Определение уровней защищённости ИСПДн и документы по обработке ПДн - Форум по вопросам информационной безопасности

Здравствуйте. Да, я знаю, что эта тема уже очень многими обсуждалась. Но то, что я нахожу на форуме по этой теме не даёт мне представления по ней, а только запутывает. Ибо кто-то пользуется РД и СТР-К, но, как я понял, для меня интересны ПП1119 и ФЗ-152.
Теперь к вопросу. Есть бюджетное учреждение "Н". Из ИСПДн, как я могу определить, имеется:
-у бухгалтеров 1С Бухгалтерия 8.2 файл-серверная;
-1С КиТ кадры и тарификация - её пользуются кадры, 1 человек из бухгалтерии (лежит у него локально) для зарплаты и экономисты;
-"ПФР" - кадры (локально);
-"АРМ кадры" - кадры (локально);
-"СУФД" - бухгалтерия.
Ещё у экономистов есть "АРМ поставщики" и "АРМ заказчики" для RTS площадки. Является ли это ИСПДн? Плюс отчётность в bars - это ИСПДн? Сайт zakupki.gov.ru - этот?
Всё это в одной доменной локальной сети. Все эти мной перечисленные ИСПДн я описал так:
в них нет "специальных" или "биометрических" данных, поэтому я отнёс их к группе "иные".
Число субъектов ПДн которых обрабатываются - меньше 100 000.
Типы актуальных угроз: угрозы 3-го типа, руководствовался таким советом (если программное обеспечение лицензионное, выпущено серийно и имеет широкое распространение, то с большой долей вероятности можно сказать, что недекларированные возможности в нем отсутствуют).
Как я понял ещё нужно указать принадлежат данные сотрудникам или же сторонним лицам.
Из всего этого получается УЗ-4.

Верно ли я мыслил? Какие из перечисленных ИСПДн таковыми являются?
В примере документа "Перечень информационных систем персональных данных ", который я нашёл, приводится графа "Наименование ИСПДн" и в ней как пример указаны 2 ИСПДн - "Бухгалтерия", "Кадры". Я это понял так - Указываю ИСПДн "Кадры" и объединяю в неё "ПФР", "АРМ кадры", "1С КиТ кадры и тарификация", в общем всё то, чем пользуется этот отдел. Верно ли это??? Или же каждую ИСПДн по их названию выписывать и присваивать им УЗ?
Много текста, но спасибо всем, кто дочитал. Подскажите, пожалуйста, верен ли мой ход мыслей и если нет, то где и почему.

Как сказано в законе, ИСПДн это железо + софт + ПДн.
Сколько у вас ИСПДн - решать вам. Если все ваши компы участвуют в общем технологическом процессе обработки - можно считать их одной ИС. Если нужно поделить на несколько - опишите в доках, как все это работает (т.е. опишите техпроцесс) - и получите несколько разных ИС.

Если в АРМ "поставщики" и "заказчики" есть перс. данные граждан - значит, это ИСПДн. Если там сведения только о юр. лицах - нет.

С УЗ вы решили правильно: по всем критериям он у вас 4-й.

Спасибо за разъяснение.
quote]"Если все ваши компы участвуют в общем технологическом процессе обработки - можно считать их одной ИС"[quote]
Я отталкиваюсь оттого, что если разные БД, то и разные ИС, т.е. одна ИС это 1С бухгалтерия, ещё кадры и тарификация, так же с ПФР и АРМ кадрами, т.к. у всех разные базы, но ПФР, АРМ кадры и тарификация на одном ПК находятся. Т.е. хочу понять по какому признаку вернее классифицировать и разделять ИС - по базам, по месту расположения, по отделу и т.д.

Делить можно по целям обработки ПДн. Но цели вы, опять-таки, формулируете сами (как и техпроцесс определяете сами). Поэтому ничто не мешает вам считать железо с разными БД разными ИСПДн.

"Делить можно по целям обработки ПДн. Но цели вы, опять-таки, формулируете сами (как и техпроцесс определяете сами). Поэтому ничто не мешает вам считать железо с разными БД разными ИСПДн."
Хорошо, спасибо. После, как я определил всё это, смотрю в приказ фстэк 21 на таблицу с составами мер для УЗ-4? Это видимо ка раз то, где нужно уже смотреть на то как технически или программно обеспечивать защиту ИСПДн, обращаться ли в стороннюю контору для этого или же пробовать справиться самому? Конечно, смотря какой УЗ получился (Находил информацию, где люди писали про покупку сертифицированного оборудования для защиты подсетей и прочее).

