Иван Трещев - Организационное и правовое обеспечение информационной безопасности. Для студентов и специалистов

11.14. Сопровождение системы защиты информации от НСД на стадии эксплуатации ИСПДн, включая ведение служебной информации (генерацию и смену паролей, ключей, сопровождение правил разграничения доступа), оперативный контроль за функционированием системы защиты ПДн от НСД, контроль соответствия общесистемной программной среды эталону (контроль целостности программного обеспечения) и приемку включаемых в ИСПДн новых программных средств, а также контроль за ходом технологического процесса обработки ПДн путем регистрации и анализа действий работников (пользователей) по системному журналу, осуществляется администратором безопасности ИСПДн.

11.15. Администратором безопасности ИСПДн назначается работник отдела безопасности.

11.16. Учет, хранение и выдача работникам паролей и ключей для системы защиты ПДн от НСД, оперативный контроль за действиями работников, использующих ИСПДн, осуществляют работники отдела безопасности.

11.17. Общий контроль, внеплановый контроль и методическое обеспечение работников, допущенных к обработке ПДн, осуществляется отделом безопасности.

11.18. Защита ПДн считается эффективной, если принимаемые меры защиты соответствуют установленным требованиям или нормам руководящих документов по защите ПДн.

11.19. Несоответствие мер установленным требованиям или нормам по защите ПДн является нарушением.

11.20..Нарушения по степени важности делятся по трем категориям:

– первая – невыполнение требований или норм по защите ПДн, в результате чего имелась или имеется реальная возможность их утечки по техническим каналам;

– вторая – невыполнение требований по защите ПДн, в результате чего создаются предпосылки к их утечке по техническим каналам;

– третья – невыполнение других требований по защите ПДн.

11.21. При обнаружении нарушений первой категории в ИСПДн необходимо:

– немедленно прекратить работы на участке (рабочем месте), где обнаружены нарушения, и принять меры;

– организовать в установленном порядке расследование причин и условий появления нарушений с целью недопущения их в дальнейшем и привлечения к ответственности виновных лиц;

– сообщить в отдел безопасности о вскрытых нарушениях и принятых мерах.

11.22. Возобновление работ разрешается после устранения нарушений и проверки достаточности и эффективности принятых мер отделом информационных технологий.

11.23. При обнаружении нарушений второй и третьей категорий начальники отделов обязаны принять необходимые меры по их устранению в сроки, согласованные с отделом информационных технологий и отделом безопасности.

12. Аттестование информационных систем персональных данных

12.1. Под аттестацией ИСПДн по требованиям безопасности информации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа – Аттестата соответствия подтверждается, что объект (ИСПДн) соответствует требованиям стандартов или иных нормативных документов по защите ПДн, утвержденных ФСТЭК России, ФСБ России или другими органами государственного управления в пределах их компетенции.

12.1. Наличие действующего Аттестата соответствия дает право обработки ПДн соответствующей категории и объема в ИСПДн и на период времени, установленный в Аттестате соответствия.

12.2. ИСПДн классифицированные по 1 и 2 классу подлежат обязательной аттестации.

12.3. Аттестация по требованиям безопасности информации предшествует началу обработки ПДн и вызвана необходимостью официального подтверждения эффективности комплекса используемых в ИСПДн мер и средств защиты ПДн.

12.4. При аттестации ИСПДн подтверждается ее соответствие требованиям по защите информации от утечки по возможным физическим каналам и НСД к ней, за исключением проведения специальных проверок технических средств на отсутствие электронных «закладок».

12.5. Аттестация предусматривает комплексную проверку (аттестационные испытания) ИСПДн в реальных условиях эксплуатации с целью оценки соответствия Использованного комплекса мер и средств защиты ПДн требуемому уровню безопасности ПДн.

12.6. Аттестационные испытания осуществляются аттестационной комиссией, формируемой аккредитованным органом по аттестации из компетентных специалистов в необходимых для конкретной ИСПДн, по согласованной с заявителем программе испытаний.

12.7. Программа испытаний разрабатывается на основе анализа исходных данных об ИСПДн, представляемых отделом безопасности, моделью актуальных угроз ИСПДн «и должна включать необходимые виды испытаний, определенные методическими рекомендациями для соответствующих видов объектов