-
-
-
8. Условия и порядок проведения сертификации в области тзи.
-
ФЗ от 27.12.2002 №184-ФЗ «О техническом регулировании».
-
ПП РФ от 26.06.1995 №608 «О сертификации средств защиты информации»
-
Подача и рассмотрение заявки на проведение сертификации (продление срока действия сертификата) средств защиты информации
-
-
-
Заявка (пример)
-
Технические условия – по ГОСТ 2.114-95.
-
ТУ утверждаются Заявителем и согласовываются начальником 2 Управления ФСТЭК России.
-
Формуляр – по ГОСТ 2.601-2006.
-
Формуляр утверждается Заявителем и согласовываются начальником 2 Управления ФСТЭК России.
-
-
Сертификационные испытания СЗИ и аттестация их производства
-
-
-
Экспертиза результатов СИ, оформление, регистрация и выдача сертификата
-
-
Срок действия сертификата – 3 года.
-
-
-
9. Содержание самооценки обработки и защиты персональных данных.
-
Понятия
-
Самооценка обработки и защиты ПДн – систематический документированный процесс получения свидетельств в деятельности организации по обеспечению защиты ПДн и установления степени выполнения в организации установленных критериев самооценки обработки и защиты ПДн.
-
Критерии самооценки обработки и защиты ПДн – совокупность требований в области обработки и защиты ПДн, характеризующих некоторый уровень их защиты.
-
Свидетельства (доказательства) самооценки обработки и защиты ПДн – записи, изложение фактов или другая информация, которые имеют отношение к критериям самооценки обработки и защиты ПДн и могут быть проверены.
-
Цели самооценки (проверки)
-
Проверка выполнения обязательных требований в области обработки и защиты ПДн, определённых в нормативных правовых актах Российской Федерации на соответствие установленным критериям.
-
Задачи самооценки (проверки)
-
Анализ и оценка проведённых работ по выполнению обязательных требований в области защиты ПДн в организации:
-
В информационных системах обработки ПДн (ИСПДн);
-
Обработки ПДн без использования средств автоматизации, в т.ч. биометрических ПДн и ПДн работника.
-
-
Оценка достаточности и эффективности принятых правовых, организационных, технических, криптографических, экономических и морально-этических мер при обработке ПДн и их защите.
-
Подготовка заключения (акта) проведения самооценки (проверки) достаточности выполнения обязательных требований, регламентирующих обработку ПДн и их защиту и её соответствия определённым критериям и мер по совершенствованию.
-
Содержание проведения самооценки обработки и защиты пДн
-
Уяснение целей и задач самооценки.
-
Определение состава комиссии по проведению самооценки (проверки) обработки и защиты ПДн.
-
Разработка Программы самооценки (проверки) обработки и защиты ПДн.
-
Издание приказа о проведении самооценки (проверки) обработки и защиты ПДн:
-
Состав комиссии;
-
Сроки проведения и представления результатов самооценки;
-
Утверждение Программы самооценки (проверки) обработки и защиты ПДн.
-
-
Проведение самооценки.
-
Подготовка Заключения (акта) и его утверждение у руководителя организации.
-
Издание приказа о результатах самооценки.
-
Разработка Плана устранения недостатков, выявленных в ходе самооценки.
-
Содержание Программы самооценки (проверки) обработки и защиты пДн
-
Название: Программа самооценки (проверки) обработки и защиты персональных данных в (наименование организации).
-
Разделы программы:
-
Цели самооценки (проверки).
-
Задачи проверки.
-
Нормативные правовые акты и стандарты, использованные для составления программы самооценки (проверки).
-
Мероприятия самооценки (проверки).
-
-
Номер по порядку.
-
Наименование мероприятия самооценки (проверки).
-
Требования НПА, стандарта, рекомендаций, методик.
-
Ответственный (-ые).
-
Сроки.
-
Представлено сделано.
-
Раздел – мероприятия самооценки (проверки) целесообразно разделить на:
-
Общие вопросы.
-
Обработка и защита ПДн в ИСПДн.