Акт о результатах проведения проверки обеспечения защиты персональных данных

смотреть видео
Акт о результатах проведения проверки обеспечения защиты персональных данных описывает текущее состояние режима защиты ПДн. В разделе представлен бланк акта о результатах проведения проверки обеспечения защиты ПДн и даны рекомендации по заполнению.
Полезная информация
Описания

Акт проверки (обследования) обеспечения защиты ПДн описывает текущее состояние режима защиты ПДн.

Акт должен:

  • быть утвержден руководителем подразделения ответственного за обеспечение режима безопасности или специально уполномоченным сотрудником;
  • основываться на результатах внутренней проверки;
  • содержать дату и адрес учреждения, где проводилась проверка. Если проверка проводилась также в филиалах, это тоже должно быть указано;
  • содержать названия всех выявленных ИСПДн.

Внутренняя проверка производится на основании приказа о проведении проверки и классификации ИСПДн и в соответствии с принципами и положениями Концепции информационной безопасности и Политики информационной безопасности.

В акте о результатах проведения проверки обеспечения защиты персональных данных отражаются:

1.

Выявленная ИСПДн.

2.

Состав и структура объектов защиты.

3.

Конфигурация и структура ИСПДн.

4.

Режим обработки ПДн.

5.

Перечень лиц, участвующих в обработке ПДн.

6.

Права доступа лиц, допущенных к обработке ПДн.

7.

Угрозы безопасности персональных данных. Оценивалась вероятность их реализации, реализуемость, опасность и актуальность.

8.

Существующие меры защиты ПДн.

9.

Список необходимых мер защиты ПДн.

Данные проверки служат информационной основой для других нормативно-организационных документов.

Данные о составе и структуре объектов защиты отражаются в Перечне персональных данных, подлежащих защите.

Данные о составе и структуре обрабатываемых персональных данных, конфигурации ИСПДн и режиме обработке являются основой для составления Акта классификации информационной системы персональных данных.

Данные о лицах, допущенных к обработке ПДн, и уровне их доступа отражаются в Положении о разграничении прав доступа к обрабатываемым персональным данным.

Данные об угрозах безопасности ПДн служат основной для составления Модели угроз безопасности персональных данных.

Данные о существующих и необходимых мерах защиты ПДн служат основной для составления Плана мероприятий по обеспечению защиты ПДн.

Данные о технических средствах защиты отражаются в Перечне по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним.

Акт о результатах проведения проверки обеспечения защиты персональных данных

 
(Полное наименование оператора)

 

"УТВЕРЖДЕНО"
   
(должность) (личная подпись) (расшифровка подписи)
   

Акт

о результатах проведения проверки обеспечения защиты персональных данных

Введение.

Внутренняя проверка (далее - Проверка) произведена на основании Приказа № . Проверка проводилась  на территории предприятия  по адресу .

Проверка проводилась в соответствии с принципами и положениями Концепции информационной безопасности и Политики информационной безопасности.

В ходе проверки была выявлена ИСПДн:  

В ходе проверки для ИСПДн определялось:

1) Состав и структура объектов защиты.

2) Конфигурация и структура ИСПДн.

3) Режим обработки ПДн.

4) Перечень лиц, участвующих в обработке ПДн.

5) Права доступа лиц, допущенных к обработке ПДн.

6) Угрозы безопасности персональных данных. Оценивалась вероятность их реализации, реализуемость, опасность и актуальность.

7) Существующие меры защиты ПДн.

8) Список необходимых мер защиты ПДн.

Данные Проверки служат информационной основой для других нормативно-организационных документов.

Данные о составе и структуре объектов защиты отражаются в Перечне персональных данных, подлежащих защите.

Данные о составе и структуре обрабатываемых персональных данных, конфигурации ИСПДн и режиме обработке являются основой для составления Акта классификации информационной системы персональных данных.

Данные о лицах, допущенных к обработке ПДн, и уровне их доступа отражаются в Положении о разграничении прав доступа к обрабатываемым персональным данным.

Данные об угрозах безопасности ПДн служат основной для составления Модели угроз безопасности персональных данных.

Данные о существующих и необходимых мерах защиты ПДн служат основной для составления Плана мероприятий по обеспечению защиты ПДн.

Данные о технических средствах защиты отражаются в Перечне по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним.

1.

Структура ИСПДн.

Информационная система персональных данных, по заданным оператором характеристикам безопасности, относится к:   

Структура информационной системы:     

Наличие подключений к сетям связи общего пользования и (или) сетям международного информационного обмена:  

Местонахождение информационных систем персональных данных:  

 Местонахождение баз данных информационных систем персональных данных:  

2.

 Состав и структура персональных данных.

2.1.

 Обрабатываемые персональные данные:

Иные персональные данные: .

2.2.

 Состав и структура персональных данных сотрудников:

             

Исходя из состава обрабатываемых персональных данных, можно сделать вывод, что ИСПДн  является информационной системой, обрабатывающей  .

Объем обрабатываемых персональных данных    записей о субъектах персональных данных.

3.

 Объекты защиты ИСПДн.

3.1.

 Технологическая информация.

Технологическая информация, подлежащая защите, включает:

- управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.) :

 - информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

 - информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

3.2.

 Программно-технические средства обработки.

Программно-технические средства включают в себя:

 - резервные копии общесистемного программного обеспечения;

 - инструментальные средства и утилиты систем управления ресурсами ИСПДн;

3.3.

 Каналы информационного обмена и телекоммуникации.

Каналы информационного обмена и телекоммуникации являются объектами защиты, так как по ним передаются обрабатываемая и технологическая информация.

3.4.

 Объекты и помещения, в которых размещены компоненты ИСПДн.

Объекты и помещения являются объектами защиты, так как в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.

4.

 Конфигурация ИСПДн.

4.1.

 Конфигурация элементов ИСПДн.

 

4.2.

 Территориальное расположение ИСПДн относительно контролируемой зоны.

.

5.

 Структура обработки персональных данных.

В ИСПДн   обработка персональных данных происходит по следующим этапам:

Этап обработки данных в ИСПДн

 

6.

 Режим обработки персональных данных.

Режим обработки персональных данных в информационной системе:  .

7.

 Матрица доступа.

ФИО пользователя Должность пользователя Уровень доступа

 

8.

 Угрозы безопасности ПДн.

При обработке персональных данных в ИСПДн можно выделить следующие угрозы:

Наименование угрозы Описание угрозы

 

9.

 Существующие меры защиты ИСПДн.

9.1. Технические меры защиты ИСПДн. 

Элемент ИСПДн Программное средство обработки ПДн Установленные средства защиты

9.2. Организационные меры защиты ИСПДн.

Наименование организационной меры защиты ИСПДн

 

10.

 Необходимые меры защиты.

На основании анализа актуальности выявленных угроз безопасности, для достижения требуемого уровня защиты рекомендуется осуществить следующие мероприятия:

Наименование мероприятия по обеспечению сохранности ПДн