2.1.5 Определение круга лиц, допущенных к обработке персональных данных. Для этой цели формируется «Перечень лиц, допущенных к обработке ПДн» (Форма в Приложении 1). 2.1.6 Организация доступа в помещения, где осуществляется обработка ПДн. Должна осуществляться физическая охрана помещений ИСПДн. Доступ в помещения, где обрабатываются ПДн, лицам, не допущенным к обработке ПДн, должен быть по возможности запрещен. В случае невозможности запретить доступ в помещения, необходимо исключить возможность несанкционированного доступа к техническим средствам обработки ПДн, хищение и нарушение работоспособности, хищение носителей информации. 2.1.7 Обучение сотрудников. Не реже одного раза в год необходимо проводить обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними. Также проводится обучение сотрудников Организации, допущенных к обработке ПДн, правилам обработки ПДн, в соответствии с утвержденными требованиями. 2.1.8 Установление персональной ответственности за нарушения правил обработки ПДн. В должностные инструкции сотрудников, допущенных к обработке ПДн, должны быть внесены изменения в части персональной ответственности за нарушение правил обработки ПДн. 2.1.9 Учет применяемых технических средств защиты персональных данных. Для этой цели формируется «Паспорт ИСПДн» (Форма в Приложении 1). 2.1.10 Учет носителей персональных данных. В обязательном порядке должен проводиться учет всех защищаемых носителей персональных данных. 2.1.11 Разработка организационно – распорядительных документов (далее ОРД). Необходимо разработать пакет ОРД, которые будут регламентировать весь процесс получения, обработки, хранения, передачи и защиты персональных данных. Набор ОРД приведен в разделе 2.5. 2.2 Технические мероприятия Технические меры защиты ПДн предполагают использование программно - аппаратных средств защиты информации. При обработке ПДн с использованием средств автоматизации применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется в процессе предпроектного обследования информационных ресурсов предприятия. 2.2.1 Требования к техническим и программным средствам. Технические и программные средства, используемые для обработки ПДн в ИСПДн, должны удовлетворять установленным в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации. Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации. 2.2.2 Необходимость создания СЗПДн Создание СЗПДн является необходимым условием обеспечения безопасности ПДн, в том случае, если существующие организационные и технические меры обеспечения безопасности не соответствуют требованиями к обеспечению безопасности ПДн для ИСПДн соответствующего класса и/или не покрывают всех угроз безопасности ПДн для данной ИСПДн. 2.3 Создание СЗПДн Рекомендуются следующие стадии создания СЗПДн: - предпроектная стадия, включающая предпроектное обследование ИСПДн, разработку технического (частного технического) задания на создание СЗПДн; - стадия проектирования (разработки проектов) и реализации ИСПДн, включающая разработку СЗПДн в составе ИСПДн; - стадия ввода в действие СЗПДн, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также о соответствия ИСПДн требованиям безопасности информации. 2.3.1 Предпроектная стадия 2.3.1.1 На предпроектной стадии по обследованию ИСПДн выполняются следующие мероприятия: 1) Устанавливается необходимость обработки ПДн в ИСПДн. 2) Определяется перечень ПДн, подлежащих защите. Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе
|
Вопрос специалисту
На нашем сайте Вы можете бесплатно задать вопрос специалисту
Видео Документы для скачивания |