Основные виды работ по приведению ИСПДн в соответствие с "требованиями регуляторов" привел в части 1 и 2. Перед тем как перейти к описанию этапов проектирование и внедрение СЗПДн. Хочу привести перечень документов, который должен появится до и после результата обследования ИСПДн.
В качестве стартовых документов должны появится три документа:
1. Приказ о назначении комиссии по приведению ИСПДн в соответствие с "требованиями регуляторов".
2. Приказ о назначении ответственного за обеспечение безопасности ПДн в ИСПДн.
3. План работ по приведению ИСПДн в соответствии с "требованиями регуляторов".
Эта тройка документов устанавливает четкое понимание: "кто, за что отвечает и с кем должен взаимодействовать".
По результатам обследования ИСПДн должны появиться следующие документы:
1. Список ПДн, обрабатываемых в информационных системах (ИС).
2. Перечень ИС, относящихся к ИСПДн.
3. Перечень сотрудников, имеющих доступ к БД ИСПДн.
4. Кому-то надо, кому-то нет - Акт определения границ контролируемой зоны.
5. Описание технологического процесса обработки ПДн (может быть оформлен книжным вариантом, может быть отдельный документ для каждой ИСПДн).
6. Акт классификации ИСПДн.
7. Модель актуальных угроз ИБ - этот документ является конечным и содержит только актуальные угрозы, а не весь алгоритм определения таких угроз ;).
Перед тем, как проектировать СЗПДн, я бы выпустил еще несколько документов, но об этом в "части 4" :).
Комментариев нет:
Отправить комментарий