12.10.2009

Шаблоны документов по персданным

Я уже писал про методические рекомендации ФСТЭК, в которых приведен набор шаблонов документов, которые могут понадобиться при организации работ по защите ПДн. Надо отметить, что шаблоны документов сыроваты и не всегда привязаны к ПДн. Видимо взяты из внутренних документов ФСТЭК по аттестации, СТР-К и т.п. Пока выкладываю три документа, которые я оформил в более удобоваримом формате.

Первым идет заключение о возможности эксплуатации СЗИ. Можно заметить, что оно очень сильно привязано к навесным СЗИ и только для персоналок (АРМ). Его нетрудно модифицировать для учета СЗИ на серверах. А вот для остальных ОТСС (например, сетевое оборудование) придется помучиться.

Заключение о возможности эксплуатации СЗИ

Вторым идет акт обследования ИСПДн, который может подменить и паспорт ИСПДн, который иногда упоминается в различных документах регуляторов. Тоже есть претензии, но все исправимо без серьезных проблем. Хотя вопросы остаются. Как, например, в части защиты ПДн мне поможет знание того, что у меня полносвязная сеть или кольцо (давно ли сети строят по данной топологии)?

Акт обследования ИСПДн

И наконец, описание СЗИ ПДн. В оригинале описание включало только организационные и технические меры защиты. В соответствии с трехглавым законом я добавил еще и правовые меры.

Описание СЗИ

Скоро выложу продолжение...

16 коммент.:

Алексей Тесцов комментирует...

Да уж. По-моему такие документы только запутывают операторов...По опыту аттестации АС по конфиденциалке, таких документов (с таким наименованием) ни разу не встречал. Возможно это подхот управления по УрФО. Обычно вместо "Заключения о возможности эксплуатации СЗИ" - "Акт встраивания средств защиты", "Акт воода в эксплуатацию ИСПДн (системы защиты информации)". Сама формулировка "ЗАключение о..." - не могут специалисты организации делать вывод о соответствии (несоответствии) СЗИ.
Акт обследования напоминает акт классификации и опять же не сможет заменить формуляр (технический паспорт) на АС.
А "Описание СЗИ" - по смыслу могло бы заменить "Описание технологических процессов обработки информации", но по содержанию не соответствует ему.
Мне кажется преждевременным выкладывание таких документов. Для начала может создать перечень ВСЕХ документов, чтобы операторы представляли, какой документ о чем говорит.

Анонимный комментирует...

А в чем смысл публиковать типвые формы длокументов в ipaper? Хочется ими еще и пользоваться а не только смотреть

Алексей Лукацкий комментирует...

Алексею: Ну в четверокнижии и ПП-781 на них есть соответствующие ссылки. Так что смысл есть.

Что же касается перечня всех документов, то я его уже приводил ранее.

Анонимному: Если зайти на www.scribd.com, то оттуда документы можно скачать в формате Word, а не только PDF, как из блога.

Quiet Zone комментирует...

Алексей, поясни плиз про трехглавый и правовые меры. Зачем оно вообще, примеры мер?

Алексей Лукацкий комментирует...

Ну если ты взял с сотрудников подписку о неразглашении с упоминанием об ответственности, то это не организационная и не техническая мера ;-)

Quiet Zone комментирует...

А я всегда считал, что организационная... Ну или (в порядке паллиатива) организационно-правовая))

Анонимный комментирует...

Алексей, продолжение шаблонов будет?

Алексей Лукацкий комментирует...

Будет ;-) Скоро

Анонимный комментирует...

Алексей, а есть шаблон документа подтверждающего согласие сотрудника считать свои ПД общедоступными?
Не считаете, что подписание таких документов в рамках организации, при грамотном их составлении юристами, позволило бы уменьшить количество защищаемых систем Пдн?
Хотя бы тех, где обрабатываются ПДн сотрудников организации.

Алексей Лукацкий комментирует...

Я такого не видел, но есть шаблон просто согласия субъекта.

Но он ничего вам не дает с точки зрения защиты. Согласие не отменяет необходимость защиты, а всего лишь приводит к наличию 4-й категории ПДн по приказу трех. Т.е. защищать надо, но не так жестко, как остальные виды ПДн. Но у меня есть сомнения в правильности считать ПДн сотрудников общедоступными. Я бы на такое не согласился.

Анонимный комментирует...

Я понимаю, что вы бы не согласились) Но если организация невелика и лояльна по отношению к руководству, да и при должной разъяснительной работе среди сотрудников это на мой взгляд было бы неплохим решением для понижения класса системы. Да, понятно , что до К4, но К4 все же несколько легче защищать, чем К3, согласитесь
Насчет законности – я думаю, что если субьект пишет согласие считать его данные общедоступными (их состав – отдельный разговор), то все будет законно.
Шаблон такого согласия для образовательного учреждения я видел тут
http://docs.google.com/Doc?id=ddv8bqdm_1f3vrm8dr

А не подскажете кстати шаблон просто согласия субъекта который вы считаете корректным?

Алексей Лукацкий комментирует...

И все равно ;-) Я не дам НИКОГДА согласия на то, чтобы сделать размер своей зарплаты общедоступными данными ;-) И я с трудом верю, что есть те, кто на это согластся.

Анонимный комментирует...

Согласен про зарплату.А также про налоговые, пенсионные отчисления, сведения о здоровье и т.п.
Но я же не предлагал сделать соглашение с сотрудником о том, что ВСЕ его ПДн являются общедоступными!
Состав общедоступных данных определяется Приложением к Соглашению.
И почему бы не указать в Приложении общедоступными данные в составе:
Ф.И.О. , контактная информация,
должность,адрес, дата рождения, гражданство, воинский учет, состав семьи, образование, опыт работы,страховой полис, пол??
Можно подумать про паспортные данные,состав семьи..
Исходя из состава моих ИСПДн это переведет из К3 в К4 более десятка ИСПДн. Т.е. всевозможные телефонные справочники, структуру организации, информацию из АД и т.п.
На мой взгляд это самый дешевый и ДОСТУПНЫЙ всем метод понижения класса ИСПДн.

Анонимный комментирует...

И еще.. подписание соглашение с сотрудником о том что часть его персональных данных является общедоступными не означает же, что завтра же администрация компании побежит продавать их или размещать в Интернете! Обработка этих данных не изменится, наоборот, в связи с ФЗ №152 эти данные в любом случае будут защищены лучше, чем раньше.
Будут ли выполнены все требования регуляторов - другой вопрос.
Поэтому, мне кажется, при должной разъяснительной работе это неплохой метод понижения класса ИСПДн. По крайней мере, значительно более дешевый , чем использование дорогостоящих СЗПДн.
Я не прав? )

Станислав комментирует...

Алексей, а еще шаблоны будут выкладываться?
Естественно, большое спасибо за выложенноею

Алексей Лукацкий комментирует...

Будут, будут. Сейчас доведу до ума материалы к конференции 11-го числа а АРБ и доделаю шаблоны.