---
title: INT-6-Криворученко_Савелий-Практика_6
tags: Module 2
description: Use `{%hackmd theme-dark %}` syntax to include this theme.
---
<style>
html, body, .ui-content {
background-color: #333;
color: #ddd;
}
.markdown-body h1,
.markdown-body h2,
.markdown-body h3,
.markdown-body h4,
.markdown-body h5,
.markdown-body h6 {
color: #ddd;
}
.markdown-body h1,
.markdown-body h2 {
border-bottom-color: #ffffff69;
}
.markdown-body h1 .octicon-link,
.markdown-body h2 .octicon-link,
.markdown-body h3 .octicon-link,
.markdown-body h4 .octicon-link,
.markdown-body h5 .octicon-link,
.markdown-body h6 .octicon-link {
color: #fff;
}
.markdown-body img {
background-color: transparent;
}
.ui-toc-dropdown .nav>.active:focus>a, .ui-toc-dropdown .nav>.active:hover>a, .ui-toc-dropdown .nav>.active>a {
color: white;
border-left: 2px solid white;
}
.expand-toggle:hover,
.expand-toggle:focus,
.back-to-top:hover,
.back-to-top:focus,
.go-to-bottom:hover,
.go-to-bottom:focus {
color: white;
}
.ui-toc-dropdown {
background-color: #333;
}
.ui-toc-label.btn {
background-color: #191919;
color: white;
}
.ui-toc-dropdown .nav>li>a:focus,
.ui-toc-dropdown .nav>li>a:hover {
color: white;
border-left: 1px solid white;
}
.markdown-body blockquote {
color: #bcbcbc;
}
.markdown-body table tr {
background-color: #5f5f5f;
}
.markdown-body table tr:nth-child(2n) {
background-color: #4f4f4f;
}
.markdown-body code,
.markdown-body tt {
color: #eee;
background-color: rgba(230, 230, 230, 0.36);
}
a,
.open-files-container li.selected a {
color: #5EB7E0;
}
</style>
# Module_2_INT-6-Криворученко_Савелий
```
```
## Задачи:
Задание является ситуационным, т.е. необходимо описать действия и инструкции для человека, попавшего в подобную ситуацию.
- [x] Опишите действия специалиста по Информационной безопасности, устроившегося на работу в государственную компанию, деятельность которой связана с медицинскими услугами (будем считать - что этот специалист - единственный специалист по ИБ в организации).
**Описать необходимо с точки зрения правовых аспектов!!! (что проверить, Что сделать в первую очередь, что во вторую, и т.д.)
```
Данные о компании:**
В компании около 500 сотрудников
Есть своя серверная, хранение критических данных происходит как
на сетевом хранилище,
так и на компьютерах пользователей.
```
- [x] Нарисовать схему взаимодействия специалиста ИБ с регуляторами ИБ. Отразить - какие документы необходимо предоставить специалисту в случае проверки организации
---
|ЗАДАНИЕ|1|
|---|---|
<a name="headers"><h2>Действия специалиста ИБ</h2></a>
```
Описание:
Гос. поликлиника г. Москва не подключенная к ГосСОПКА.
Является пользователем автомазированных систем, принадлежащих МИАЦ
Подразумевается, что аттестация ИС производилась в соответствии 17 приказу ФСТЭК,
выполняет требования в соответствии с:
149 ФЗ, 152 ФЗ, ПП 676, ПП 1119, приказу ФСБ N378, приказ мин. здрав. N 911н.
Поликлиника не попадает под одну из категоризаций значимости объекта КИИ.
Задача обеспечить конфиденциальность, целостность, доступность информации.
В информационной системе храняться такие данные как:
1.фамилия, имя, отчество;
2.паспортные данные;
3.реквизиты полиса ОМС;
4.место работы;
5.состав семьи;
6.адрес и место проживания и регистрации;
7.сведения о состоянии здоровья;
8.социальное положение;
9.номер телефона;
10.сведения о льготах.
