Новые правила интеграции

по зарисовке схемы помещения

Заполнение приложения

Необходимые инструменты при выезде к заказчику

Сдача материала на проверку

фамилия специалиста
Согласовано – ответственный (заказчик)

Полное наименование организации

02

Уточняем у заказчика полное наименование организации, как в Уставе. Особое внимание уделить орфографии (орфографические ошибки не допускаются).

название организации, как в Уставе. Особое внимание уделить орфографии (орфографические ошибки не допускаются)

Адрес организации (Фактической установки СЗИ)

04

Уточняем у заказчика адрес организации, где непосредственно устанавливаются СЗИ.
В формате: Индекс, Область, Город, Улица, Дом, Литер (если есть).

Отчество руководителя организации

06

заказчика, была ли ранее аттестована, та информационная система которую мы собираемся аттестовывать ИС, если да, то узнаем название ИСПДн из предыдущих аттестационных документов на эту ИСПДн, если нет, пишем что система не аттестовывалась

которые подлежат аттестации. Указываем цифрой.

Полный перечень обрабатываемых персональных данных

09

Указываем полный перечень персональных данных, которые обрабатываются. Уточняем это у заказчика.

- можно получить из общедоступных источников (рекламный щит, интернет).
Иные – все данные, которые не относятся к остальным категориям (например: ФИО, паспортные данные, ИНН, СНИЛС, свидетельство о рождении, место жительства, семейное положение, банковские реквизиты и т.д.).

данных, до 100000 или более 100000 (цифра уточняется у заказчика)

Чьи персональные данные обрабатываются

12

Указать, чьи данные обрабатываются, сотрудников организации или не сотрудников организации. ( Например: пациенты, ученики, родители)
Обрабатываться данные могут как сотрудников организации, так и не сотрудников, в этом случае ставим 2 галочки.

ли информационная система выход в сеть общего пользования (интернет) или нет. Уточняется у заказчика.

или близко расположенных зданий, и передача данных осуществляется в пределах локальной сети;
Распределенная – система, расположенная в филиалах по разным адресам, связь через интернет. Уточняется у заказчика

Указать какая система по размещению: локальная или распределенная

Информационная система по территориальному размещению

14

или пользователям. Если данные передаются, то переходим к пунктам 16 и 17.

Предоставление персональных данных сторонним пользователям (организациям)

15

Если система не передает данные другим организациям, то пункт 16 и 17 пропускаем.

заказчика каким способом они передаются (по эл.почте, на флешке, через сайт или иным способом(например: через вип нет)), могут передаваться несколькими способами, необходимо все указать.

Способ предоставления персональных данных сторонним организациям (в случае, если предоставляются)

16

у заказчика в какие именно организации идет передача данных. Передача может осуществляться в несколько организаций.

Организации, которым предоставляются персональные данные (в случае, если предоставляются)

17

ограждающие конструкции здания(забор), или периметр охраняемой территории (полностью охраняемый периметр, с ограждениями и охраной ).

Граница контролируемой зоны

18

АРМ, на сервере организации, за пределами организации
( в облаке, на сервере другой организации, центр обработки данных и т.д.).

Хранение базы данных

19

АРМ, имеются ли датчики пожарной сигнализации. Как правило, пожарная сигнализация есть в большинстве случаев.

Наличие пожарной сигнализации в помещении

20

Уточнить у заказчика как происходит охрана здания (круглосуточная, дневная, или ночная)

Организация охраны здания

21

движения ( находиться, как правило, в углу под потолком), датчик открытия(на двери и на окне), датчик объема, тревожная сигнализация(тревожная кнопка), а также есть ли видеонаблюдение и где оно установлено (в коридоре, помещении или по периметру здания). Заполнить в таблице все пункты, которые указал заказчик.

Физическая защита помещения

22

данными (запись, удаление, передача, модификация, чтение, поиск) Как правило, все операции выполняются.

Операции с персональными данными

23

определению уровня защищенности персональных данных (должен быть приказ). Если имеется, то записать председателя комиссии, членов комиссии и их должности. ФИО и должность полностью.
Если комиссия не создана, то пишем, что комиссии нет. Также можно создать комиссию на месте, предоставив им образец приказа (образцы приказов возим с собой на флешке).

Состав комиссии для определения уровня защищенности персональных данных

24

персональных данных (должен быть приказ). Написать ФИО полностью. Если, ответственный не назначен, то ставим галку «не назначен». Также можно назначить ответственного на месте, предоставив им образец приказа (образцы приказов возим с собой на флешке).

Ответственный за организацию обработки персональных данных

25

персональных данных (должен быть приказ). Написать ФИО полностью. Если, ответственный не назначен, то ставим галку «не назначен». Также можно назначить ответственного на месте, предоставив им образец приказа (образцы приказов возим с собой на флешке).

Ответственный за обеспечение безопасности персональных данных

26

(должен быть приказ). Написать ФИО. Полностью и должность. Если, ответственный не назначен, ставим галку «не назначен». Также можно назначить ответственного на месте, предоставив им образец приказа (образцы приказов возим с собой на флешке).

