- •Перечень используемых сокращений
- •Постановка задачи
- •Перечень использованных нормативных и нормативно-методических документов
- •Описание организации, владельца информационной системы
- •Описание информационной системы персональных данных
- •1. Наименование организации
- •2. Наименование испДн
- •3. Физическое расположение испДн
- •4. Логическая структура испДн
- •Акт предварительной классификации информационной системы персональных данных
- •Акт предварительной классификации информационной системы персональных данных «Хранилище»
- •Перечень персональных данных, обрабатываемый организацией
- •Положение об обработке персональных данных субъектов
- •1. Общие требования при обработке персональных данных
- •2. Получение персональных данных
- •3. Хранение персональных данных
- •4. Передача персональных данных
- •5. Уничтожение персональных данных
- •Регламент по работе с носителями персональных данных
- •Регламент по работе с носителями персональных данных
- •Регламент реагирования на запросы субъектов
- •Регламент реагирования на запросы субъектов
- •План внутренних проверок обработки пДн
- •План внутренних проверок обработки пДн
- •Регламент по порядку обезличивания пДн в испДн
- •Регламент по порядку обезличивания пДн в испДн
- •Положение о защите персональных данных
- •Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных
- •Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных
- •Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обработке персональных данных
- •Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обработке персональных данных
- •Приказ о назначении и закреплении функциональных обязанностей ответственного за организацию обработки персональных данных
- •Политика обработки персональных данных
- •Политика обработки персональных данных
- •Описание доверенных пользователей информационной системы персональных данных с обоснованием
- •Оценка возможности сговора нарушителей
- •Оценка исходной защищенности информационной системы персональных данных
- •Модель нарушителя для информационной системы персональных данных
- •Модель нарушителя в соответствии с требованиями нормативных документов фсб России
- •Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных
- •Модель атак для испДн
- •Перечень актуальных угроз, атак и меры противодействия
- •Классы используемых средств защиты информации
- •Частное техническое задание на выполнение работ по созданию системы защиты персональных данных
- •Пояснительная записка к техническому проекту на создание системы защиты персональных данных
- •4.5 Система контроля защищенности «Сканер вс»
- •4.6 Система Secret Disk
Описание доверенных пользователей информационной системы персональных данных с обоснованием
Согласно рис. 3 из выписки по базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных определим категории лиц, имеющих доступ в контролируемую зону, и покажем, кто из пользователей, содержащихся в этих категориях, относится к доверенным пользователям информационной системы персональных данных.
Работники и госслужащие Министерства, выполняющие обработку ПДн |
Являются доверенными пользователями в рамках своих полномочий, поскольку являются зарегистрированными пользователями и имеют доступ к ПДн, но их доступ, аутентификация и права по доступу к некоторому подмножеству ПДн регламентируются соответствующими правилами разграничения доступа. Пользователь несет административную, дисциплинарную ответственность за нарушение требований ФЗ-152 «О персональных данных», т.к. работает по трудовому договору и подписывал соглашение о неразглашении конфиденциальной информации, ознакомление с должностной инструкцией.
|
Системный администратор |
Является доверенным пользователем, поскольку он ознакомлен с дополнениями в разделах должностных инструкций ответственных лиц и сотрудников в части обеспечения безопасности ПДн, а также с локальными актами, устанавливающими процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, а также с требованиями к защите персональных данных.
|
Администратор сегмента ИСПДн – Программист 1С |
Является доверенным пользователем в рамках своих полномочий, поскольку он ознакомлен с дополнениями в разделах должностных инструкций ответственных лиц в части обеспечения безопасности ПДн, а также с локальными актами, устанавливающими процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, а также с требованиями к защите персональных данных, но он работает по договору консалтинга.
|
Администратор безопасности |
Назначается из числа доверенных пользователей, поэтому сам является доверенным пользователем
|
|
|
Уборщики |
Являются доверенными пользователями в рамках своих полномочий, описанных в трудовых договорах, заключенных между ними и Министерством
|
Посетители |
Являются частично доверенными пользователями, поскольку на основании Федерального закона об информации, информационных технологиях и о защите информации N149-ФЗ, они сами являются носителями персональных данных
|
Охранники ЧОП |
Являются доверенными пользователями, поскольку они могут осматривать помещения только в присутствии уполномоченного представителя Министерства из числа сотрудников Министерства
|
Арендодатель |
Является доверенным пользователем, поскольку он может осматривать помещения только в присутствии уполномоченного представителя Министерства из числа сотрудников Министерства
|
Специальные службы России |
Являются доверенным пользователем, поскольку Министерство является государственной организацией, а также они могут получить доступ к ПДн с помощью законных механизмов.
|
При осуществлении действий, которые выходят за пределы должностных полномочий данный доверенный пользователь ИСПДн рассматривается как нарушитель.