День третий. Проверки2.

Второй список нам прислала вышестоящая организация для подготовки к плановой проверке ФСТЭК. Точно не знаю, кто был автором данного перечня, но выглядит он достаточно логичным. Имея перед глазами такой список, в принципе, можно сделать свой внутренний пакет документов, не используя сторонние примеры/шаблоны.

Список организационно-распорядительных документов и инструкций по защите конфиденциальной информации и персональных данных, подлежащих проверке. 


  1. Приказ об организации работ по обеспечению безопасности персональных данных, назначении ответственных лиц за обеспечение защиты персональных данных.
  2. План мероприятий по обеспечению безопасности персональных данных в организации на год.
  3. Положение по организации и проведению работ по обеспечению безопасности персональных данных.
  4. Приказ о создании комиссии по проведению классификации информационных систем персональных данных.
  5. Описание технологических процессов обработки персональных данных.
  6. Перечень информационных систем персональных данных.
  7. Перечень персональных данных.
  8. Акт классификации информационной системы персональных данных.
  9. Частная модель угроз информационной безопасности персональных данных.
  10. Уведомление об обработке персональных данных.
  11. Приказ об определении отделов, секторов, занимающихся обработкой персональных данных.
  12. Приказ о назначении ответственных лиц за обработку персональных данных.
  13. Перечень сотрудников, допущенных к работе с персональными данными (матрица доступа, разрешительная система допуска).
  14. Обязательства сотрудников о неразглашении информации, содержащей персональные данные.
  15. Журнал учета паролей доступа пользователей информационной системы персональных данных.
  16. Журнал учета носителей информации персональных данных.
  17. Журналы получения/выдачи информации персональных данных на бумажном носителе и в электронном виде.
  18. Договора об информационном обмене персональных данных.
  19. Документ об утверждении контролируемой зоны.
  20. Технический паспорт на информационную систему персональных данных.
  21. Лицензии на установленное программное обеспечение, антивирусное программное обеспечение.
  22. Акт установки средств защиты.
  23. Приказ о вводе в эксплуатацию информационной системы персональных данных.
  24. Протокол оценки соответствия информационной системы персональных данных требованиям по безопасности информации.
  25. Декларация о соответствии информационной системы персональных данных требованиям по безопасности информации.
  26. Документы по аттестации информационной системы персональных данных.
  27. Инструкция администратора безопасности.
  28. Инструкция о порядке отнесения информационных ресурсов к защищаемым и организация доступа к ним.
  29. Инструкция пользователя по соблюдению режима защиты информации при работе в информационной системе персональных данных.
  30. Инструкция по организации парольной защиты.
  31. Инструкция по организации антивирусной защиты (для пользователя и администратора).
  32. Инструкция пользователя по работе с электронной почтой и в сети Интернет.
  33. Инструкция по организации резервного копирования персональных данных, восстановления информационной системы персональных данных при сбоях.
  34. Другие документы (акты приема зачетов по знанию нормативной базы у сотрудников, допущенных к работе с персональными данными, ознакомления с инструкциями и документами по защите информации, журналы учета и т.п.).
Метки: ,