Я уже писал про методические рекомендации ФСТЭК, в которых приведен набор шаблонов документов, которые могут понадобиться при организации работ по защите ПДн. Надо отметить, что шаблоны документов сыроваты и не всегда привязаны к ПДн. Видимо взяты из внутренних документов ФСТЭК по аттестации, СТР-К и т.п. Пока выкладываю три документа, которые я оформил в более удобоваримом формате.
Первым идет заключение о возможности эксплуатации СЗИ. Можно заметить, что оно очень сильно привязано к навесным СЗИ и только для персоналок (АРМ). Его нетрудно модифицировать для учета СЗИ на серверах. А вот для остальных ОТСС (например, сетевое оборудование) придется помучиться.
Заключение о возможности эксплуатации СЗИ
Вторым идет акт обследования ИСПДн, который может подменить и паспорт ИСПДн, который иногда упоминается в различных документах регуляторов. Тоже есть претензии, но все исправимо без серьезных проблем. Хотя вопросы остаются. Как, например, в части защиты ПДн мне поможет знание того, что у меня полносвязная сеть или кольцо (давно ли сети строят по данной топологии)?
Акт обследования ИСПДн
И наконец, описание СЗИ ПДн. В оригинале описание включало только организационные и технические меры защиты. В соответствии с трехглавым законом я добавил еще и правовые меры.
Описание СЗИ
Скоро выложу продолжение...
