Privacy-SPS v.1.1.4.0 РУКОВОДСТВО ПОЛЬЗОВАТЕЛЯ

Privacy-SPS
v.1.1.4.0
РУКОВОДСТВО ПОЛЬЗОВАТЕЛЯ
020314-1.1.4.0-33
2015 г.
Стр. 2
Аннотация
Настоящий документ содержит принципы функционирования, описание правил
использования и порядка эксплуатации программного продукта «Privacy-SPS v.1.1».
Последовательность
установки
программного
продукта
«Privacy-SPS»
представлена в «Руководстве по установке Privacy-SPS v.1.1» (020314-1.1-34).
Руководство пользователя описывает:
 принципы функционирования комплекса;
 процедуры ввода исходных данных в программный продукт;
 процедуры генерации документов;
 процедуры контроля процессов обработки и защиты ПДн требованиям
законодательства.
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 3
Содержание
Перечень сокращений ................................................................................ 7
1
Общие положения .............................................................................. 8
2
Принципы функционирования комплекса .................................. 9
3
Конфигурация общих параметров комплекса ........................... 10
3.1
Задание общих параметров ............................................................................10
3.2
Управление правами доступа ........................................................................12
3.3
Задание шаблонов ............................................................................................17
Функциональные возможности .................................................... 18
4
4.1
Состав возможностей ......................................................................................18
4.2
Общие данные ..................................................................................................26
4.2.1 Данные об организации ...............................................................................26
4.2.2 Подразделения Роскомнадзора ...................................................................28
4.2.3 Состав структурных подразделений ..........................................................29
4.2.4 Категории обрабатываемой информации ..................................................30
4.2.5 Справочник должностей..............................................................................31
4.2.6 Справочник типов документов ...................................................................31
4.2.7 Справочник категорий контрагентов .........................................................32
4.3
Характеристики процессов обработки информации ................................33
4.3.1 Категории лиц...............................................................................................33
4.3.2 Составы ПДн ................................................................................................34
4.3.3 Способы использования ПДн .....................................................................35
4.3.4 Цели обработки ПДн ...................................................................................36
4.3.5 Контрагенты .................................................................................................37
4.3.6 Источники получения ПДн .........................................................................39
4.3.7 Справочник стран.........................................................................................39
4.3.8 Группы ПДн ..................................................................................................40
4.3.9 Технологические процессы .........................................................................41
4.3.10 Операции с ПДн .........................................................................................46
4.3.11 Учет ИСПДн ...............................................................................................47
4.3.12 Нормативные основания обработки ПДн ................................................48
4.3.13 Категории ПДн и массивов .......................................................................50
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 4
4.3.14 Ограничения по целям обработки ПДн ...................................................53
4.3.15 Характерные даты ......................................................................................55
4.4
Учет активов.....................................................................................................57
4.4.1 Типы активов ................................................................................................57
4.4.2 Активы ..........................................................................................................58
4.4.3 Информационные массивы .........................................................................61
4.4.4 Учет зданий и помещений ...........................................................................66
4.5
Описание системы защиты ............................................................................68
4.5.1 Учет типов угроз ..........................................................................................68
4.5.2 Учет угроз .....................................................................................................69
4.5.3 Классы средств и мер защиты.....................................................................71
4.5.4 Средства (меры) защиты .............................................................................72
4.5.5 Партии средств защиты ...............................................................................75
4.5.6 Учет установленных средств защиты ........................................................77
4.5.7 Проверка эффективности установленных средств защиты .....................80
4.5.8 Учет ввода средств защиты в эксплуатацию .............................................81
4.5.9 Учет наличия резервных копий ПДн .........................................................83
4.5.10 Контроль уровня защищенности ИСПДн ................................................84
4.5.11 Ввод категорий лиц допущенных к ИСПДн ...........................................85
4.5.12 Области системы защиты ..........................................................................87
4.5.13 Учет наличия официального описания системы защиты ......................91
4.5.14 Функции безопасности ..............................................................................93
4.5.15 Учет эксплуатационной и технической документации ..........................96
4.5.16 Учет носителей ПДн ..................................................................................97
4.5.17 Учет нештатных ситуаций ........................................................................98
4.5.18 Учет ключевых документов к СКЗИ ......................................................100
4.5.19 Учет лицевых счетов пользователей СКЗИ ...........................................102
4.6
Работа с сотрудниками и субъектами ПДн ...............................................103
