Добрый день, коллеги. Прошу подсказать ответ на вопрос.
Исходные данные: государственное унитарное предприятие – оператор персональных данных, организует защиту ПДн в некой ИСПДн силами своего подразделения по ИБ, лицензии ФСТЭК на работы по ТЗКИ у подразделения ИБ нет.
Уровень защищенности ПДн и актуальные угрозы в ИСПДн определены, зафиксированы соответственно в акте комиссии и частной модели угроз.
Вопрос: каким внутренним документом, аналогичным проекту защиты, зафиксировать выбор организационных и технических мер по обеспечению безопасности ПДн?
Любым. Однозначно форма и тип такого документа не определены. Можете тем же "Актом определения требований обеспечения безопасности ПДн при их обработке в ИСПДН ТАКАЯ-ТО" (например) и туда же можно вписать результат определения уточненного адаптивного набора мер защиты...
to oko
Спасибо.
Как Вы полагаете, в этом Акте допустимо также привести обоснование применения компенсирующих мер для обеспечения безопасности ПДн или нужен отдельный документ?
В идеале, отдельно Анализ уязвимостей -> отдельно Модель угроз -> отдельно Требования (и аналитика, почему именно эти требования, как они связаны с базовыми требованиями ФСТЭК, актуальными угрозами для конкретного объекта и актуальными уязвимостями) -> отдельно Меры защиты с привязкой к ранее определенным Требованиям...
