Автор: pihto | 111217 | 30.11.2023 10:14 |
Добрый день, коллеги. Прошу подсказать ответ на вопрос.
Исходные данные: государственное унитарное предприятие – оператор персональных данных, организует защиту ПДн в некой ИСПДн силами своего подразделения по ИБ, лицензии ФСТЭК на работы по ТЗКИ у подразделения ИБ нет. Уровень защищенности ПДн и актуальные угрозы в ИСПДн определены, зафиксированы соответственно в акте комиссии и частной модели угроз. Вопрос: каким внутренним документом, аналогичным проекту защиты, зафиксировать выбор организационных и технических мер по обеспечению безопасности ПДн? |
Автор: oko | 111218 | 30.11.2023 11:42 |
Любым. Однозначно форма и тип такого документа не определены. Можете тем же "Актом определения требований обеспечения безопасности ПДн при их обработке в ИСПДН ТАКАЯ-ТО" (например) и туда же можно вписать результат определения уточненного адаптивного набора мер защиты...
|
Автор: pihto | 111221 | 30.11.2023 13:59 |
to oko
Спасибо. Как Вы полагаете, в этом Акте допустимо также привести обоснование применения компенсирующих мер для обеспечения безопасности ПДн или нужен отдельный документ? |
Автор: oko | 111222 | 30.11.2023 17:22 |
В идеале, отдельно Анализ уязвимостей -> отдельно Модель угроз -> отдельно Требования (и аналитика, почему именно эти требования, как они связаны с базовыми требованиями ФСТЭК, актуальными угрозами для конкретного объекта и актуальными уязвимостями) -> отдельно Меры защиты с привязкой к ранее определенным Требованиям...
|
Просмотров темы: 285