4.6.1 Учет сотрудников .......................................................................................103
4.6.2 Учет лиц допущенных к информационным массивам ...........................105
4.6.3 Учетная база данных субъектов ПДн .......................................................107
4.6.4 Утверждающие и согласующие лица .......................................................115
4.6.5 Учет прохождения обучения и ознакомления с правилами обработки
ПДн………… .....................................................................................................................117
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 5
4.6.6 Учет лиц ответственных за безопасность ИСПДн .................................118
4.6.7 Учет лиц ответственных за ведение и сохранность журнала пропуска
посетителей в подразделениях .........................................................................................121
4.6.8 Порядок защиты прав, принятия решений ..............................................123
4.6.9 Учет возражений на принятие решений несущих юридические
последствия на основании исключительно автоматизированной обработки..............124
4.6.10 Учет заявлений об исключении ПДн из общедоступных источников127
4.6.11 Учет жалоб и запросов на уточнение, дополнение ПДн, а также о
неправомерных действиях оператора ..............................................................................128
4.6.12 Учет доверенных лиц субъектов ПДн ....................................................131
4.6.13 Учет обращений субъектов ПДн на ознакомление с характером
обрабатываемых ПДн ........................................................................................................132
4.6.14 Учет оснований для отказа в предоставлении сведений об ИМ .........134
4.6.15 Учет получения отзывов согласий на обработку ПДн .........................136
4.6.16 Предписания регулятора .........................................................................137
4.6.17 Учет проведения обучения по работе с СКЗИ ......................................138
4.6.18 Учет лиц допущенных к СКЗИ ...............................................................139
4.7
Контроль процессов обработки и защиты ПДн .......................................140
4.7.1 Задание несовместимых целей .................................................................140
4.7.2 Контроль несоответствия процессов обработки и защиты ПДн ...........141
4.7.3 Генерация уведомлений аналитику ..........................................................152
4.8
Анализ ..............................................................................................................152
4.8.1 Визуальное представление ИС .................................................................152
4.8.2 Визуализация информационных потоков ................................................154
4.8.3 Визуальное представление процессов обработки ПДн ..........................155
4.9
Документы и отчеты .....................................................................................157
4.9.1 Сгенерированные документы ...................................................................157
4.9.2 Акт классификации ИСПДн по требованиям ЦБ ...................................158
4.9.3 Акт и/или приказ на проведение контроля защищенности ...................160
4.9.4 Акт о проверке эффективности мер по обеспечению безопасности ....162
4.9.5 Акт оператора о пропуске на территорию посетителей и ведении
журнала……… ...................................................................................................................165
4.9.6 Акт определения уровня защищенности ИСПДн ...................................167
4.9.7 Журнал учета ключевых документов ......................................................168
4.9.8 Журнал учета применяемых средств защиты .........................................169
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 6
4.9.9 Журнал учета состава технических средств ............................................169
4.9.10 Журнал учета установки (снятия) средств защиты ..............................170
4.9.11 Модель угроз ............................................................................................171
4.9.12 Модель нарушителя .................................................................................175
4.9.13 Описание системы защиты ПДн .............................................................178
4.9.14 Отчет о степени соответствия процессов обработки ПДн нормативным
требованиям….. .................................................................................................................180
4.9.15 Перечень ПДн ...........................................................................................181
4.9.16 Перечень процессов обработки ПДн......................................................181
4.9.17 Приказ на допуск к работе с СКЗИ ........................................................182
4.9.18 Приказ о вводе средств защиты в эксплуатацию ..................................183
4.9.19 Приказ о назначении ответственных за безопасность ПДн .................185
4.9.20 Приказ о предоставлении доступа к ПДн ..............................................186
4.9.21 Приказ об исключении лиц из числа допущенных к ПДн ...................188
4.9.22 Приказ об определении мест хранения ПДн .........................................189
4.9.23 Приказ об утверждении перечня ИСПДн ..............................................191
4.9.24 Уведомление об обработке ПДн .............................................................192
Термины и определения ........................................................................ 195
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 7
Перечень сокращений
АРМ
Автоматизированное рабочее место
ИМ
Информационный массив
ИСПДн
Информационная система персональных данных
ИТ
Информационные технологии
ИС
Информационная система
ИСПДн
Информационная система персональных данных
КЗ
Контролируемая зона
МРО
Многопользовательский режим обработки
НВС
Нет выхода в сеть общего пользования
НДВ
Недекларируемые возможности
НСД
Несанкционированный доступ
ОПД
Одинаковые права доступа
ОРО
Однопользовательский режим обработки
ПДн
Персональные данные
ПО
Программное обеспечение
РИС
Распределенная информационная система
РПД
Разграничение прав доступа
СКЗИ
Средства криптографической защиты информации
СП
Структурные подразделения
ССОП
Сеть связи общего пользования
СУБД
Система управления базами данных
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 8
1
Общие положения
1.1. Цели использования
Целью
использования
программного
комплекса
является
повышения
эффективности процессов, которые должны обеспечить выполнение требований
нормативно-правовых актов по обработке и обеспечению безопасности ПДн с
минимизацией затрат ресурсов за счет автоматизации регулярных процессов и рутинных
операций управления безопасностью процессов обработки ПДн.
