医学ISPDnが法律に従ってもたらした人、彼はサーカスで笑わない

1.モスクワ地域の情報システムで処理される個人データおよび情報を保護するための組織的および技術的対策の実施手順を決定する情報保護のための組織および管理文書のパッケージに、以下の文書を含めることが推奨されます。



-企業における個人データの保護に関する作業の組織に関する命令（必要に応じて、暗号情報保護の組織に関するものを含む）。

-モスクワ地域の情報システムで処理されるPDに必要なセキュリティレベルを決定する委員会の任命に関する命令。

-防衛省の情報システムで処理されるPDに必要なセキュリティレベルを決定する行為。

-PDの安全性を確保する責任を負う構造単位の設立に関する命令。

-PDの処理を許可された人のリストの承認の命令。

-暗号情報保護システムの責任あるユーザーの任命に関する命令。

-CIPFでの作業を許可された人のリストの承認に関する命令。

-インシデントを特定し、対応する責任者を任命するための命令。

-情報システムおよび個人データ保護システムの構成を変更するアクションを許可された人の指名に関する命令。

-主要文書の破棄のための委員会を任命する命令。

-情報セキュリティの脅威のモデル。

-情報のセキュリティを確保するための組織および作業の実施に関する規制。

• 州または地方自治体の従業員の役職のリスト。これにより、個人データの処理または個人データへのアクセスが提供されます。
• 個人データの分野におけるロシア連邦法の違反を特定および防止することを目的とした手順を確立する個人データの処理に関する規則処理目的またはその他の法的根拠の発生時。
• 個人データ主体またはその代表者からのリクエストを検討するためのルール;
• 「個人データに関する」連邦法によって定められた個人データの保護要件、およびそれに応じて採用された規制行為、および事業者の地域の行為に関するPD処理のコンプライアンスの内部統制の実装に関する規則
• 匿名データを扱うためのルール。
• 処理済みのPDを非個人化する活動を実施する責任を負う州または地方自治体の従業員のポストのリスト。

-施設のセキュリティ体制の組織に関する規制。

-許容アクセスシステム（アクセスマトリックス）。



2.モスクワ地域の情報保護手段（以下-SRZI）の会計、保管、運用の手順を決定する情報保護のための組織および管理文書のパッケージに、以下の文書を含めることをお勧めします。



-個人データの処理へのアクセス（アクセス）の登録手順。

-個人データの処理に関する同意書。

-PD処理にアクセスするためのアプリケーションフォーム。

-公務の遂行に関連して知られるようになった個人データの処理を停止する従業員の義務の形式。

-個人データの件名に、個人データの提供を拒否した場合の法的結果を説明するためのフォーム。

-主要文書の破壊に関する行為の形式。

-セキュリティイベントのリスト、記録されるセキュリティイベントに関する情報の構成と内容、およびそれらの保存期間。

-個人データが処理される施設に州または地方自治体の従業員をアクセスするための手順（個別に、または「施設のセキュリティ体制の組織に関する規制」の一部として）。

-スタッフへの指示：

• 情報セキュリティを担当する公式（セキュリティ管理者）からの指示。
• ISPDnユーザーマニュアル。
• データ、ハードウェア、仮想インフラストラクチャソフトウェア、および仮想インフラストラクチャ内の通信チャネルのバックアップ手順。
• PDをバックアップマシンメディアにバックアップする手順
• 修理または廃棄のためにユーザー間で第三者に転送される際の機械媒体上の機密情報の破棄（消去）または非個人化の指示。
• 個人用保護具の会計組織およびそれらの操作および技術文書に関する指示。
• パスワード保護を整理するための指示。
• インシデントを特定して対応する責任者からの指示。
• 外部情報ネットワークを介したリモートアクセスの実装に関する指示（規制）
• 第三者機関とのPDの交換に関する指示。
• 情報出力（ディスプレイ）デバイスを配置するための指示。
• PDキャリアの保管と破棄の手順に関する指示。
• 暗号情報保護の使用を担当する指示;
• CPSIユーザーマニュアル。
• 暗号情報保護への有効なキーが侵害された場合に通信を復元するための指示。
• 主要な文書所有者の破壊に関する指示。