Ответственный за использование криптосредств

27

возникшим вопросам и проблемам. ФИО полностью, телефон и электронную почту.

Контактное лицо

28

внимание на пункты, которые обведены зеленым цветом и подписаны: электрические розетки, которые относятся к АРМу, ЛВС розетка, ТФ розетка, датчики ( движения, открытия, пожарной сигнализации, объема),выключатель освещения, лампы освещения, подписанный номером наклейки(или соответствующим номером АРМ), монитор с клавиатурой, телефон, МФУ или принтер.
Дверь и окно должны быть подписаны (Нажатием клавиш FN+F2) Например: дверь деревянная, окно пластиковое с решеткой.

«адрес» пишем адрес организации

В поле «кабинет» пишем номер кабинета и если есть, буквенное обозначение.

приложение.

В поле «дата» пишем дату заполнения приложения

В поле «АРМ» пишем номер АРМа.

Шапка приложения заполняется на каждом приложении, если их несколько!

модель.
Например: ACER V193

Номер (инвентарный, серийный, или наклейка)

Системный блок

Указывается марка и модель.
Например: Asus NZ526

Номер присваиваем по номеру наклейки* и этот же номер указываем на схеме.
Если наклейки нет, то пишем инвентарный или серийный номер и на схеме присваиваем номера АРМ 1, АРМ 2, АРМ 3 и т.д.

модель.
Например: Logitech M170

Номер (инвентарный, серийный, или наклейка)

Клавиатура

Указывается марка и модель.
Например: Defender 100M

Номер (инвентарный, серийный, или наклейка)

модель.
Например:HP 1320

Номер (инвентарный, серийный, или наклейка)

МФУ

Указывается марка и модель.
HP Laser Jet PRO 2560

Номер (инвентарный, серийный, или наклейка)

приложения

Прикладные программы

Примечание: Для снятия отчета по ПО нужно использовать программу WinAudit. Если винаудит по каким-то причинам не снимается, то пишем номер ОС и офиса.

Dallas Lock или
Secret Net

Переписываем с формуляра* номер лицензии и знак соответствия. Даллас лок на 9 странице, секрет нет на 16 странице, и на лицензии

СКЗИ: указываем СКЗИ: VipNet

Переписываем с формуляра* номер лицензии и знак соответствия. Номера находятся на 9-й странице формуляра.

Dr.Web и т.д.

Переписываем лицензию и номер дистрибутива с формуляра*.Касперский на 3-йстранице , лицензия на листе.

КриптоПро CSP (указываем только когда, используется в нашей ИСПДн)

Например: указываем, когда аттестуем ИСПДн «бухгалтерия и кадры» и заказчик использует КриптоПро для отправки данных в ПФР, налоговую и т.д., а если используют, например, для закупок или в других целях, то не указываем.
Просим у заказчика формуляр* на КрипроПРО, и переписываем номер лицензии на странице 9
. Если у заказчика отсутствует формуляр, пишем комментарий, что формуляра нет.

(берем у менеджера проекта)

Комплект бухгалтерских документов

Акт приема-передачи СЗИ 2 экземпляра (акт выполненных работ)

WinAudit (для снятия отчета)

AIDA 64 (для снятия информации HDD)

Инструкцию для пользователей

Шаблоны приказов для назначения ответственных и создания комиссии

и аттестации.

Переписываем номера из формуляров в приложение

Уточняем у заказчика, есть ли еще какие-нибудь СЗИ на аттестационном АРМ, просим формуляры

Вариант 1. СЗИ наши (везем с собой на выезд)

Формуляры есть, то переписываем в приложение

Формуляров нет, пишем комментарий, что их нет в приложении

и аттестации.

Вариант 2. СЗИ у заказчика

СЗИ у заказчика есть (все формуляры на каждый продукт)

СЗИ у заказчика отсутствуют или СЗИ есть, но без формуляров

Переписываем в приложение

Пишем комментарий, что формуляров нет

:«ГБУЗ №1 г. Тамбов».

Опросный лист
Схема кабинета (номер АРМ)
WinAudit (номер АРМ)
Отчет по HDD, снятый программой AIDA 64 (номер АРМ)
Акт приема-передачи СЗИ (возим с собой, составляется в 2-х экземплярах, один – нам, второй – заказчику)

организации. Например: «ГБУЗ №1 г. Тамбов».

В папке «ГБУЗ №1 г. Тамбов» должны лежать: опросный лист, акт приема-передачи СЗИ (возим с собой, составляется в 2-х экземплярах, один – нам, второй – заказчику) и планы БТИ (или фотографии плана пожарной эвакуации), папки с названиями кабинетов.

03

В каждом кабинете должна быть следующая информация:

Приложение (номером АРМ)
Схема кабинета (номер АРМ)
WinAudit (номер АРМ)
Отчет по HDD, снятый программой AIDA 64 (номер АРМ)