Настоящий комплекс позволяет обеспечить сопровождение процессов обработки
ПДн, осуществляемых как автоматизировано, так и не автоматизировано.
1.2. Решаемые задачи
В процессе использования комплекса решаются следующие основные задачи:
 учет состава и структуры ИСПДн, процессов обработки и защиты ПДн;
 учет и формирование требований к процессам обработки и защиты ПДн;
 реализация (поддержка реализации) требований к процессам обработки и
защиты ПДн;
 контроль соответствия процессов обработки и защиты ПДн нормативным
требованиям;
 сигнализация о необходимости внесения изменений в процессы обработки и
защиты ПДн.
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 9
2
Принципы функционирования комплекса
Работа в программном комплексе производится в следующих направлениях:
 учет данных о процессах и системах, в которых осуществляется обработка
ПДн;
 генерация документов в соответствии с требованиями нормативных актов в
области ПДн;
 поддержка процессов работы с субъектами ПДн;
 контроль процессов и систем на соответствие требованиям нормативных
актов.
Функциональные возможности, заложенные в программный продукт,
предполагают возможность возложения различных функциональных задач на разные
категории персонала. Исходя из общности технологических процессов, предполагается,
что в организациях, как минимум будут выделены следующие типовые роли:
 «Пользователь» – лица, структурные подразделения осуществляющие
обработку ПДн;
 «Делопроизводитель» - лица, структурные подразделения, осуществляющие
помимо обработки ПДн взаимодействие с субъектами ПДн;
 «Секретарь» - лица, структурные подразделения, осуществляющие учет
общих данных об организации;
 «Администратор ИТ» - лица, структурные подразделения, представляющие
службы эксплуатации ИТ и обеспечивающие поддержку комплекса
технических и программных средств информационных систем;
 «Администратор ИБ» - лица, осуществляющие контроль эксплуатации и
разработку системы защиты ПДн, сотрудники отдела ответственного за
обеспечение безопасности ПДн;
 «Сотрудник службы безопасности» - лица, структурные подразделения
ответственные за обеспечение физической безопасности зданий и
помещений, контрольно-пропускной режим.
Данные роли являются типовыми, при необходимости, возможно иное разделение
обязанностей.
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 10
3
Конфигурация общих параметров комплекса
Конфигурация комплекса заключается в задании:
 Общих параметров
 Шаблонов
3.1 Задание общих параметров
Общие параметры комплекса включают перечень параметров согласно таблице 3.1.
Таблица 3.1 - Общие параметры
№
п/п
Наименование
Значение
1.
Общие/Параметры/Общие/
Отображать визуальное
представление при старте
приложения
2.
Общие/Параметры/Проверки/
Проверять несоответствия
«Включено»/
процессов обработки ПДн 1
«Отключено»
раз в день при старте
приложения
3.
Общие/Параметры/Проверки/
Отображать несоответствия
«Включено»/
процессов обработки ПДн
«Отключено»
при старте приложения
4.
Общие/Параметры/Проверки/
Путь на сервере баз данных к
файлу с результатами
Данные о каталоге
проверки несоответствия
ПДн-А7-4
Privacy-SPS v.1.1
«Включено»/
«Отключено»
Описание
Параметр определяет
показывать ли визуальную
модель информационной
системы при старте
приложения
Параметр определяет
проверять ли
несоответствия процессов
обработки ПДн
требованиям
законодательства
Параметр определяет
отображать ли найденные
несоответствия процессов
обработки ПДн
требованиям
законодательства
Параметр определяет путь
к каталогу, в котором, по
результатам проверки
ПДн-А7-4 будет создан
файл с результатами
проверки на
несоответствия
Руководство пользователя (020314-1.1.4.0-34)
Стр. 11
№
п/п
5.
6.
7.
Наименование
Общие /
Параметры/Фильтрация
Значение
Описание
Контрагенты, число
Физические лица,
число
Средства защиты,
число
Информационные
массивы, число
Бизнес-процессы,
число
Структурные
подразделения, число
Активы, число
Отображаемые
источники и
получатели на схеме
информационных
потоков, число
Параметр определяет
максимальное количество
записей одновременно
отображаемых в
интерфейсах учета
контрагентов, физических
лиц (запросов, обращений
и т.п.), активов,
информационных
массивов, структурных
подразделений, бизнеспроцессов,
информационных потоков
и учета средств защиты
Общие / Параметры/Классы,
уровни средств защиты
Произвольный список
значений
Общие/Параметры/Виды
доступа
Значения по
умолчанию: Чтение,
запись, Удаление +
Произвольный список
значений
В интерфейсе
определяются виды
систем классификации
средств защиты, а также
произвольно заданные
варианты значений
(классов), по каждой
системе классификации,
используемые для задания
средств защиты
В интерфейсе
определяется список прав
доступа, которые могут
быть назначены
физическому лицу к тому
или иному
информационному
массиву (см. раздел 4.6.2)
Определение параметров производится в следующем порядке:
1.
