.svg)
Акт о результатах проведения проверки обеспечения защиты персональных данных
Акт проверки (обследования) обеспечения защиты ПДн описывает текущее состояние режима защиты ПДн.
Акт должен:
- быть утвержден руководителем подразделения ответственного за обеспечение режима безопасности или специально уполномоченным сотрудником;
- основываться на результатах внутренней проверки;
- содержать дату и адрес учреждения, где проводилась проверка. Если проверка проводилась также в филиалах, это тоже должно быть указано;
- содержать названия всех выявленных ИСПДн.
Внутренняя проверка производится на основании приказа о проведении проверки и классификации ИСПДн и в соответствии с принципами и положениями Концепции информационной безопасности и Политики информационной безопасности.
В акте о результатах проведения проверки обеспечения защиты персональных данных отражаются:
1.
Выявленная ИСПДн.
2.
Состав и структура объектов защиты.
3.
Конфигурация и структура ИСПДн.
4.
Режим обработки ПДн.
5.
Перечень лиц, участвующих в обработке ПДн.
6.
Права доступа лиц, допущенных к обработке ПДн.
7.
Угрозы безопасности персональных данных. Оценивалась вероятность их реализации, реализуемость, опасность и актуальность.
8.
Существующие меры защиты ПДн.
9.
Список необходимых мер защиты ПДн.
Данные проверки служат информационной основой для других нормативно-организационных документов.
Данные о составе и структуре объектов защиты отражаются в Перечне персональных данных, подлежащих защите.
Данные о составе и структуре обрабатываемых персональных данных, конфигурации ИСПДн и режиме обработке являются основой для составления Акта классификации информационной системы персональных данных.
Данные о лицах, допущенных к обработке ПДн, и уровне их доступа отражаются в Положении о разграничении прав доступа к обрабатываемым персональным данным.
Данные об угрозах безопасности ПДн служат основной для составления Модели угроз безопасности персональных данных.
Данные о существующих и необходимых мерах защиты ПДн служат основной для составления Плана мероприятий по обеспечению защиты ПДн.
Данные о технических средствах защиты отражаются в Перечне по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним.
| (Полное наименование оператора) | ||||||||||||||||||
| "УТВЕРЖДЕНО" | |||||
| (должность) | (личная подпись) | (расшифровка подписи) | |||
| № |
Акт
о результатах проведения проверки обеспечения защиты персональных данных
Введение.
Внутренняя проверка (далее - Проверка) произведена на основании Приказа № . Проверка проводилась на территории предприятия по адресу .
Проверка проводилась в соответствии с принципами и положениями Концепции информационной безопасности и Политики информационной безопасности.
В ходе проверки была выявлена ИСПДн:
В ходе проверки для ИСПДн определялось:
1) Состав и структура объектов защиты.
2) Конфигурация и структура ИСПДн.
3) Режим обработки ПДн.
4) Перечень лиц, участвующих в обработке ПДн.
5) Права доступа лиц, допущенных к обработке ПДн.
6) Угрозы безопасности персональных данных. Оценивалась вероятность их реализации, реализуемость, опасность и актуальность.
7) Существующие меры защиты ПДн.
8) Список необходимых мер защиты ПДн.
Данные Проверки служат информационной основой для других нормативно-организационных документов.
Данные о составе и структуре объектов защиты отражаются в Перечне персональных данных, подлежащих защите.
Данные о составе и структуре обрабатываемых персональных данных, конфигурации ИСПДн и режиме обработке являются основой для составления Акта классификации информационной системы персональных данных.
Данные о лицах, допущенных к обработке ПДн, и уровне их доступа отражаются в Положении о разграничении прав доступа к обрабатываемым персональным данным.
Данные об угрозах безопасности ПДн служат основной для составления Модели угроз безопасности персональных данных.
Данные о существующих и необходимых мерах защиты ПДн служат основной для составления Плана мероприятий по обеспечению защиты ПДн.
Данные о технических средствах защиты отражаются в Перечне по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним.
Структура ИСПДн.
Структура информационной системы:
Наличие подключений к сетям связи общего пользования и (или) сетям международного информационного обмена:
Местонахождение технических средств информационных систем персональных данных:
Состав и структура персональных данных.
Обрабатываемые персональные данные:
Иные персональные данные: .
Состав и структура персональных данных сотрудников:
Исходя из состава обрабатываемых персональных данных, можно сделать вывод, что ИСПДн является информационной системой, обрабатывающей .
Объем обрабатываемых персональных данных записей о субъектах персональных данных.
Объекты защиты ИСПДн.
Технологическая информация.
Технологическая информация, подлежащая защите, включает:
- управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.) :
- информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;
- информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;
Программно-технические средства обработки.
Программно-технические средства включают в себя:
- резервные копии общесистемного программного обеспечения;
- инструментальные средства и утилиты систем управления ресурсами ИСПДн;
Каналы информационного обмена и телекоммуникации.
Каналы информационного обмена и телекоммуникации являются объектами защиты, так как по ним передаются обрабатываемая и технологическая информация.
Объекты и помещения, в которых размещены компоненты ИСПДн.
Объекты и помещения являются объектами защиты, так как в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.
Конфигурация ИСПДн.
Конфигурация элементов ИСПДн.
Территориальное расположение ИСПДн относительно контролируемой зоны.
.
Структура обработки персональных данных.
В ИСПДн обработка персональных данных происходит по следующим этапам:
| № | Этап обработки данных в ИСПДн |
Режим обработки персональных данных.
Режим обработки персональных данных в информационной системе: .
Матрица доступа.
| ФИО пользователя | Должность пользователя | Уровень доступа |
Угрозы безопасности ПДн.
При обработке персональных данных в ИСПДн можно выделить следующие угрозы:
| № | Наименование угрозы | Описание угрозы |
Существующие меры защиты ИСПДн.
9.1. Технические меры защиты ИСПДн.
| Элемент ИСПДн | Программное средство обработки ПДн | Установленные средства защиты |
9.2. Организационные меры защиты ИСПДн.
| № | Наименование организационной меры защиты ИСПДн |
Необходимые меры защиты.
На основании анализа актуальности выявленных угроз безопасности, для достижения требуемого уровня защиты рекомендуется осуществить следующие мероприятия:
| № | Наименование мероприятия по обеспечению сохранности ПДн |