```
### Что стоит проверить в первую очередь:
|1|
|---|
|В первую очередь изучил бы технический паспорт гос. инф. системы. Каким образом?
|Нужно сверить кол-во технических средств с их серийными номерами. А также проверить требования к установке, сертификаты и серийные номера средств защиты информации в соответствии с формулярами, сертификатами и техническому паспорту.
|2|
|---|
|Проверка соблюдений требований установленных ПП N 244 от 2 марта 2017.|
|Стоит проверить: безперебойную работу, живучесть системы (при учете резервной мощности)
|3|
|---|
|Проверка шаблонов составленных по приказу рокомнадзор N 94.|
|Должны быть соблюдены рекомендации роскомнадзора, такие как: 1) уведомление об обработки ПД; 2) уведомление об изменении предоставленных ПД; 3) Уведомление о прекращении обработки персональных
|4|
|---|
|Проверка соблюдения ПП от 12 апреля 2018 г. N 447|
|Включает в себя требований по защите информации(включает в себя требования составляющее врачебную тайну)
```
Изучил организационную документацию:
1. Политика в отношении обработки ПД
2. Положения о порядке обработки ПД
3. Положение о порядке допуска в помещении
4. Реглмент реагирования на обращщения и запросы субъектов ПД
5. Положение о порядке учета хранения и уничтожения носителей ПД
6. Перечень ИСПДн
7. Перечень обрабатываемвх ПДн
8. Ролевая модель доступа
9. Проект раздела должностных инструкций
10. Акт об уничтожении носителей ПД
11. Журнал учета запросов(субъектов)
12. Журнал учета материальных носителей персональных данных
13. Журнал учета передачи материальных носителей
14. Журнал учета посетителей
15. Журнал учета СЗИ
16. Инструкция администратору безопасности
17. Инструкция пользователю ИС ПДн
18. Инструкция администратора ИСПДн
19. Акт классификации ИС
20. Инструкция о порядке резервирования и восстановления работоспособности ТС и
ПО, БД и СЗИ
21. Положения об обеспечении БПДн
22. Политика в отношениях обработки ПД
```
|5|
|---|
Изучить модель угроз составленую в соответствии методический документом, утвержденным ФСТЭК 5 февраля 2021 года.
А также провести анализ актуальности модели угроз банку данных угроз безопасности информации ФСТЭК.
|6 о ПД|
|---|
|Проверит модель угроз СКЗИ по методическим рекомендациям ФСБ России N 149/7/2/6-432|
|Данная модель определяет угрозы ПД, стоит изначально:|
|1. Изучить техническое задание, произвести анализ актуальности характеристик объектов автоматизации, требований к системе.
|2. Изучить документацию технического проекта, провести анализ актуальности основных технических решений
|7|
|---|
|Произвести тестирование СЗИ, анализ уязвимостей системы ЗИ.
Проверка выполнения мер направленная на обеспечение выполнения обязанностей, предусмотренных ФЗ 152, ПП 211 от 21 марта 2012 года.
Если это возможно ликвидировать уязвимости организационными мерами.
---
|ЗАДАНИЕ|2|
|---|---|
<a name="headers"><h2>Схема взаимодействия специалиста ИБ с регуляторами ИБ
А также документы ⊙_ರೃ</h2></a>
```
Регуляторы: ФСТЭК, ФСБ, РОСКОМНАДЗОР.
```
|1. Документы для ФСТЭК:|
|---|
```
1. Перечень ПД, обрабатываемых в организации.
2. Инструкции работников, осуществляющих обработку ПДн.
3. Соглашение о неразглашении ПДн.
4. Бланки согласий субъектов ПДн на обработку их ПДн (если происходит обработка
биометрических, специальных ПДн или трансграничная передача данных — отдельные бланки согласий).
5. Перечень лиц, допущенных к обработке ПДн.
6. Перечень помещений для обработки персональных данных.
7. Регламент по допуску сотрудников и третьих лиц к обработке персональных данных.
8. Регламент реагирования на запросы субъектов.
10.Акт определения уровня защищенности для ИСПДн/ акт классификации для ГИС
11.Модели нарушителя и угроз.
12.Модели для ГИС должны быть согласованы с ФСТЭК.
13.Приказ (или иной документ) о создании ИСПДн и вводе ИСПДн в эксплуатацию.
14.Документы, подтверждающие наличие средств защиты информации,
порядок их учета и эксплуатации.
Документация на средства защиты информации (лицензии, сертификаты, формуляры и пр.).
15.Документы подтверждающие выполнение требований приказов
ФСТЭК России № 17 и/или 21 (назначение ответственных лиц, регламентирующие порядок
допуска работников к ИСПДн, физическую защиту объектов и пр.).
