Какие документы нужно выпусить для защиты ПДн?

Какие документы нужно выпусить для защиты ПДн?

Каждый человек, который встает во главу защиты ПДн на предприятии, начинает ломать голову на тему: с чего бы начать.

Данный подход обусловлен не тем, что человек ленится работать, а потому что он не знает что делать. Для начала плодотворной работы нужна точка опоры.

Когда человек окунается в новую для него тему, то найти то место, которое считается началом, очень трудно. Поэтому я хочу пролить свет на вопросы организации защиты персональных данных, а точнее указать для того чтобы у Вас все было хорошо какие документы у Вас должны быть.

Так как мы живем в большой и могучей стране, то для того чтобы у Вас было все хорошо, нужно иметь знакомого с ксивой ФСТЭК, Роскомнадзор или ФСБ. Только эти организации являются регуляторами и могут прийти к Вам с проверкой.

Немного лирики или дайте поплакаться бедному админу

Головной боли у современного системного администратора хватает, но почему-то руководство предприятий считает, что эти люди очень мало работают и по возможности расширяют их обязанности до "кудаможно". Их бы действия на зарплату направить, было бы приятнее.

Так и в организации, в которой мне довелось работать в данный момент, защиту персональных данных (в современных реалиях будем называть их ПДн) доверили системному администратору по сетевой безопасности. Хотелось бы поправить людей, которые подумал, что именно системные администраторы должны этим заниматься: в защите ПДн очень много бумажной работы, точнее не много, а дохрена, работа с "железками" начинается только в конце, да и то заключается в настройке маршрутизатора и SecretNet`а. Да и к тому же, объем работ по защите ПДн очень большой, который потянуть одному, не плававшему в этом человеку, очень тяжело.

До прихода регуляторов осталось совсем немного времени, а точнее ровно 1 месяц, поэтому было решено все быстро раскидать. :))

Список документов, которые должны быть в организации, обрабатывающей ПДн:

  1. Перечень ПДн, обрабатываемых на предприятии.
  2. Приказ о создании экспертной комиссии по классификации ИСПДн.
  3. Акт предпроектного исследования.
  4. Акт классификации ИСПДн.
  5. Модель угроз ИСПДн.
  6. Модель нарушителя.
  7. Матрица доступа.
  8. Положение об обработке ПДн, обрабатываемых с использованием автоматизированных систем.
  9. Техническое задание.
  10. Паспорт ИСПДн.
  11. Инструкция администратора безопасности ИСПДн.
  12. Инструкция пользователя, обрабатывающего ПДн.
  13. Инструкция по антивирусному контролю ИСПДн.
  14. Приказ о назначении администратора ИСПДн.
  15. Регламент резервного копирования.

У меня получилось 15. У кого больше? ))

Все документы расставлены в хронологическом порядке, которые нужно выпускать по очереди.

Если у Вас есть какие-то замечания к списку документов, то отписывайтесь в комментариях, так как информации по данному вопросу пока мало и ценна каждая крупинка.

забыл предупредить, что это все мое ИМХО.

P.S. Популярные мини игры скачать, онлайн мини игры, описания, рецензии, обсуждения на форуме и многое др.

Комментарии:

  1. Дмитрий опубликовал комментарий 17 Май 2011, 10:45 #

    Здарствуйте,у меня к вам вопросы:
    п.2 Приказ о создании экспертной комиссии по классификации ИСПДн. – в роли экспертной комиссии кто у вас выступал? насколько мне известно это должны быть люди с лицензией(профильным образованием (срок действия 5 лет после получения диплома,либо сертификаты и т.д.),а у вас кто были эксперты?
    Далее с п.3 по п.10 рабоыт экспертов,я правильно вас понял?

    | Ответить
    • Mut@NT опубликовал комментарий 17 Май 2011, 12:21 #

      Откуда у Вас эта информация, что экспертная комиссия должна состоять из дипломированных специалистов. Ни один документ на моей памяти этого не разъясняет. Возможно я что то упустил, поправьте если что.

      У нас в экспертную комиссия входят руководители подразделений, где обрабатываются эти ПДн.

      | Ответить
  2. Алекс опубликовал комментарий 7 Август 2012, 16:44 #

    А у меня как то больше получилось. Как минимум должна быть “Политика информационной безопасности”, “Концепция информационной безопасности”, еще куча журналов. У меня где то 35-36 доков получилось.

    | Ответить
    • Mut@NT опубликовал комментарий 8 Август 2012, 07:53 #

      Вы правы. Бумаги намного больше. Эта статья писалась практически год назад и тогда я еще много не знал по ПДн ))

      | Ответить
Имя
e-mail
Сайт
Текст комментария: