДн
2.5. Акты классификации ИСПДн
2.6. Модель угроз СЗПДн + протокол об оценке ущерба
2.7. План мероприятий по обеспечению безопасности ПДн
2.8. Технический проект на СЗПДн (комплект документов)
3. Обеспечение ИБ
3.1. Положение об антивирусной защите
3.2. Положение о парольной защите
3.3. Положение о физической безопасности и контроле доступа на территорию
3.4. Положение о допустимом использовании ресурсов
3.5. Регламент инструктажа сотрудников
3.6. Регламент предоставления и изменения прав доступа к информационным ресурсам
3.7. Регламент реагирования на запросы субъектов ПДн
3.8. Регламент проведения мероприятий по контролю обработки и защиты ПДн
3.9. Положение о маркировании носителей персональных данных
4. Инструкции и памятки
4.1. Памятка администратору
4.2. Памятка пользователю
4.3. Памятка аудитору (контролеру) СЗПДн
4.4. Инструкция по организации резервного копирования и восстановления информации
5. Справочная информация
5.1. Перечень лиц, допущенных в серверное помещение
5.2. Перечень внутренних документов, регламентирующих обработку и обеспечение безопасности ПДн
5.3. Перечень внешних документов, регламентирующих обработку и обеспечение безопасности ПДн
5.4. Перечень СЗИ
5.5. Перечень администраторов средств обработки и защиты информации
6. Прочие
6.1. правки в
- Должностные инструкции сотрудников, обрабатывающих ПДн
- Должностные инструкции сотрудников, обеспечивающих ИБ и поддержку ИТ
- Положения о подразделениях
- Договора с 3ми лицами
- Договора с сотрудниками
6.2. Соглашение на обработку ПД (шаблон)
6.3. Уведомление РКН
7. Журналы
7.1. Журнал инструктажа сотрудников по вопросам ИБ
7.2. Журнал учета мероприятий по обеспечению и контролю безопасности ПДн
7.3. Журнал учета запросов и обращений субъектов ПДн, их законных представителей и государственных контролирующих органов
7.4. Журнал учета мобильных носителей
7.5. Журнал учета съемных носителей информации
7.6. Журнал учета пропуска лиц на территорию
Далее, примеры документов, которые часто включают в список "необходимых" документов по ПДн и краткие комментарии по ним. Я не призываю полностью отказываться от них, на определенных этапах развития компании (ее процессов) они вполне могут появиться (некоторые должны появиться), но я бы их отложил до лучших времен, сосредоточившись на документах, приведенных выше (все же блог называется 80на20 - принцип Парето)
Более подробно по составу и содержанию документов в этом посте писать не буду, если есть вопросы, комментарии и предложения, то с удовольствием отвечу в комментариях к посту. Если вопросов будет много, то напишу продолжение.
2.1. Перечень ПДн
2.2. Перечень лиц, допущенных к обработке ПДн
2.3. Перечень ИСПДн
2.4. Описание ИСПДн
2.5. Акты классификации ИСПДн
2.6. Модель угроз СЗПДн + протокол об оценке ущерба
2.7. План мероприятий по обеспечению безопасности ПДн
2.8. Технический проект на СЗПДн (комплект документов)
3. Обеспечение ИБ
3.1. Положение об антивирусной защите
3.2. Положение о парольной защите
3.3. Положение о физической безопасности и контроле доступа на территорию
3.4. Положение о допустимом использовании ресурсов
3.5. Регламент инструктажа сотрудников
3.6. Регламент предоставления и изменения прав доступа к информационным ресурсам
3.7. Регламент реагирования на запросы субъектов ПДн
3.8. Регламент проведения мероприятий по контролю обработки и защиты ПДн
3.9. Положение о маркировании носителей персональных данных
4. Инструкции и памятки
4.1. Памятка администратору
4.2. Памятка пользователю
4.3. Памятка аудитору (контролеру) СЗПДн
4.4. Инструкция по организации резервного копирования и восстановления информации
5. Справочная информация
5.1. Перечень лиц, допущенных в серверное помещение
5.2. Перечень внутренних документов, регламентирующих обработку и обеспечение безопасности ПДн
5.3. Перечень внешних документов, регламентирующих обработку и обеспечение безопасности ПДн
5.4. Перечень СЗИ
5.5. Перечень администраторов средств обработки и защиты информации
6. Прочие
6.1. правки в
- Должностные инструкции сотрудников, обрабатывающих ПДн
- Должностные инструкции сотрудников, обеспечивающих ИБ и поддержку ИТ
- Положения о подразделениях
- Договора с 3ми лицами
- Договора с сотрудниками
6.2. Соглашение на обработку ПД (шаблон)
6.3. Уведомление РКН
7. Журналы
7.1. Журнал инструктажа сотрудников по вопросам ИБ
7.2. Журнал учета мероприятий по обеспечению и контролю безопасности ПДн
7.3. Журнал учета запросов и обращений субъектов ПДн, их законных представителей и государственных контролирующих органов
