Автор: diesel68, мухосранск | 97913 | 29.07.2018 19:31 |
Здравствуйте мужики, проблема следующая: устроился на завод(промышленное предприятия) безопасником, к 188 отношения нет. До этого готовил документы для ФГИС, и в данный момент вхожу в ступр с перечнем нормативки. План действий вижу перед собой следующий(поправьте пожалуйста в направлении туда или нет лезу):
1. План мероприятий по организации защиты персональных данных; 2. Положение\приказ о (защите) персональных данных предприятия; 3. Приказ о введении в действие «Положения о персональных данных»; 4. Приказ о назначении лиц, ответственных за обеспечение безопасности ПДн; 5. Доработанные должностные инструкции всех лиц, ответственных за обеспечение безопасности ПДн; 6. Приказ о создании комиссии по классификации ИСПДн; 7. Акт классификации ИСПДн на предприятии; 8. Модель угроз безопасности ИСПДн; 9. Модель нарушителя ИСПДн; 10. Приказ об определении мест хранения материальных носителей ПДн, обрабатываемых без использования средств автоматизации; 11. Приказ об определении мест хранения материальных носителей ПДн, обрабатываемых с использованием средств автоматизации; 12. Приказ о создании комиссии по уничтожению ПДн и материальных носителей ПДн; 13. Журнал учета материальных носителей ПДн, обрабатываемых с использованием средств автоматизации; 14. Акт уничтожения (обезличивания) ПДн субъекта; 15. Акт уничтожения материального носителя ПДн; 16. Приказ о допуске работников (ответственных исполнителей) к обработке ПДн на предприятии; 17. Доработанные должностные инструкции всех работников, допускаемых к обработке ПДн; 18. Приказ о создании комиссии по проведению проверок состояния защиты (контролю защищенности) ИСПДн; 19. Инструкция по проведению проверок состояния защиты ИСПДн; 20. План внутренних проверок состояния защиты ИСПДн на текущий год; 21. Инструкция администратора информационной безопасности ИСПДн; 22. Инструкция администратора ИСПДн; 23. Инструкция по антивирусной защите ИСПДн; 24. Инструкция по резервному копированию и восстановлению баз данных ИСПДн; 25. Инструкция по модификации программного обеспечения и технических средств ИСПДн; 26. Порядок парольной защиты ИСПДн; 27. Инструкция администратора информационной безопасности по внесению изменению в списки уполномоченных пользователей ИСПДн; 28. Инструкция пользователю по действиям в нештатных ситуациях; 29. Положение об использовании сети Интернет на предприятии; 30. Инструкция по обработке ПДн посетителей; 31. Журнал учета посетителей предприятия; 32. Журнал учета письменных запросов субъектов к ПДн; 33. Журнал учета средств криптографической защиты, используемых на предприятии; 34. Приказ о вводе в промышленную эксплуатацию системы защиты ИСПДн; под ИСПДН подразумевается АСУТП |
Автор: oko | 97918 | 29.07.2018 23:14 |
to diesel68
Мощно задвинул, внушаить (с) Единственное, что не понятно: <под ИСПДН подразумевается АСУТП>... Для ИСПДн приведенный выше перечень более чем. Для ГИС, в целом, тоже (впрочем, смотря какая ГИС). Для АСУТП, imho, часть избыточна - говорю как лицо, ищущее компромисс между бумагами и реальностью, поскольку при таком количестве бумаги на реальность ни времени, ни сил уже не хватит (особенно, когда придется проводить правки реальности и бумаги совместно, ага)... Еще желательно добавить "Технический проект системы защиты..." + либо отдельным документом, либо приложением к ЧМУН или ТП - описание технологического процесса обработки защищаемой информации. С картинками и конкретикой, ага... А начать надо бы с того, что: - определить потоки ПДн / КИ / иной ИОД / технологической (производственной) информации; - составить по потокам перечни ИСПДн / АС / ГИС (?) / АСУТП соответственно; - расписать это все на логическом, физическом, информационном уровнях применительно к данному заводу; - выставить приоритеты, какие системы сейчас защищать важнее, в каких конь не валялся, какие более-менее хороши, какими занимаются аутсорсеры-лицензиаты (например); - далее действовать на бумаге по приведенной вами схеме; - параллельно действовать по факту в части подбора новых СЗИ / корректировки существующих / отказа (обоснованного) от сертиф. СЗИ и т.д.; - в конце аттестовать все, что необходимо аттестовать, а на остальное составить соответствующие акты. ЗЫ Кстати, отсылка у вас была к ФЗ КИИ? Если да, то он все-таки 187-ФЗ (188 - это жилищный кодекс, вряд ли вам нужный сейчас, ага). imho, советую все равно перепроверить себя и коллег и убедиться, что КИИ РФ к вам отношения не имеет (что почти невозможно для заводов, ага)... |
Автор: diesel68, мухосранск | 97920 | 29.07.2018 23:30 |
to oko
Единственное, что не понятно: <под ИСПДН подразумевается АСУТП>... - на коленке накидал, извиняюсь за неправильную трактовку. В целом спасибо, более менее картина прорисовывается, задумался с чего будет правильней начать) |
Просмотров темы: 1964