Обследование информационных систем персональных данных

Описание

Обследование является одним из основных этапов проведения работ по защите ПДн и позволяет структурировать общее описание объектов информатизации и оценить текущий уровень соответствия ИСПДн требованиям нормативных документов по защите ПДн. Включает в себя сбор следующей информации:

  • организационная структура Заказчика;
  • территориальные площадки, схемы помещений, расположение технических средств, меры физической безопасности;
  • структура, технический и программный состав информационных систем;
  • архитектур информационных систем;
  • технологические процессы обработки информации;
  • существующие средства и механизмы обеспечения безопасности информации.

Материалы, полученные в ходе работ по обследованию ИСПДн, используются для:

  • оптимизации предлагаемых технических и организационных мер по защите ПДн;
  • минимизации материальных затрат на проведение работ по защите ПДн;
  • разработки необходимых технических и организационно-распорядительных документов, описывающих технологию обработки ПДн в ИСПДн.

Результат работ

Отчет об обследовании, сформированный на основе сведений, предоставленных Заказчиком в виде заполненных форм опросных листов и устных уточнений, и содержащий следующую информацию:

  • общие сведения об организации;
  • сведения об организационной структуре, в том числе:
    • иерархическая структура подразделений, с указанием отделов, задействованных в обработке ПДн;
    • штатное расписание организации (без указания окладов);
    • описание кадрового состава различных подразделений, участвующих в обработке информации в ИС;
    • описание кадрового состава подразделений, участвующих в администрировании ИС;
    • перечень функций подразделений, участвующих в обработке информации в ИС;
    • перечень функций подразделений, участвующих в администрировании и обеспечению безопасности ИС;
    • описание входящей и исходящей информации для подразделений, связанных с обработкой ПДн;
    • описание информационных потоков ПДн между подразделениями;
    • описание информационных потоков ПДн с третьими лицами;
    • описание технологических процессов обработки ПДн.
  • сведения о технологических площадках, в том числе:
    • план-схема БТИ на здание/этаж/помещения;
    • план контролируемой зоны;
    • схема размещения технических средств обработки информации на объекте с привязкой к границам контролируемой зоны;
    • схема прокладки кабелей электропитания, шины заземления, линий и коммуникаций;
    • состав и схемы размещения используемых средств защиты информации;
    • описание мер по обеспечению физической безопасности и расположения технических средств охраны;
  • технологическая информация об используемых информационных подсистемах, обрабатывающих ПДн, в том числе:
    • перечни технических и программных средств, входящих в состав подсистемы;
    • перечни информационных ресурсов подсистемы;
    • описание технологии управления подсистемой;
  • структурная схема топологии информационной системы, в том числе:
    • информация о каналах связи между площадками;
    • схема размещения серверов и сетевого оборудования;
  • технологические сведения об используемых АРМ и серверах;
  • оценка правовых оснований сбора и обработки ПДн субъектов;
  • декомпозиция информационных систем и формирование перечня ИСПДн.