Соотнести защиту персданных с защитой МИС - Форум по вопросам информационной безопасности

Добрый день!

Люди добрые, наверняка эта тема уже обсуждалась в рамках текущего форума, но выбор критериев для поиска непонятен, поэтому рискну сформулировать вопрос еще раз.

Есть у нас МИС, которая охватывает все компы в организации.
Разработана документация (в том числе ТЗ и техпроект, проведена аттестация), применяются меры, СЗИ и т.д.
Но еще в рамках той же сети есть несколько ИСПДн.
Понятное дело, что их нужно выделить и описать.
В общем-то, имеются набор ОРД, в том числе, акты классификации ИСПДн.
То есть фактически ИСПДн функционируют в рамках технических средств МИСа.
МИС и ИСПДн соотносятся по классу/уровняю защищенности.
То есть в целом на объекте информатизации имеются меры защиты реализованы.

И вот вопрос:
А нужно ли на каждую ИСПДн разрабатывать свой пакет документации - модели угроз, ТЗ, техпроект, проводить аттестацию или только, может, часть этих доков нужна?

Спасибо огромное.

МИС - в вашем случае "муниципальная" или "медицинская" информационная система? Разница существенная...
Если все ИСПДн являются подмножеством единой МИС (муниципальной, ага), т.е. и функционируют на базе ТСС-ОПО-ППО в составе МИС, и допущенные лица +- одинаковые, и технологии аналогичные, то:
- составить Базовую модель угроз по всем ИСПДн;
- подтвердить в этой Базовой модели выводы, актуальные для Модели по МИС;
- составить общее Положение об обеспечении безопасности ПДн + Единую политику ИБ, в которой связать иерархию МИС и ИСПДн (от большего к меньшему с оговоркой, что могут быть уточнения по каждой ИСПДн);
- составить общие регламенты (пароли, АВЗ, резервирование, доступ, мониторинг, инциденты, уязвимости и т.д.) по всей инфраструктуре (с обязательной оговоркой, что они не только для МИС, но и для ИСПДн), сообразно Единой политике ИБ;
- составить адаптивный набор мер защиты, требуемых к реализации во всех ИСПДн и соотносящийся с МИС (тут можно люфтить, если МИС более "требовательные", исходя из класса защищенности по отношению к уровню защищенности ИСПДн);
- составить уточненные адаптивные наборы мер защиты по каждой ИСПДн раздельно;
- составить техпаспорта, приказы, перечни и матрицы по каждой ИСПДн раздельно;
- по каждой ИСПДн оформить Акт, что, дескать, требования выполняются полностью, угроз и нарушителей иных нет - потому что это все уже выполнено для МИС и подтверждено Аттестатом соответствия.
А дальше развлекаться с требованиями РКН, недавно вступившими в силу. Рекомендую заранее на этапе Положения ПДн и Политики ИБ предусмотреть связь с Актом оценки вреда субъектам ПДн (пусть он пока и номинальный и кривой). Во избежание, ага...

oko
Спасибо за подробный комментарий.
Уточнение:
"составить адаптивный (уточнённый) набор мер защиты, требуемых к реализации во всех ИСПДн"
Для МИСа - это ТЗ + техпроект. А для ИСПДнов как это реализовывается?

to Клад
Так все-таки, "муниципальная ИС" или "медицинская ИС"?
Уточненный адаптивный набор мер можно оформить любым способом - ТЗ или техпроект тут не нужен. Это банально результат анализа Базовых мер (из любого нужного Приказа ФСТЭК) + выводов Модели угроз...
Важный нюанс: ваши ИСПДн могут быть МИС-ИСПДн (определяется двойным статусом, собственно). Тогда все придется делать по 77 Приказу ФСТЭК в части оценки == аттестация. И тогда настоятельно рекомендую именно ТЗ + техпроект...

oko
Спасибо.

Муниципальная информационная система.