Эта разновидность документации применяется предприятиями и представляет собой итоговое формирование собранных и проанализированных первоначальных сведений системы персональных данных.
Он также содержит информацию о самой системе, нужную для установления уровня защиты персональных данных. Ниже рассмотрим общий вид данного акта.
Структура акта определения уровня защищенности персональных данных
Как и при составлении любой другой официальной бумаги, следует правильно указать его название, в данном варианте документации будет иметь заголовок «Акт определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных «наименование ИСПДн».
Затем заносится инфо о председателе комиссии и ее членах (Ф.И.О. и должность), собранные для проведения оценочной экспертизы уровня защиты персональных данных. Здесь же пишется приказ руководства организации-инициатора, на основании которого утвержден именно такой состав комиссии.
Ниже нужно записать в соответствие с каким НПА устанавливается, какой уровень защищенности нужно добиться. Обычно это стандартная фраза, имеющая следующий вид: «во исполнение требований Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» комиссия выявила…»
Итак, после этого перечисляется все, что выявила комиссия в данной области, а именно:
1. Разряд индивидуальных сведений, учтенных в системе:
-
иные,
-
общедоступные,
-
биометрические,
-
специальные.
2. Общее количество персональных данных:
-
> 100 тыс.
-
<100 тыс.
3. Угрозы. Фиксируются согласно постановлению виды опасностей с указанием особенностей каждого вида:
-
угрозы первого типа, т.е. в программном обеспечении системы возможно недекларированное (недокументированное) присутствие.
-
угрозы второго типа, т.е. в прикладном программном возможно недекларированное присутствие.
-
угрозы третьего типа, т.е. не относящиеся к недекларированному присутствию в программном обеспечении.
4. Субъекты ПДн. Фиксируются сотрудники-операторы или иные с соответствующими пояснениями.
5. Классификацию ИСПДН:
-
специальная;
-
типовая.
Свой выбор нужно аргументировать согласно установленным критериям.
6. Строение ИСПДн:
-
автономное,
-
локальное,
-
распределенное.
7. Наличие подключений ИСПДн к сетям публичного применения.
8. Режимы обработки ПДн в ИСПДн:
-
однопользовательский,
-
многопользовательский,
-
Наличие границ доступа.
10. Месторасположение ИСПДн.
В конце комиссия формирует и фиксирует вывод о том, какой уровень защиты желателен для данной системы, а также выдвигаются условия к ней для блокировки возможности просачивания угрозы.
Ниже расположен типовой бланк и образец акта определения уровня защищенности персональных данных, вариант которого можно скачать бесплатно.
Читать документ далее
