Триколор 

Переустановить виндовс 10 на ноутбуке с линуксом. Установка Windows после Linux. Игровая платформа Linux

В данном посте хотелось бы осветить такой документ, как Акт определения уровня защищенности ПДн при их обработке в ИСПДн . Это, если можно так сказать, перерождение Акта классификации ИСПДн . Основной камень преткновения, который я встретил, это не совсем понятная картина в том, что является законодательным инструментом в написании данного акта. Дело в том, что ранее этот акт классификации ИСПДн писался на основании приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных», который и утверждает порядок классификации. Но издан этот приказ в соответствии с пунктом 6 Постановления Правительства №781 от 17 ноября 2007 г., которое утратило силу в связи с выходом Постановления Правительства № 1119 от 1 ноября 2012. Таким образом, приказ действующий, а вышестоящий документ – нет. В свою очередь в ПП 1119 нет привязки к категории ИСПДн, однако есть привязка к уровню защищенности персональных данных, который должен быть обеспечен при их обработке в ИСПДн.

Итак начать нужно с названия документа: «Акт определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных «**********» Его я подсмотрел у Андрея Прозорова и оно меня целиком и полностью устроило. Надо отметить, что Андрей и по акту помог некоторыми комментариями, за что ему отдельное «Спасибо!» («Спасибо» лишним не бывает, Андрей улыбается;)).

Определяем состав комиссии. У меня в документе это реализовано таблицей, однако можно и текстом. Как говорится, на вкус и цвет все фломастеры разные.

После пишем, на основании какого документа мы определяем, какой уровень защищенности нам необходимо обеспечить. Естественно, это ПП 1119. Однако есть мнение, что т.к. приказ №55/86/20 еще не утратил силу, то указать желательно и его. Привычка регулятора может сыграть злую шутку. У меня текст следующий:

«Комиссия, рассмотрев исходные данные информационной системы персональных данных (ИСПДн) «********»в соответствии с Постановлением Правительства Российской Федерации №1119 от 1 ноября 2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и учетом приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных», определила:»
  1. Категории персональных данных, обрабатываемых в информационной системе . Здесь, согласно ПП 1119 у нас есть 4 варианта: иные, общедоступные, биометрические, специальные. Также рекомендую по тексту расписать, что подразумевается под каждой категорией ПДн.
  2. Объём обрабатываемых персональных данных . Здесь все просто, либо менее 100 000, либо более 100 000.
  3. Угрозы, актуальные для информационной системы . Опять таки, типы угроз расписаны в ПП 1119. И также по тексту описываем, какие угрозы к какому типу относятся. Желательно описать, почему именно этот тип угроз, либо сослаться на модель угроз.
  4. Тип субъектов персональных данных, обрабатываемых в информационной системе . Тоже все просто. Это либо только сотрудники оператора, либо нет. Также лучше пояснить, что значит «сотрудники оператора». Вам не сложно, а у регулятора меньше поводов зацепиться.
  5. К специальной или типовой относится ИСПДН . Здесь также лучше расписать, по каким критериям происходит отнесение. Только это уже берется не из ПП 1119, а из «трехглавого» приказа №55/86/20.
  6. Структуру ИСПДн (автономная, локальная, распределенная)
  7. Имеются ли подключения ИСПДн к сетям общего пользования
  8. Режим обработки ПДн в ИСПДн (однопользовательский или многопользовательский)
  9. Имеется ли разграничение доступа
  10. Территориальное расположение ИСПДн (Целиком в пределах РФ или нет)