Практически одновременно с 58 приказом большого ФСТЭКа, ФСТЭК ЮФО выпустил и свой документ по защите ПДн, основанный на отмененном четверокнижие.
Спустя полгода, в июне 2010 года были выпущены обновленные Методические рекомендации ФСТЭК ЮФО уже на базе 58 приказа, о которых я и хотел бы сегодня рассказать.
Документ, в целом, неплохой. Его основным существенным бонусом является наличие аж 13 шаблонов документов (!).
Вот они:
1. Акт классификации;
2. Матрица доступа;
3. Приказ об организации работ по безопасности ПДн;
4. Список сотрудников, имеющих доступ к ПДн;
5. Инструкция по учёту лиц, допущенных к работе с ПДн;
6. Модель угроз;
7. Требования по обеспечению безопасности ПДн;
8. Журнал учёта средств защиты информации;
9. Заключение о возможности эксплуатации средств защиты информации;
10. Инструкция по организации резервирования и восстановления;
11. Журнал учёта машинных носителей ПДн;
12. Акт обследования ИСПДн;
13. Описание системы защиты ПДн в ИСПДн.
За что я люблю этот док, так это за наличие шаблонов аттестационных документов и достаточно подробное описание процесса аттестации. Так же документ прописывает ответственность лицензиатов за соответствие системы защиты ПДн требованиям ФСТЭК и даже ссылается на наказание в виде статьи
723 ГК РФ, что порой бывает полезно :).
Аутсорсинг обработки ПДн все популярней и популярней с каждым днем, однако лицензии ФСТЭК есть далеко не у всех компаний, предоставляющих такие услуги. Обосновать необходимость подобной лицензии поможет п.3.2. документа, который говорит о том, что аутсорсер должен быть лицензиатом ФСТЭК (кстати перечень лицензиатов есть
здесь).
Резюмируя всё вышесказанное, могу сказать, что спустя полтора года документ по-прежнему актуален и порой просто незаменим. А
вот и он.