сходя из требований законодательства образовательным учреждениям в течение 2009 года необходимо:
1. Определить (или уточнить) состав и категории обрабатываемых персональных данных;
2. Осуществить (или уточнить) классификацию действующих информационных систем, обрабатывающих персональные данные;
3. Провести необходимые организационные и технические мероприятия для обеспечения защиты:
- персональных данных, обрабатываемых без использования средств автоматизации;
- информационных систем, обрабатывающих персональные данные.
4. Декларировать соответствие или провести аттестационные (сертификационные) испытания информационных систем, обрабатывающих персональные данные.
Мероприятия по обеспечению безопасности персональных данных осуществляются на основе законодательства Российской Федерации, нормативных и методических документов.
В части предварительных организационных мероприятий по защите персональных данных всем подведомственным Рособразованию учреждениям и организациям следует:
- определить перечень, цели и порядок обработки персональных данных;
- назначить ответственных за работу с персональными данными;
- подготовить должностные инструкции сотрудников, обрабатывающих персональные данные;
- обеспечить размещение и охрану средств хранения и обработки персональных данных.
Для информационных систем классов К1 и К2 дополнительно потребуется принять предусмотренные методическими документами ФСТЭК России и ФСБ России меры по защите информации от утечки по техническим каналам.
6. Порядок проведения аттестационных (сертификационных) испытаний
Аттестационные (сертификационные) испытания проводятся организациями, имеющими необходимые лицензии ФСТЭК России. При этом под аттестацией понимают комплекс мер, позволяющих привести информационную систему в соответствие с требованиями по безопасности информации к заявленному классу, изложенными в нормативно-методических документах ФСТЭК России.
Аттестационные (сертификационные) испытания содержат в себе анализ уже имеющихся на объекте информационных систем персональных данных, а также вновь принятых решений по обеспечению безопасности информации и включают проверку:
- организационно-режимных мероприятий по обеспечению защиты информации;
- защищенности информации от утечек по техническим каналам (ПЭМИН);
- защищенности информации от несанкционированного доступа.
По результатам аттестационных испытаний принимается решение о выдаче "Аттестата соответствия" информационной системы заявленному классу по требованиям безопасности информации. Аттестат выдается сроком на 3 года.
7. Декларирование соответствия
Декларирование соответствия - это подтверждение соответствия характеристик информационной системы персональных данных предъявляемым к ней требованиям, установленным законодательством Российской Федерации, руководящими и нормативно-методическими документами ФСТЭК России и ФСБ России.
Декларирование соответствия может осуществляться на основе собственных доказательств или на основании доказательств, полученных с участием привлеченных организаций, имеющих необходимые лицензии.
В случае проведения декларирования на основе собственных доказательств оператор самостоятельно формирует комплект документов, таких как техническая документация, другие документы и результаты собственных исследований, послужившие мотивированным основанием для подтверждения соответствия информационной системы персональных данных всем необходимым требованиям, предъявляемым к классу К3.
Независимо от используемой формы подтверждения соответствия оператор может также предоставить протоколы испытаний, проведенных в исследовательской лаборатории.
Декларации о соответствии, полученные на основе собственных доказательств и с участием третьей
> 1 2 3 ... 5 6 7
Zaki.ru законы и право
поиск по сайту
каталог документов
добавить сайт Zaki.ru в избранное
Правовые акты международные
Правовые акты Российской Федерации
