План мероприятий по обеспечению защиты персональных данных (далее - План) содержит необходимый перечень мероприятий для обеспечения защиты персональных данных.
План составлен на основании списка мер, методов и средств защиты, определенных в Концепции информационной безопасности и Политике информационной безопасности.
Выбор конкретных мероприятий осуществляется на основании анализа Отчета по результатам внутренней проверки и Модели угроз безопасности.
- контролирующие.
- Исполнитель мероприятия/ответственный за исполнение.
План внутренних проверок составляется на все информационные системы персональных данных Учреждения.
Мероприятие |
Периодичность |
Исполнитель/
Ответственный |
ИСПДн 1 |
Организационные мероприятия |
Первичная внутренняя проверка |
Разовое
срок до
01.12.2010 г. |
|
Определение перечня ИСПДн |
Разовое
срок до |
|
Определение обрабатываемых ПДн и объектов
защиты |
Разовое
срок до |
|
Определение круга лиц участвующих
в обработке ПДн |
Разовое
срок до |
|
Определение ответственности лиц участвующих
в обработке |
Разовое
срок до |
|
Определение прав разграничения доступа
пользователей ИСПДн, необходимых для
выполнения должностных обязанностей |
Разовое
срок до |
|
Назначение ответственного за безопасность
ПДн |
Разовое
срок до |
|
Введение режима защиты ПДн |
Разовое
срок до |
|
Утверждение Концепции информационной
безопасности |
Разовое
срок до |
|
Утверждение Политики информационной
безопасности |
Разовое
срок до |
|
Собрание коллегиального органа
по классификации ИСПДн |
Разовое
срок до |
|
Классификация всех выявленных ИСПДн |
Разовое
срок до |
|
Первичный анализ актуальности УБПДн |
Разовое
срок до |
|
Установление контролируемой зоны вокруг
ИСПДн |
Разовое
срок до |
|
Выбор помещений для установки аппаратных
средств ИСПДн в помещениях,
с целью исключения НСД лиц не допущенных
к обработке ПДн |
Разовое
срок до |
|
Организация режима и контроля доступа
(охраны) в помещения, в которых установлены
аппаратные средства ИСПДн. |
Разовое
срок до |
|
Организация порядка резервного копирования
защищаемой информации на твердые носители |
Разовое
срок до |
|
Организация порядка восстановления
работоспособности технических средств, ПО,
баз данных с подсистем СЗПДн |
Разовое
срок до |
|
Введение в действие инструкции по порядку
формирования, распределения и применения
паролей |
Разовое
срок до |
|
Организация информирования и обучения
сотрудников о порядке обработки ПДн |
Разовое
срок до |
|
Организация информирования и обучения
сотрудников о введенном режиме защиты ПДн |
Разовое
срок до |
|
Разработка должностных инструкций о порядке
обработки ПДн и обеспечении введенного
режима защиты |
Разовое
срок до |
|
Разработка инструкций о порядке работы при
подключении к сетям общего пользования
и (или) международного обмена |
Разовое
срок до |
|
Разработка инструкций о действии в случае
возникновения внештатных ситуаций |
Разовое
срок до |
|
Разработка положения о внесении изменения
в штатное программное обеспечение элементов
ИСПДн |
Разовое
срок до |
|
Разработка положения о порядке внесения
изменений в программное обеспечение
собственной разработки или штатное ПО
специально дорабатываемое собственными
разработчиками или сторонними
организациями.
Положение должно включать в себя
техническое задание на изменения,
технический проект, приемо-сдаточные
испытания, акт о введении в эксплуатацию. |
Разовое
срок до |
|
Организация журнала учета обращений
субъектов ПДн |
Разовое
срок до |
|
Организация перечня по учету технических
средств и средств защиты, а также
документации к ним |
Разовое
срок до |
|
Физические мероприятия |
Организация постов охраны для пропуска
в контролируемую зону |
Разовое
срок до |
|
Внедрение технической системы контроля
доступа в контролируемую зону и помещения
(по электронным пропускам, токену,
биометрическим данным и т.п.) |
Разовое
срок до |
|
Внедрение технической системы контроля
доступа к элементам ИСПДн (по электронным
пропускам, токену, биометрическим данным
и т.п.) |
Разовое
срок до |
|
Внедрение видеонаблюдения |
Разовое
срок до |
|
Установка дверей на входе в помещения
с аппаратными средствами ИСПДн |
Разовое
срок до |
|
Установка замков на дверях в помещениях
с аппаратными средствами ИСПДн |
Разовое
срок до |
|
Установка жалюзи на окнах |
Разовое
срок до |
|
Установка решеток на окнах первого
и последнего этажа здания |
Разовое
срок до |
|
Установка системы пожаротушения
в помещениях, где расположены элементы
ИСПДн |
Разовое
срок до |
|
Установка систем кондиционирования
в помещениях, где расположены аппаратные
средства ИСПДн |
Разовое
срок до |
|
Установка систем бесперебойного питания
на ключевые элементы ИСПДн |
Разовое
срок до |
|
Внедрение резервных (дублирующих)
технических средств ключевых элементов
ИСПДн |
Разовое
срок до |
|
Технические (аппаратные и программные) мероприятия |
Внедрение единого хранилища
зарегистрированных действий пользователей
с ПДн |
Разовое
срок до |
|
Внедрение специальной подсистемы управления
доступом, регистрации и учета (НАЗВАНИЕ) |
Разовое
срок до |
|
Внедрение антивирусной защиты (НАЗВАНИЕ) |
Разовое
срок до |
|
Внедрение межсетевого экранирования
(НАЗВАНИЕ) |
Разовое
срок до |
|
Внедрение подсистемы анализа защищенности
(НАЗВАНИЕ) |
Разовое
срок до |
|
Внедрение подсистемы обнаружения вторжений
(НАЗВАНИЕ) |
Разовое
срок до |
|
Внедрение криптографической защиты
(НАЗВАНИЕ) |
Разовое
срок до |
|
Контролирующие мероприятия |
Создание журнала внутренних проверок
и поддержание его в актуальном состоянии |
Ежемесячно |
|
Контроль над соблюдением режима обработки
ПДн |
Еженедельно |
|
Контроль над соблюдением режима защиты |
Ежедневно |
|
Контроль над выполнением антивирусной
защиты |
Еженедельно |
|
Контроль над соблюдением режима защиты
при подключении к сетям общего пользования
и (или) международного обмена |
Еженедельно |
|
Проведение внутренних проверок на предмет
выявления изменений в режиме обработки
и защиты ПДн |
Ежегодно |
|
Контроль за обновлениями программного
обеспечения и единообразия применяемого
ПО на всех элементах ИСПДн |
Еженедельно |
|
Контроль за обеспечением резервного
копирования |
Ежемесячно |
|
Организация анализа и пересмотра имеющихся
угроз безопасности ПДн, а также
предсказание появления новых,
еще неизвестных, угроз |
Ежегодно |
|
Поддержание в актуальном состоянии
нормативно-организационных документов |
Ежемесячно |
|
Контроль за разработкой и внесением
изменений в программное обеспечение
собственной разработки или штатное ПО,
специально дорабатываемое собственными
разработчиками или сторонними организациями |
Ежемесячно |
|