В окне программы выберите пункт «Общие/Параметры» (см. Рисунок 3.1).
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 12
Рисунок 3.1 – Выбор пункта «Общие/Параметры»
2.
В левой части экрана, вы можете:
 выбрать настраиваемый параметр из следующих:
- «Общие»,
- «Проверки»,
- «Фильтрация»,
- «Классы, уровни средств защиты»;
- «Виды доступа»;
 проставить для выбранного параметра требуемые характеристики (Таблица
3.1).
3.2 Управление правами доступа
Интерфейс «Управление правами доступа» в комплексе позволяет:
 управлять составом пользователей допущенных к системе (создавать новых,
удалять, блокировать, разблокировать),
 управлять правами доступа пользователей (удалять или задавать пункты
меню и функции доступные пользователю).
Параметры, которые могут быть заданы в комплексе, включают перечень
представленный в следующей таблице (Таблица 3.2).
Таблица 3.2 – Управление правами доступа
№
п/п
1.
НаименоХарактевание
ристика
функции
функции
Создание
нового
Субъект
пользователя
Privacy-SPS v.1.1
Описание
Задание зависимости с сотрудником указанным в
интерфейсе «Учет сотрудников» (см. раздел 4.6.1)
Руководство пользователя (020314-1.1.4.0-34)
Стр. 13
№
п/п
Наименование
функции
Характеристика
функции
2.
Аутентифик
ация
3.
Логин
4.
5.
6.
7.
8.
Privacy-SPS v.1.1
Новый
пароль,
Подтвержде
ние
Смена
пароля при
следующем
входе
Пункты
меню
Описание
Задание типа аутентификации:
 «Доменная аутентификация»,
 «Аутентификация по имени и паролю».
Для доменной аутентификации пользователи и
сервер комплекса должны входить в домен AD.
Для аутентификации по имени и паролю
используются учетные записи СУБД.
Имя пользователя системы, которое он
предъявляет при идентификации
Пароль пользователя, который он предъявляет при
аутентификации
Отметка о необходимости смены пользователем
пароля при первом входе в систему
Пункты меню комплекса, которые будут доступны
пользователю
Задание ролей, которые дают возможность
пользователю работать со специальными
возможностями системы, включающие следующие.
«Редактирование справочников». Роль позволяет
пользователю редактировать следующие
справочники:
 «Категории лиц» (см. 4.3.1),
 «Составы ПДн» (см. 4.3.2),
Особые роли  «Способы использования ПДн» (см. 4.3.3),
 «Цели обработки ПДн» (см. 4.3.4),
 «Страны, в которые осуществляется передача
ПДн» (см. 4.3.7),
 «Источники получения ПДн»,
 «Операции с ПДн» (см. 4.3.10),
 «Типы угроз» (см. 4.5.1),
 «Справочник функций безопасности» (см.
4.5.14).
«Администратор безопасности». Роль позволяет
пользователю редактировать состав и права других
пользователей;
«Администратор системы». Роль позволяет
редактировать шаблоны документов, удалять и
редактировать записи внесенные в некоторые
журналы
Руководство пользователя (020314-1.1.4.0-34)
Стр. 14
№
п/п
Наименование
функции
Характеристика
функции
9.
10.
11.
12.
13.
14.
15.
Доступ к
филиалам
16.
Роль
пользовател
я
17.
18.
Роли
Пункты
пользователе
меню
й
Доступные
филиалы
Описание
«Проверка несоответствий». Роль позволяет
пользователю проверять отдельные несоответствия
«Проверка всех несоответствий». Роль позволяет
пользователю запускать проверку по всем
несоответствиям
«Редактирование владельцев процессов, активов,
информационных массивов». Роль позволяет
редактировать, задавать владельцев – структурные
подразделения или физических лиц
«Редактирование только тех процессов, в
отношении которых является владельцем». Роль
ограничивает возможности пользователя по
редактированию процессов
«Редактирование только тех активов, в отношении
которых является владельцем». Роль ограничивает
возможности пользователя по редактированию
активов
«Редактирование только тех информационных
массивов, в отношении которых является
владельцем». Роль ограничивает возможности
пользователя по редактированию информационных
массивов
Указывается список филиалов, к информации
которых имеет доступ пользователи. Ограничение
распространяется на все интерфейсы, в которых
ведение учета может осуществляться по филиалам
Указывается список произвольных ролей, которые
назначены пользователю
Пункты меню комплекса, которые будут доступны
пользователю при выборе данной роли
Филиалы, которые будут доступны пользователю
при выборе данной роли
«Особые роли», которые заданы для данной
Особые роли
произвольной роли пользователей
19.