-情報システムでの無線アクセス技術の使用に関する規制。

-情報システムにおけるモバイル技術的手段の使用に関する規制。

-ISPDnのアカウンティング、ストレージ、および操作のログ：

• 機密情報の磁気、光学、およびその他のキャリアの登録。
• PD（電子フォーム）へのユーザーリクエストのログ。
• 使用された暗号通貨の時折の会計のための雑誌、それらの運用および技術文書。
• 主要情報を含むメディア会計および発行雑誌。
• 暗号通貨ユーザーアカウントジャーナル;
• 暗号通貨ユーザーの個人アカウント;
• セキュリティイベントログ（電子形式またはSRZI機能が組み込まれている場合があります）;
• 仮想インフラストラクチャのイベントログ（電子形式またはSRZI機能が組み込まれている場合があります）;
• 違反の登録、その原因と結果の排除。
• ストレージ、キー文書および技術文書のストレージへのキーの登録。
• アラームヘルスチェックログ
• セキュリティサービスジャーナル。

-使用が承認されたソフトウェアのリスト。

-技術パスポートISPDn。

-CIPFの運用ドキュメント。

-SRZIの情報セキュリティ要件（CIPFを含む）への準拠のライセンスと証明書。

-SRZIへの配信に関するドキュメント（SKZIを含む）。

-使用準備の確認結果に基づいたSPEの運用可能性に関する結論。

-CIPFの試運転に作用します。

-プログラムとテスト手順。

-情報セキュリティ要件への適合性評価（適合性証明書）。

1. PDセキュリティシステム（SZ PD）の作成に関する参照条件には、SZ PDを作成するための次のアクティビティの要件を含める必要があります。

-PD情報システムで処理されるSZ PDの要件の形成。

-SZ PDnの開発（設計）;

-SZ PDの実装。

-PDを保護し、それを実施するために講じられた措置の有効性（認証）の評価。

-SZ PDnの運用中に情報の保護を確保する。

-SZ PDの廃止中または情報の処理を終了する決定が下された後、情報の保護を確保する。

2. SZ PDの要件の形成に関する推奨事項。

2.1。 SZ PDの作成に関する参照条件は、[6]および[7]を考慮して形成された要件の必要な構成を反映する必要があります。

-モスクワ地域の情報システムで処理されるPDの必要なセキュリティレベルの決定（以下、情報システムの分類）。

-情報システムにおける情報セキュリティの侵害につながる可能性のある情報セキュリティ脅威の識別、および情報セキュリティ脅威のモデルに基づく開発。

-SZ PDの要件の定義。

3. SZ PDNの開発（設計）に関する推奨事項。

3.1。 SZ PDを設計するときは、次の対策を講じる必要があります。

-アクセスサブジェクトの種類（ユーザー、プロセス、およびその他のアクセスサブジェクト）および保護されているアクセスオブジェクト（デバイス、ファイルシステムオブジェクト、起動および実行可能モジュール、データベース管理システムオブジェクト、アプリケーションソフトウェアによって作成されたオブジェクト、その他のアクセスオブジェクト）が定義されている;

-定義されたアクセス制御方法（任意、資格、ロールベースまたはその他の方法）、アクセスの種類（読み取り、書き込み、実行、またはその他の種類のアクセス）およびアクセスオブジェクトへのアクセスサブジェクトのアクセスを制限する規則（リスト、セキュリティラベル、役割、およびその他の規則に基づく） ）情報システムに実装される。

-情報システムの情報セキュリティシステムに実装される情報セキュリティ対策が選択された。

-情報を保護するための技術的対策の実施を保証する情報セキュリティツールの種類と種類が特定されている。

-NW PDの構造は、その要素の組成（量）と場所を含めて決定されます。

-情報セキュリティ要件への準拠が認定された情報保護ツールを選択しました。コスト、情報技術および技術的手段との互換性、これらのツールのセキュリティ機能、実装の機能、および情報システムのセキュリティレベルを考慮しました。

-情報セキュリティツールを含むソフトウェア設定が定義されており、情報保護対策の実装を保証し、情報セキュリティの脅威につながる可能性のある情報システムの脆弱性を排除します。

-他の情報システムや情報および通信ネットワークとの情報のやり取り中に情報を保護するための手段（権限のある人の情報システムを含む）、および権限のある人が情報を処理するために提供するコンピューティングリソース（容量）の使用を決定