16.Приказ о назначении постоянно действующей комиссии по защите информации.
17.Сведения о сотрудниках подразделения по защите информации: приказ о назначении,
штатная и фактическая численность, стаж в области защиты информации, копии дипломов об
обучении, сведения о повышении квалификации.
18.Материалы аттестационных испытаний для ГИС и сам аттестат (материалы оценки соответствия
и ее результаты для других информационных систем).
19.Технический паспорт информационной системы или технические паспорта
средств защиты информации.
20.Матрица доступа для информационной системы.
21.Инструкция администратора ИСПДн.
22.Инструкция пользователя ИСПДн.
23.Регламент резервного копирования и восстановления для ИСПДн
24.Регламент предоставления доступа.
25.Приказ о назначении ответственного за обеспечение безопасности ПДн.
26.Необходим, если ИСПДн классифицирована как ИСПДн 3-его класса защищенности и выше.
```
|2. Документы для ФСБ:|
|---|
```
1. Модели нарушителя и угроз, разработанные с учетом требований ФСБ.
2. Согласование ФСБ для модели угроз.
3. Документы, подтверждающие выполнение требований Приказа ФСБ № 378
(назначение ответственных лиц, локальные акты, порядок допуска работников к ИСПДн,
физическую защиту объектов и прочее в зависимости от уровня защищенности ПДн).
4. Документы, подтверждающие наличие средств криптографической защиты информации и
устанавливающие порядок их учета и эксплуатации.
5. Документация на средства криптографической защиты информации (Договора
купли-продажи, лицензии, сертификаты).
6. Правила работы СКЗИ и документы, подтверждающие то, что сотрудники
ознакомлены с этими правилами.
7. Приказ о назначении ответственного за СКЗИ.
8. Журналы учета и передачи СКЗИ.
9. Документы, подтверждающие соответствие помещения для размещения ИСПДн,
в которой используются СКЗИ, требованиям Приказа ФСБ № 378.
10.Список лиц, допущенных к работе с СКЗИ.
```
|3. Документы для РКН:|
|---|
```
1. Документ, определяющий политику оператора в отношении обработки ПДн,
в порядке, установленном ФЗ от 27 июля 2006 года № 152-ФЗ «О персональных данных.
Желательно его составить в соответствие с рекомендациями РКН, а также выложить
документ на сайте гос. организации.
2. Приказ о назначении ответственного за обработку ПДн в организации.
(зам. директора медицинской клиники)
3. Согласия субъектов персональных данных, в том числе работников,
на обработку их персональных данных.
4. Письменные согласия на распространение ПДн неопределенному кругу лиц
5. Письменные согласия субъектов на обработку биометрических и/или
6. Акты ПП от 21 марта 2012 г. N 211
Руководитель утверждает такие документы как:
1. правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
2. правила рассмотрения запросов субъектов персональных данных или их представителей;
3. правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;
4. правила работы с обезличенными данными в случае обезличивания персональных данных;
5. перечень информационных систем персональных данных;
6. перечни персональных данных, обрабатываемых в государственном или муниципальном органе в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций;
7. перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных;
8. перечень должностей служащих государственного или муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
9. должностной регламент (должностные обязанности) или должностная инструкция ответственного за организацию обработки персональных данных в государственном или муниципальном органе;
10.типовое обязательство служащего государственного или муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
11.типовая форма согласия на обработку персональных данных служащих государственного или муниципального органа, иных субъектов персональных данных, а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
12.порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных;
13.соблюдение ПП от 15 сентября 2008 г. N 687.
Если Оператор поручает обработку ПДн третьему лицу:
1. Согласия субъектов на передачу их данных третьему лицу
2. Договор поручения обработки ПДн с третьим лицом
3. Обязательство о неразглашении ПДн и/или Соглашение об обеспечении безопасности
персональных данных, переданных на обработку
4. Регламент реагирования на запросы субъектов ПДн.
5. Документы, устанавливающие порядок уничтожения и обезличивания персональных данных.
6. Документы, устанавливающие места хранения материальных носителей
персональных данных и порядок их хранения.
7. Документы, подтверждающие факт ознакомления работника с внутренними документами,
регламентирующими порядок и условия обработки его персональных данных.
8. Договоры, одной из сторон которых является субъект персональных данных.
```
Sign in with Wallet
Connect another wallet