Изменение, удаление прав доступа пользователей к пунктам меню,
филиалам доступно только пользователю с особой ролью «Администратор
безопасности»
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 15

Добавление новых, удаление пользователей, а также задание особых
ролей доступно только для пользователя входящего в роль сервера «sysadmin» MS
SQL Server
Управление правами доступа производится в следующем порядке:
1.
В окне программы выберите пункт «Общие/Управление правами доступа» (см.
Рисунок 3.2).
Рисунок 3.2 – Выбор пункта «Общие/Управление правами доступа»
2.
В интерфейсе управления вы можете выбрать существующего пользователя,
либо произвести создание (редактирование) пользователя. В интерфейсе
осуществляется одно из следующих действий:
 при нажатии кнопки «Добавить» осуществляется открытие диалогового окна
для создания нового пользователя (см. Рисунок 3.3). При создании нового
пользователя осуществляется ввод параметров указанных в таблице выше
(см. Таблица 3.2);
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 16
Рисунок 3.3 – Интерфейс «Редактирование пользователя»
 осуществляется выбор существующего пользователя и нажатие кнопки
«Редактировать». После чего открывается интерфейс редактирования
существующего пользователя (см. Рисунок 3.3);
 осуществляется выбор существующего пользователя и нажатие кнопки
«Удалить». После чего данный пользователь будет удален;
 осуществляется выбор существующего пользователя и нажатие кнопки
«Блокировать». После чего работа данного пользователя в системе будет
блокирована на уровне учетной записи SQL сервера;
 осуществляется
выбор
существующего,
ранее
заблокированного
пользователя и нажатие кнопки «Разблокировать». После чего работа
данного пользователя в системе будет разблокирована;
 осуществляется выбор существующего пользователя и нажатие кнопки
«Удалить доступ». После чего работа данного пользователя в системе будет
блокирована на уровне приложения;
 осуществляется
выбор
существующего,
ранее
заблокированного
пользователя и нажатие кнопки «Предоставить доступ». После чего работа
данного пользователя в системе будет разблокирована;
 при нажатии кнопки «Роли пользователей», открывается окно создания
ролей прав доступа пользователей (см. Рисунок 3.4)
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 17
Рисунок 3.4 – Интерфейс «Роли пользователей»
3.3 Задание шаблонов
Задание шаблонов документов используемых комплексом производится в
следующем порядке:
1.
В окне программы выберите пункт «Общие/Шаблоны».
2.
В левой части экрана выберите наименование документа, для которого
требуется задать шаблон документа.
3.
Нажмите кнопку редактировать шаблон
4.
Нажмите кнопку экспорта шаблона
5.
Сохраните шаблон в произвольном месте. Отредактируйте файл шаблона.
.
.

При генерации документов, нужные данные вставляются в строго
определенные поля шаблона, поэтому, при исправлении шаблона, настоятельно
рекомендуется перед внесением изменений сохранять исходный файл шаблона для
обеспечения возможности отката
6.
Выберите отредактированный файл шаблона, выбрав пункт
«Файл шаблона».
7.
Нажмите кнопку «ОК».
Privacy-SPS v.1.1
в разделе
Руководство пользователя (020314-1.1.4.0-34)
Стр. 18
4
4.1
Функциональные возможности
Состав возможностей
Степень использования функциональных возможностей продукта может
отличаться и зависит от потребностей пользователя. В таблице (Таблица 4.1) указаны
функциональные возможности продукта, типовые роли, которые реализуют данные
возможности, а также ссылки на разделы настоящего руководства, в которых представлен
порядок использования данных возможностей. Функциональные возможности
сгруппированы по смыслу их использования.