3.2。 SZ PDの設計結果は、[8]を考慮して開発されたSZ PDの設計文書（概要（技術）プロジェクトおよび（または）作業文書）に表示する必要があります。

以下を含む設計文書を含める必要があります。

-設計されたシステムでの情報処理の分析。

-オブジェクトの情報フローとネットワーク構造の説明。

-保護が必要な情報リソースの分析。 保護された情報のリスト。

-情報セキュリティの脅威のモデル。

-情報セキュリティ要件に従った設計されたシステムの分類

-設計されたシステムの保護対象の情報セキュリティ要件のリスト

-情報セキュリティサブシステム（アンチウイルス保護サブシステム、アンチウイルス保護サブシステム、暗号保護サブシステム、ファイアウォールサブシステム、セキュリティ分析サブシステム、バックアップサブシステム、侵入検知サブシステム）を実装するための技術的ソリューションの説明。

-情報セキュリティツールの統合リスト

-必要な組織および管理文書（ARD）のリストを示す一連の組織的措置。

-テンプレートのセット

3.3。 SZ PDを設計するとき、情報システムの情報システム情報保護システムの運用文書は、[7]、[8]、[9]を考慮に入れて作成する必要があり、次の記述を含める必要があります。

-情報システムの情報セキュリティシステムの構造。

-情報セキュリティツール、ソフトウェア、ハードウェアの構成、インストール場所、パラメータ、設定。

-情報システム情報保護システムの運用ルール。

4. SZ PDの実装に関する推奨事項。

4.1。 SZ PDの実装は、次の順序で推奨されます。

-情報セキュリティツールSZ PDnのインストールと構成。

-運用中に情報の保護を確保するためにオペレーターによって実施される規則と手順を定義する文書の作成SZPDn（以下-ARD）。

-情報を保護するための組織的措置の導入。

-SZ PDnの予備テストの実施。

-SZ PDnの試運転の実施。

-脆弱性の分析を実施し、情報を保護する手段を講じてそれらを排除する。

-SZ PDnの受け入れテスト。

5. ISPDnの適合性評価（認証）を実施し、それを実施するための推奨事項

5.1。 適合性評価（認証）ISPDnは、情報システムで保護される情報を処理する前に、認証テストのプログラムと方法に従って実行する必要があります。

認証テストの結果に基づいて、認証テストのプロトコル、ISPDの情報保護要件への準拠に関する結論、および認証テストの結果が肯定的な場合の適合性評価（適合性証明書）が作成されます。

ISPDnの適合性（認証）の再評価は、適合証明書の有効期限が切れた場合、またはモスクワ地域の情報システムで処理されるPDのセキュリティレベルが向上した場合に実行する必要があります。 情報セキュリティに対する脅威の構成の増加、またはSZ PDの作成中に実施される設計決定の変更に伴い、現在の適合性評価（適合性証明書）の一部として追加のテストを実行する必要があります。

5.2。 ISPDの発効は、[9]およびロシア連邦の情報、情報技術、および情報の保護に関する法律、および適合性評価（適合性証明書）を考慮して実施されるものとします。

6. ISPDnの運用中に情報の保護を確保するための推奨事項。

6.1 ISPDnの運用中の情報セキュリティは、SZ PDnの運用文書および情報保護のための組織および管理文書に従ってオペレーターが実施する必要があり、以下を含める必要があります。

-情報システム情報セキュリティシステムの管理（管理）。

-インシデントの識別とそれらへの対応。

-認定情報システムおよびその情報保護システムの構成管理。

-情報システムに含まれる情報のセキュリティレベルを確保するための制御（監視）。

7.運用のためのISPDの廃止中または情報処理の完了に関する決定が行われた後の情報の保護を確保するための推奨事項

7.1。 ISPDnの廃止中または情報の処理を完了する決定が下された後の情報の保護は、SZ PDNの運用文書および以下を含む情報保護のための組織および管理文書に従って実施する必要があります。

-情報システムに含まれる情報のアーカイブ。

-コンピューター記憶媒体からのデータおよび残留情報の破壊（消去）および（または）コンピューター記憶媒体の破壊。