個人データを保護する一般的な方法に関する一連の記事を書いて、データ保護会社のサービスのコストを少し削減するのに役立つか、少なくともあなたが何を払っているのかを理解するつもりです。 私たちはこれらすべてを自社で経験しました。
説明するすべてのアクションの結果に基づいて、連邦法の要件に準拠したISPDnの準拠証明書を取得し、約45000r節約しました。 インテグレーターのサービス(12 AWP +サーバー)。
ISPD調査
個人データ情報システム(ISPDn)の保護の構築は、ISPDnの調査、分類、および特定の保護要件の準備から始まります。
調査は、情報保護スペシャリスト*、IP管理者、IPオペレーターから構成される特別委員会によって実施されます。 したがって、まず委員会を指名して調査を実施するための命令を発行する必要があります。
すぐに私たちの街の価格を発表します:200-700r。 1時間あたり-事前審査、1万〜2万。 r -調査の結果に基づく一連のドキュメント。
アクションを開始する前に、企業で保存および処理される個人データのリストを確立する必要があります。
ここでは、3つの列のテーブルを持つドキュメントを取得します。No。n \ n; 名前(ファイル、データベース、テーブル); ファイルの内容(名前、シリーズ\パスポート番号など)。
検査中に、次を確立する必要があります。
1.組織へのアクセス。 誰が、何時にそこに行くことができます パスの有無にかかわらず、訪問ログなどに記録されるかどうか 従業員は、営業時間後に組織の領域に入る機会がありますか。
2.組織の管理ゾーン(KZ)。
制御されたゾーンは、永続的または1回限りのアクセスがない人の制御されない滞在が除外されるオブジェクトの領域です。
そのため、管理区域の境界は、組織に属する建物の囲い構造(壁、ドア、窓、天井)になります。
おそらく、あなたの組織はフロア全体またはその一部を所有しています。 この場合、ホールとオフィス間の廊下
管理区域では、いくつかの機能が可能です。 たとえば、サードパーティ(顧客)が絶えず受信される場合があります-これも注意する必要があります。
3.建物への電源。 ここでは、変電所が設置されている地域とサービス対象の組織を示す必要があります。 すべてが非常に簡単です。MosgorsvetLLCを知る必要はありません(誰も気にしません)-答えは2つだけです。組織の住所は不要です)。
また、変圧器の接地がどのような方式で行われ、どこに配置されているか(短絡内または外部)を示す必要があります。 ここでのウィキペディアの知識は十分すぎるほどです。wikipedia.org/ wiki /%D0%A2N-S
4.電話接続。 独自のPBXを介して編成されるか、共有されます。 電話ケーブルが短絡していないか。
5.火災およびセキュリティアラーム。 インストール場所、接続場所。 セキュリティコントロールパネルに接続している場合は、このリモートコントロールの場所を示します。 これらのシステムのケーブルは短絡の外側にあります。
6.組織のコンピューティングネットワーク。 構築されるテクノロジー、スキーム、構造、サブネットなど
7.情報処理。
-情報入力:「マウス」タイプのマニピュレーター、キーボード、スキャナーなどを使用して、すべてのコンピューター(AWP)で手動/自動モードで実行されます。
マニュアルは通常、紙からの入力を意味し、自動はフラッシュドライブ、ディスクなどを意味します。
-情報の表示:情報は、ユーザーの入出力およびソフトウェア操作中にモニターに表示されます。
-情報処理:このようなソフトウェアを使用してコンピューターで実行されます。 コンピュータ上のすべてのソフトウェアについて書く必要はありませんが、個人データが処理されるソフトウェアについてだけ書く必要があります。
-情報の保存:情報はコンピューターのハードドライブに残るか、サーバーに自動的に転送されます。
-情報の転送:ユーザーのAWP間、コンピューターとスキャナー/プリンター間、AWPとサーバー間。
-情報出力:紙などのデバイスを使用した紙/電子メディア。
8.情報処理プロセスのコンポーネント:
-アクセスの対象:職務上、PDとやり取りしなければならない担当者。 コンピュータのアプリケーションおよびシステムソフトウェアで発生するプロセス。
-アクセスオブジェクト:情報リソース(例:ファイル、テーブル、配列、ドキュメント、データベースなど); システム要素(フラッシュドライブ、プリンター、ソフトウェア、コンピューター自体)。
オブジェクトへのサブジェクトのアクセスは、何らかの方法で制限または規制する必要があります(PC上のアカウントへのパスワード、署名専用のフラッシュドライブ、ファイルへのアクセス)。
9.アクセスのサブジェクトのグループ:管理者(彼らが誰で、どの機能を実行するかの説明)、ユーザー(同様に)、保守スタッフ(同様に)。 この段落では、OSを管理し、管理者が実行する情報を保護する機能(バックアップ、アカウントの作成など)を個別に説明することもお勧めします。
10.バックアップシステム:頻度、場所、場所、場所、場所、場所、場所、場所、場所
11.さらに...ここでは、情報システムに固有の他の重要なポイントを指定できます。
このすべての結果に基づいて、ISPD調査法を作成しました。
en.wikipedia.org/wiki/Controlled_zone
*委員会における情報保護の専門家の存在は、本質的に助言であり、上級管理者に置き換えることができます。 しかし、運命を誘惑しないために、そのような専門家は、ZIの短期コースを経験し、それに対応する紙片を持っている管理者、または外部の物理的な人であることができます。 契約を締結する適切な教育を受けた人。
次の記事:それら。 ISPDパスポート、プロセスの説明、分類証明書