Таблица 4.1 - Функциональные возможности
№
п/п
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
Функциональная возможность
Учет данных о структуре организации
Ввод, актуализация перечня категорий
информации, которая может быть выбрана в
дальнейшем как содержащаяся в каких-либо
информационных ресурсах
Ввод состава и иерархии структурных
подразделений организации
Ввод состава должностей используемых в
организации
Задание типов документов удостоверяющих
личность
Ввод категорий контрагентов
Учет общих данных
Учет, актуализация состава и иерархии
филиалов организации
Ввод, актуализация полного и краткого
наименования организации
Ввод, актуализация юридического и
фактического адреса организации, филиалов
Ввод, актуализация ФИО руководителя
организации
Ввод, актуализация ФИО руководителей
филиалов
Ввод данных об ответственном за организацию
обработки ПДн
Ввод, актуализация адреса Уполномоченного
органа по защите прав субъектов ПДн, в
который подается Уведомление об обработке
ПДн
Роль1
Раздел
Администратор ИБ
4.2.1
Секретарь
4.2.3
Пользователь
4.2.5
Делопроизводитель
4.2.6
Пользователь
4.2.7
Секретарь
4.2.1
Секретарь
4.2.1
Секретарь
4.2.1
Секретарь
4.2.1
Секретарь
4.2.1
Секретарь
4.2.1
Администратор ИБ
4.2.1
Типовые роли лиц, СП, которые должны выполнять данную функцию в комплексе. Используются
наименования типов ролей согласно разделу 2
1
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 19
№
Функциональная возможность
п/п
13. Выбор, актуализация данных о территории РФ,
в котором находится подразделение
Уполномоченного органа по защите прав
субъектов ПДн и в который подается
Уведомление об обработке ПДн
14. Выбор категорий информации
обрабатываемых в организации
15. Ввод даты начала обработки ПДн
16. Ввод даты прекращения обработки ПДн или
условий прекращения обработки ПДн
17. Ввод даты начала работ по защите ПДн
18. Ввод частоты проведения контролей
защищённости ПДн в организации
19. Ввод порядка осуществления субъектом ПДн
своих прав
Описание ПДн и процессов их обработки
20. Ввод, актуализация справочника категорий
лиц, ПДн которых обрабатываются в ИС
организации
21. Ввод, актуализация справочника составов
ПДн, которые обрабатываются в ИС
организации
22. Ввод, актуализация справочника способов
использования ПДн
23. Ввод, актуализация справочника целей
обработки ПДн
24. Ввод, актуализация справочника контрагентов
(сторонних организаций) участвующих в
процессах обработки ПДн
25. Учет наличия поручений на обработку ПДн в
договорах с контрагентами
26. Учет наличия соглашения о
конфиденциальности в договорах с
контрагентами
27. Учет сроков окончания договора
28. Учет сроков окончания поручения на
обработку ПДн
29. Учет сроков окончания соглашения о
конфиденциальности
30. Ввод, актуализация справочника источников
получения ПДн
31. Ввод, актуализация справочника стран, в
которые осуществляется передача ПДн
32. Ввод, актуализация справочника Групп ПДн
33. Ввод, актуализация технологических
процессов обработки ПДн
Privacy-SPS v.1.1
Роль1
Раздел
Администратор ИБ
4.2.1
Администратор ИБ
4.2.1
Секретарь
4.2.1
Секретарь
4.2.1
Администратор ИБ
4.2.1
Администратор ИБ
4.2.1
Администратор ИБ
4.2.1
Пользователь
4.3.1
Пользователь
4.3.2
Пользователь
4.3.3
Пользователь
4.3.4
Пользователь
4.3.5
Пользователь
4.3.5
Пользователь
4.3.5
Пользователь
4.3.5
Пользователь
4.3.5
Пользователь
4.3.5
Пользователь
4.3.6
Пользователь
4.3.7
Пользователь
4.3.8
Пользователь
4.3.9
Руководство пользователя (020314-1.1.4.0-34)
Стр. 20
№
Функциональная возможность
п/п
34. Учет информационных потоков
35. Учет характеристик технологических
процессов
36. Учет владельцев технологических процессов –
физических лиц, подразделений
37. Ввод, актуализация справочника возможных
операций с ПДн
38. Ввод, актуализация данных о составе ИСПДн
организации и операций с ПДн
39.
Ввод, актуализация нормативных оснований
обработки ПДн
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
51.
52.
Ввод, актуализация данных по
характеристикам ПДн по каждому составу
ПДн (или комбинации составов ПДн)
Ввод, актуализация данных по категориям
ПДн обрабатываемых в информационных
массивах
Ввод ограничений по составу, объему и
способам использования ПДн
Ввод, актуализация дат характеризующих
начало отчета до срока окончания обработки
ПДн по целям обработки ПДн (характерных
дат)
Учет активов
Учет типов активов
Учет зданий и помещений
Учет наименований офисов и помещений,
адресов офисов
Учет наличия в помещениях окон имеющих
выход за границы КЗ
Учет наличия в помещениях посторонних лиц
на постоянной основе
Учет осуществления в помещении
неавтоматизированной обработки ПДн
Учет мер и средств защиты помещений
Активы
Учет наименований, принадлежности активов
к филиалам
Учет категорий информации обрабатываемых
на активе
Учет зданий и помещений для размещения
активов
Privacy-SPS v.1.1
Роль1
Раздел
Пользователь
4.3.9
Пользователь
4.3.9
Пользователь
4.3.9
Пользователь
4.3.10
Пользователь
4.3.11
Пользователь
(юридическая
служба)
4.3.12
Пользователь
4.3.13
Пользователь
4.3.13
Администратор ИБ
4.3.14
Пользователь
(юридическая
служба)
4.3.15
Администратор ИТ,
Пользователь
4.4.1
4.4.4
Пользователь
4.4.4
Сотрудник службы
безопасности
4.4.4
Пользователь
4.4.4
-
4.4.4
Сотрудник службы
безопасности
4.4.4
Администратор ИТ,
Пользователь
Администратор ИТ,
Пользователь
Администратор ИТ,
Пользователь
4.4.2
4.4.2
4.4.2
Руководство пользователя (020314-1.1.4.0-34)
Стр. 21
№
Функциональная возможность
п/п
53. Учет бизнес-процессов, в которых участвует
актив
54.
