Организационное и правовое обеспечение информационной безопасности. Для студентов и специалистов. Иван Андреевич Трещев
Читать онлайн книгу.с Порядком проведения классификации информационных систем персональных данных, утвержденным Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20, и иными руководящими документами по защите ПДн.
3.7. Проведение классификации ИСПДн включает в себя следующие этапы:
– сбор и анализ исходных данных по ИСПДн;
– присвоение ИСПДн соответствующего класса и его документальное оформление.
3.8. При проведении классификации ИСПДн комиссией учитываются следующие исходные данные:
– категория обрабатываемых ПДн в ИСПДн;
– объем обрабатываемых ПДн (количество субъектов ПДн, ПДн которых обрабатываются в ИСПДн);
– заданные характеристики безопасности ПДн, обрабатываемых в ИСПДн;
– структура ИСПДн;
– наличие подключений ИСПДн к сетям связи общего пользования и (или) сетям международного информационного обмена;
– режим обработки ПДн;
– режим разграничения прав доступа к ИСПДн;
– местонахождение технических средств ИСПДн.
3.9. В случае выделения в составе ИСПДн подсистем, каждая из которых является ИСПДн, ИСПДн в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.
3.10. Результаты классификации ИСПДн оформляются актом, подписанными членами комиссии, и утверждается начальником Организации.
3.11. Класс ИСПДн может быть пересмотрен:
– на основе проведенных комиссией анализа и оценки угроз безопасности ПДн с учетом особенностей и (или) изменений конкретной ИСПДн;
– по результатам мероприятий по контролю и надзору уполномоченными органами за выполнением требований по обеспечению безопасности ПДн при их обработке в ИСПДн.
4. Основные цели и задачи защиты информации на объекте информатизации Организации
4.1. В соответствии с присвоенным классом ИСПДн и моделью угроз безопасности ПДн в Организации должен выполняться комплекс организационнотехнических мероприятий по защите информации, циркулирующей в помещениях, технических системах и средствах передачи, хранения и обработки информации.
4.2. Накопление, обработка, хранение и передача защищаемой информации в Организации происходит на объекте информатизации, который представляет собой совокупность информационных ресурсов, средств и систем обработки информации, используемых» в соответствии с заданной информационной технологией, средств обеспечения, помещений, в которых они установлены, или помещений, предназначенных для ведения конфиденциальных переговоров.
К объекту информатизации в Организации относятся защищаемые, специальные помещения и средства вычислительной техники.
4.3. Целями защиты информации на объекте информатизации являются:
– предотвращение утечки информации по техническим каналам;
– предотвращение