###### tags: `INT` # Правовые аспекты ИБ с точки зрения специалиста по информационной безопасности. ## Домашнее задание ### Задание 1 Опишите действия специалиста по Информационной безопасности, устроившегося на работу в государственную компанию, деятельность которой связана с медицинскими услугами (будем считать - что этот специалист - единственный специалист по ИБ в организации). 1. Изучить всю внутреннюю документацию. 2. Проверить серийные номера, подключения, коммутацию СЗИ, удостовериться, что все установлено в соответствии с распорядительной документацией. 3. Проверить соответствие всех формуляров СЗИ Приказу ФСТЭК России от 22 июля 2021 г. №240/24/3487. 4. Проверить наличие всех сертификатов и их действительность. 5. Проверить аттестаты соответствия Приказу ФСТЭК России от 18.02.2013 №21. 6. Если у компании есть связь с ГосСОПКА, необходимо проверить соответствие КСЗИ Приказу ФСБ России от 10.07.2014 №378. 7. Проверить соответствие требований по обработке персональных данных в соответствии с Приказом Роскомнадзора от 30.05.2017 №94 8. Поскольку наша компания связана с медицинскими услугами, необходимо проверить соблюдение всех требований, изложенных в Постановлении Правительства РФ от 12.04.2018 №447. 9. Изучить распределние полномочий в компании: должностные обязанности и права доступа всех сотрудников. 10. Проанализировать уявзимости СЗИ и, при наличии, устранить их. 11. Для сотрудников компании провести инструктаж по обеспечению мер информационной безопасности. --- ### Задание 2 Нарисовать схему взаимодействия специалиста ИБ с регуляторами ИБ. Отразить - какие документы необходимо предоставить специалисту в случае проверки организации.  --- Документы, предоставляемые РКН: 1. Документ, определяющий политику оператора в отношении обработки персональных данных, в порядке, установленном ФЗ от 27 июля 2006 года № 152-ФЗ "О персональных данных". 2. Приказ о назначении ответственного за обработку персональных данных в организации. 3. Согласия субъектов персональных данных, в том числе работников, на обработку их персональных данных. 4. Письменные согласия на распространение персональных данных неопределенному кругу лиц. 5. При обработке биометрических и/или специальных категорий персональных данных - письменные согласия субъектов. 6. При трансграничной передаче персональных данных - письменные согласия субъектов. 7. Если обработка персональных данных поручена третьему лицу: * Согласия субъектов на передачу их данных третьему лицу; * Договор поручения обработки персональных данных с третьим лицом; * Обязательство о неразглашении персональных данных и/или Соглашение об обеспечении безопасности персональных данных, переданных на обработку. 8. Регламент реагирования на запросы субъектов персональных данных. 9. Документы, устанавливающие порядок уничтожения и обезличивания персональных данных. 10. Документы, устанавливающие места хранения материальных носителей персональных данных и порядок их хранения. 11. Документы, подтверждающие факт ознакомления работника с внутренними документами, регламентирующими порядок и условия обработки его персональных данных. 12. Договоры, одной из сторон которых является субъект персональных данных. 13. Акты, перечисленные в Постановлении Правительства Российской Федерации от 21 марта 2012 г. №211. --- Документы, предоставляемые ФСБ: 1. Модели нарушителя и угроз, разработанные с учетом требований ФСБ. 2. Если используются СКЗИ - согласование ФСБ для модели угроз. 3. Документы, подтверждающие выполнение требований Приказа ФСБ №378. 4. Документы, подтверждающие наличие СКЗИ и устанавливающие порядок их учета и эксплуатации. 5. Документация на СКЗИ. 6. Правила работы СКЗИ и документы, подтверждающие то, что сотрудники ознакомлены с этими правилами. 7. Приказ о назначении ответственного за СКЗИ. 8. Журналы учета и передачи СКЗИ. 9. Документы, подтверждающие соответствие помещения для размещения информационной системы персональных данных, в которой используются СКЗИ, требованиям Приказа ФСБ №378. 10. Список лиц, допущенных к работе с СКЗИ. --- Документы, предоставляемы ФСТЭК: 1. Перечень персональных данных, обрабатываемых в организации. 2. Инструкции работников, осуществляющих обработку персональных данных. 3. Соглашение о неразглашении персональных данных. 4. Бланки согласий субъектов на обработку их персональных данных (при обработке биометрических, специальных персональных данных или трансграничной передаче данных — отдельные бланки согласий). 5. Перечень лиц, допущенных к обработке персональных данных. 6. Перечень помещений для обработки персональных данных. 7. Регламент по допуску сотрудников и третьих лиц к обработке персональных данных. 8. Регламент реагирования на запросы субъектов. 9. Акт определения уровня защищенности для ИСПДн/ акт классификации для ГИС. 10. Модели нарушителя и угроз. 11. Модели для ГИС должны быть согласованы с ФСТЭК. 12. Приказ (или иной документ) о создании ИСПДн и вводе ИСПДн в эксплуатацию. 13. Документы, подтверждающие наличие средств защиты информации, порядок их учета и эксплуатации. 14. Документация на средства защиты информации (лицензии, сертификаты, формуляры и пр.). 15. Документы подтверждающие выполнение требований приказов ФСТЭК России № 17 и/или 21. 16. Приказ о назначении постоянно действующей комиссии по защите информации. 17. Сведения о сотрудниках подразделения по защите информации: приказ о назначении, штатная и фактическая численность, стаж в области защиты информации, копии дипломов об обучении, сведения о повышении квалификации. 18. Материалы аттестационных испытаний для ГИС и сам аттестат. 19. Технический паспорт информационной системы или технические паспорта средств защиты информации. 20. Матрица доступа для информационной системы. 21. Инструкция администратора ИСПДн. 22. Инструкция пользователя ИСПДн. 23. Регламент резервного копирования и восстановления для ИСПДн 24. Регламент предоставления доступа. 25. Если ИСПДн классифицирована как ИСПДн 3-его класса защищенности и выше, необходим приказ о назначении ответственного за обеспечение безопасности ПДн. --- Список источников: > https://habr.com/ru/post/432466/ > https://habr.com/ru/company/bastion/blog/662752/