Учет наличия связей с другими активами
55.
Учет видов используемых каналов связи
между активами
56.
Учет использования съемных носителей
57.
Учет принадлежности актива сторонним
организациям, количества локальных
пользователей, доступа к активу сторонних
организаций
Учет информационных массивов, к которым
обращается актив
Учет информационных массивов, которые
хранятся на активе
58.
59.
60.
Учет ИСПДн, к которым принадлежат актив
61.
Учет режима обработки информации на активе
(многопользовательский или
однопользовательский)
Учет акустического озвучивания
обрабатываемой на активе информации
62.
63.
Учет виртуальности актива
64.
Учет принадлежности актива третьим лицам
65.
Учет владельцев актива – структурных
подразделений
Учет информационных массивов
Учет наименований, принадлежности
автоматизированных информационных
массивов к филиалам, типов массивов
Учет наименований, принадлежности не
автоматизированных информационных
массивов к филиалам, типа массивов
Учет зданий и помещений, в которых
расположены не автоматизированные
информационные массивы
Учет активов, на которых размещены
информационные массивы, наличия доступа к
массивам сторонних организаций
Учет категорий информации содержащихся в
массивах
66.
67.
68.
69.
70.
71.
Учет формы представления массивов
Privacy-SPS v.1.1
Роль1
Администратор ИТ,
Пользователь
Администратор ИТ,
Пользователь
Администратор ИТ,
Пользователь
Администратор ИТ,
Пользователь
Администратор ИТ,
Пользователь
Администратор ИТ,
Пользователь
Администратор ИТ,
Пользователь
Администратор ИТ,
Пользователь
Администратор ИТ,
Пользователь
Администратор ИТ,
Пользователь
Администратор ИТ,
Пользователь
Администратор ИТ,
Пользователь
Администратор ИТ,
Пользователь
Раздел
4.4.2
4.4.2
4.4.2
4.4.2
4.4.2
4.4.2
4.4.2
4.4.2
4.4.2
4.4.2
4.4.2
4.4.2
4.4.2
Администратор ИТ,
Пользователь
4.4.3
Пользователь
4.4.3
Пользователь
4.4.3
Администратор ИТ,
Пользователь
4.4.3
Администратор ИТ,
Пользователь
Администратор ИТ,
Пользователь
4.4.3
4.4.3
Руководство пользователя (020314-1.1.4.0-34)
Стр. 22
№
Функциональная возможность
п/п
72. Учет владельцев массивов – физических лиц,
структурных подразделений
73. Учет технологических процессов, в которых
участвуют массивы
74. Учет информационных массивов, с которыми
имеется связь, состава ПДн передаваемых
между массивами
75. Учет характера разграничения доступа в
массивах, количества пользователей, характера
доступа к массиву
76.
Учет операций осуществляемых с массивами
77.
78.
79.
80.
Учет количества субъектов ПДн, данные о
которых обрабатываются в массивах
Учет принадлежности массивов сторонней
организации
Учет ИСПДн, к которым принадлежат
массивы
Учет категорий лиц и составов ПДн
содержащихся в массивах
81.
Учет общедоступности массивов
82.
Учет акустического озвучивания
содержащихся в массивах ПДн
Описание системы защиты
Учет типов угроз
Учет угроз и их характеристик
Учет классов средств и мер защиты
Учет средств и мер защиты
Задание партий сертифицированных средств
защиты
Учет установленных средств защиты
Учет проведенных проверок эффективности
установленных средств защиты
Учет ввода средств защиты в эксплуатацию
Учет наличия резервных копий ПДн
Учет проведенных контролей уровня
защищенности ИСПДн
Ввод категорий лиц допущенных к ИСПДн
Задание области системы защиты (варианта
построения системы защиты)
Определение состава функций защиты
требуемых в отношении активов
Учет наличия официального описания системы
защиты
83.
