Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Раздел XIII. Порядок контроля за обеспечением уровня безопасности
персональных данных и оценки соответствия
информационных систем персональных данных
68. Порядок обследования защищенности персональных данных включает:
а) выделение информационных ресурсов, содержащих в себе персональные данные, а также технические средства, позволяющие осуществлять обработку персональных данных, из всей совокупности обрабатываемой информации;
б) определение соответствия действующей системы обработки персональных данных требованиям, установленным федеральным законодательством;
в) классификация информационных систем персональных данных.
69. По итогам обследования оператор получает:
а) аналитический отчет о предпроектном обследовании и текущей защищенности персональных данных;
б) акт классификации ИСПДн.
70. Подготовка ИСПДн к проведению оценки соответствия ИСПДн требованиям безопасности персональных данных и созданию СЗПДн осуществляется путем:
а) анализа информационных ресурсов (определения перечня всех существующих ИСПДн; определения состава и структуры каждой ИСПДн; определения перечня и местонахождения персональных данных, подлежащих защите; категорирования персональных данных; определения режима обработки персональных в целом и отдельных компонентах);
б) анализа уязвимых звеньев и возможных угроз безопасности персональных данных (оценки возможности физического доступа к ИСПДн;
выявления возможных каналов утечки информации, в том числе технических; анализа возможностей программно-математического воздействия на ИСПДн; анализа возможностей электромагнитного воздействия на ИСПДн);
в) оценки ущерба от реализации угроз безопасности персональных данных (оценки непосредственного и опосредованного ущерба от реализации угроз безопасности персональных данных);
г) анализа имеющихся в распоряжении мер и средств защиты персональных данных (от физического доступа; от утечки по техническим каналам; от НсД; от программно-математического воздействия; от электромагнитных воздействий).
71. Обоснование требований по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн, включает:
а) разработку модели угроз безопасности персональных данных;
б) разработку модели нарушителя безопасности персональных данных;
в) составление перечня и проведение оценки актуальных угроз безопасности персональных данных;
г) определение класса ИСПДн.
72. Проведение работ по организации обеспечения безопасности персональных данных при их обработке в ИСПДн включает:
а) разработку и согласование с уполномоченными службами требований к СЗПДн и формулирование задач по защите персональных данных (разработка перечня мероприятий по защите персональных данных в соответствии с выбранным классом ИСПДн);
б) выбор способов, мер и средств защиты персональных данных в соответствии с мероприятиями по защите;
в) разработку технического задания на СЗПДн;
г) разработку документов, регламентирующих вопросы организации обеспечения безопасности персональных данных и эксплуатации СЗПДн в ИСПДн;
д) развертывание и ввод в опытную эксплуатацию СЗПДн в ИСПДн;
е) доработку СЗПДн по результатам опытной эксплуатации;
ж) проведение работ по аттестации ИСПДн по требованиям безопасности информации.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.