Верно, определив УЗ, выбираете из приказа 21 меры, соответствующие этому УЗ. Обратите внимание, что в приказе определен порядок выбора мер, который позволяет как слегка уменьшить, так и слегка увеличить их кол-во (в зависимости от особенностей вашей ИСПДн и от актуальных угроз).

to smilestyle
После вы разрабатываете Частную модель угроз и нарушителей. Разрабатываете пока на базе "Базовой модели..." и "Методики..." 2008 г. ФСТЭК России. Определяете актуальные (угрозы, каналы утечки и нарушителей). Сравниваете полученный перечень с требованиями 21 приказа к ИСПДн вашего уровня защищенности. Если данный стандартный перечень (помеченный "+") позволяет нейтрализовать все актуальные угрозы - руководствуетесь им. Если часть угроз перечнем не перекрывается - добавляете к перечню компенсирующие меры (там же в таблице 21 приказа без пометки "+"). Дополнительно читаете положения ФСТЭК России по мерам защиты информации в ИСПДн и других ИС (на сайте ФСТЭК имеется) - там указано, как применять усиление мер безопасности для случая, когда угрозы не перекрываются стандартным перечнем требований.
Если какие-то требования реализовать ну никак не получается - пытаетесь перекрыть их за счет компенсирующих мер разной степени тяжести (к примеру, не получается купить СОВ за 200+к руб. - либо отказываетесь от взаимодействия с внешними сетями, либо настраиваете имеющийся межсетевой экран по принципу "запрещено все, разрешен лишь минимум", условно). Каждую компенсирующую меру обосновываете либо в Техническом проекте системы защиты, либо в иной техн.документации по вашей ИСПДн.
Собрав общую картину по защите ИСПДн, закупаете СЗИ, внедряете их + устанавливаете режимные (простите, организационные, ага) меры. Проводите контроль защищенности системы по итогам внедрения. Желательно, с привлечением сторонней организации-лицензиата ФСТЭК по технической защите конфиденциальной информации.
Параллельно разрабатываете, утверждаете и, обязательно, ведете постоянно по времени эксплуатации ИСПДн, комплект документации, требуемый Роскомнадзором (Положения, приказы, инструкции и т.д.). Опционально (в зависимости от направления деятельности организации) регистрируетесь в РКН как Оператор ПДн.
А дальше... честно говоря, устал писать. Думаю, на первое время хватит :)

ЗЫ Я бы, кстати, при классификации ИСПДн отталкивался от информации и персонала, а не только от кабинетов, отделов и технических средств. Если персонал организации имеет часть или все права доступа к ПДн, обрабатываемых в приведенных вами выше "ИСПДн" - объединить бы все это в одну систему с грамотно разработанной политикой разграничения доступа (на организационном и на техническом уровнях). Меньше бумаги как минимум получится... Короче говоря, не надо каждую программную среду или БД классифицировать как отдельную ИСПДн. Приоритет - перечень пользователей, имеющих доступ, + перекрестие одних и тех же ПДн в БД (по принципу диаграмм Эйлера-Венна, ага).

okо, спасибо за такой развёрнутый ответ) денег на это всё точно не будет, небольшая бюджетная организация, где 1С мест то всего 7 штук. Как бы на данный момент просто сетка с роутером и выходом в интернет.
Подскажите ещё, пожалуйста, документы все да и вся защита должны были быть готовы так с года 2010 или вообще 2006. как 152ФЗ вышел. Как отнесётся РКН к тому, если, скажем в теории, документы готовы только с 2016 года? Т.е. приказов и бумаг за прошлые года по сути не будет, а вот всё оформление началось в 2016. Спрашивают доки за все года или только на текущий момент?

Забыл добавить к вопросу - РКН получается проверяет только бумаги, документы, а техническую сторону не трогает (купил я там СОВ (что это такое вообще?) за 200к или нет вообще)? Кто этим занимается?

to oko.
"После вы разрабатываете Частную модель угроз и нарушителей..."

ЧМУ надо разработать ДО того, как определяется УЗ (не зная тип угроз, УЗ не определить).

Насчет методички ФСТЭК для ГИС не согласен: под 21-й приказ она носит сугубо рекомендательный характер и требования к усилению мер не обязательны.

to smilestyle.

Мер из приказа вам вполне хватит, не заморачивайтесь. Часть мер можно будет исключить из списка (например, в приказе помечены крестиком меры, касающиеся защиты в виртуальной инфраструктуре: если в вашей ИСПДн нет виртуальных технологий - меры не нужны; и т.п.)

Если доки 2016 г - скажете, что переделывали в связи с внутренними пертурбациями... Это не столь критично.
РКН проверяет юридическую сторону, соблюдение прав граждан (т.е. бумаги), оценивать техническую защиту РКН не уполномочен. Важно, чтобы по вашим документам было видно, что система защиты у вас есть (приказ о вводе системы защиты в эксплуатацию, акт испытаний - внутренний).
Проверками техзащиты занимается ФСТЭК, но она вправе проводить контроль только в госорганах, поэтому не факт, что к вам пожалует.