7.4. Журнал учета мобильных носителей
7.5. Журнал учета съемных носителей информации
7.6. Журнал учета пропуска лиц на территорию
_________________________________________________________________________________
Далее, примеры документов, которые часто включают в список "необходимых" документов по ПДн и краткие комментарии по ним. Я не призываю полностью отказываться от них, на определенных этапах развития компании (ее процессов) они вполне могут появиться (некоторые должны появиться), но я бы их отложил до лучших времен, сосредоточившись на документах, приведенных выше (все же блог называется 80на20 - принцип Парето)
№ | Документы (тип/область) | Комментарий |
1. | Верхнеуровневые документы ИБ и ИТ (Концепция ИБ, Стратегия ИБ, Политика ИБ, Стратегия ИТ и пр.) | Да, верхнеуровневые документы важны, и если они в компании разработаны, то все ОРД по ПДн должны на них ориентироваться. Однако в системе защиты ПДн без них можно обойтись |
2. | Управление инцидентами (Регламент реагирования на инциденты ИБ, Инструкция по действиям персонала в нештатных ситуациях и пр.) | Документы связанные с управлением инцидентами и непрерывностью бизнеса (восстановлением после аварий) важны и полезны. Однако они не так просты и очевидны, по-хорошему следует разрабатывать целые комплекты документов (положения, процедуры, инструкции, планы и т.д.). Обычно одним-двумя документом не отделаешься, они будут «не рабочими». Если все же хочется заложить основные принципы и требования, то это можно сделать в документе «Положение об обеспечении безопасности ПДн», если хочется чего-то больше, то следует рассмотреть основные сценарии угроз ИБ и написать процедуры реагирования на них. Ну, например, «что делать если вырубило электричество», «что делать при краже ноутбука»,«что делать при отказе сервера ХХХ», «что делать при потере пароля к ХХХ» |
3. | Управление изменениями (Инструкции по модификации и техническому обслуживанию ИСПДн, Инструкции по внесению изменений в ИСПДн и пр.) | Опять же считаю тему управления изменениями не слишком простой, чтобы в паре документов писать общие фразы, это можно сделать, например, в «Положении об обеспечении безопасности ПДн». Если хочется все же документировать эту область, то сделать это лучше отдельным проектом |
4. | Детализированные инструкции по обработке ПДн (Положение о порядке обработки ПДн, Инструкция по работе с ПДн без использования средств автоматизации и пр.) | Тоже излишни, основные моменты можно прописать в «Положении об обработке ПДн» |
5. | Допуск к ПДн (Регламент допуска сотрудников к обработке ПДн, Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам ИСПДн и пр.) + Сюда же можно отнести тоже "шикарный" документ под названием "Положение об электронном журнале учета обращений пользователей к ПДн" | В рамках защиты ПДн вполне достаточно основные моменты прописать в «Положении об обработке ПДн» и «Положении об обеспечении безопасности ПДн». Если есть желание, то можно разработать документ «Процедура предоставления и изменения прав доступа к информационным ресурсам». Если хочется все же хорошо документировать область управления доступом, то сделать это лучше отдельным проектом |
6. | Архив (Регламент передачи ПДн в архивное хранение и пр.) | Тоже не рассматривал бы в рамках проекта по ПДн. Архивное хранение и все что с ним связано достаточно четко регламентировано соответствующими законами и подзаконными актами |
7. | Уничтожение носителей (Порядок уничтожения носителей ПДн и пр.) | В рамках защиты ПДн вполне достаточно основные моменты прописать в «Положении об обработке ПДн» и «Положении об обеспечении безопасности ПДн» |
8. | Учет СЗИ (Порядок учета СЗИ, Инструкция по учету средств обработки и защиты ПДн и пр.) | Тоже достаточно спорные документы. По нормальному в организации сначала необходимо построить систему учета лицензий ПО, затем можно уже переходить к управлению активами (конфигурационными единицами). А это не такие простые области/процессы. Данную область следует рассматривать отдельно от проета ПДн |
9. | Учет носителей ПДн (Регламент учета носителей ПДн и пр.) | Обычно не «живой» документ, имеет смысл общие требования отразить в «Положении о допустимом использовании ресурсов» |
Более подробно по составу и содержанию документов в этом посте писать не буду, если есть вопросы, комментарии и предложения, то с удовольствием отвечу в комментариях к посту. Если вопросов будет много, то напишу продолжение.