84.
85.
86.
87.
88.
89.
90.
91.
92.
93.
94.
95.
96.
Privacy-SPS v.1.1
Роль1
Администратор ИТ,
Пользователь
Администратор ИТ,
Пользователь
Раздел
4.4.3
4.4.3
Администратор ИТ,
Пользователь
4.4.3
Администратор ИТ,
Пользователь
4.4.3
Администратор ИТ,
Пользователь
Администратор ИТ,
Пользователь
Администратор ИТ,
Пользователь
Пользователь
Администратор ИТ,
Пользователь
Администратор ИТ,
Пользователь
Администратор ИТ,
Пользователь
4.4.3
4.4.3
4.4.3
4.4.3
4.4.3
4.4.3
4.4.3
Администратор ИБ
Администратор ИБ
Администратор ИБ
Администратор ИБ
4.5.1
4.5.2
4.5.3
4.5.4
Администратор ИБ
4.5.5
Администратор ИТ
4.5.6
Администратор ИБ
4.5.7
Администратор ИБ
Администратор ИТ
4.5.8
4.5.9
Администратор ИБ
4.5.10
Администратор ИБ
4.5.11
Администратор ИБ
4.5.12
Администратор ИБ
4.5.12
Администратор ИБ
4.5.13
Руководство пользователя (020314-1.1.4.0-34)
Стр. 23
№
Функциональная возможность
п/п
97. Ввод, актуализация справочника функций
безопасности
98. Учет зависимостей функций безопасности от
архитектуры ИСПДн
99. Учет зависимостей функций безопасности от
характеристик технологических процессов
100. Учет зависимостей функций безопасности от
класса и уровня защищенности ИСПДн
101. Учет зависимостей функций безопасности от
угроз безопасности
102. Учет зависимостей функций безопасности от
классов средств защиты
103. Учет эксплуатационной и технической
документации
104. Учет носителей ПДн
105.
Учет нештатных ситуаций
106. Учет ключевых документов к СКЗИ
107. Учет лицевых счетов пользователей СКЗИ
Работа с сотрудниками и субъектами ПДн
108. Учет лиц допущенных к информационным
массивам
109. Учет сотрудников
110. Учет ФИО, паспортных данных субъектов
ПДн
111. Учет привязки субъекта ПДн к ИМ
112. Учет даты уничтожения ПДн субъекта
113. Учет отправки уведомлений об уничтожении
ПДн субъекта
114. Учет получения согласия на обработку ПДн
115. Учет необходимости получения согласия на
общедоступность ПДн
116. Учет полученных согласий на
общедоступность ПДн
117. Учет отправки Разъяснения порядка принятия
решений при исключительно
автоматизированной обработке
118. Учет отправки Уведомления субъекта ПДн о
предполагаемой обработке его ПДн
119. Простановка срока наступления характерной
даты по каждому нормативному основанию
120. Генерация Согласия на обработку ПДн
Privacy-SPS v.1.1
Роль1
Раздел
Администратор ИБ
4.5.14
Администратор ИБ
4.5.14
Администратор ИБ
4.5.14
Администратор ИБ
4.5.14
Администратор ИБ
4.5.2
Администратор ИБ
4.5.3
Администратор ИБ
Администратор ИТ
Пользователь
Администратор ИБ
Администратор ИТ
Администратор ИБ
Администратор ИБ
4.5.15
4.5.16
4.5.17
4.5.18
4.5.19
Пользователь
4.6.2
Пользователь
4.6.1
Пользователь
4.6.3
Пользователь
Пользователь
4.6.3
4.6.3
Пользователь
4.6.3
Пользователь
4.6.3
Пользователь
4.6.3
Пользователь
4.6.3
Пользователь
4.6.3
Пользователь
4.6.3
Пользователь
4.6.3
Пользователь
4.6.3
Руководство пользователя (020314-1.1.4.0-34)
Стр. 24
№
Функциональная возможность
п/п
121. Генерация Разъяснения порядка принятия
решений при исключительно
автоматизированной обработке и порядка
защиты субъектом ПДн своих прав и законных
интересов
122. Генерация Уведомления субъекта ПДн о
предполагаемой обработке его ПДн
123. Задание утверждающих и согласующих
документы лиц
124. Учет порядка защиты субъектом ПДн своих
прав, принятия решений, возможных
юридических последствий обработки ПДн
125. Учет заявлений об исключении ПДн из
общедоступных источников
126. Учет возражений на принятие решений
несущих юридические последствия на
основании исключительно
автоматизированной обработки
127. Учет результатов рассмотрения возражений на
принятие решений…
128. Генерация Уведомления субъекта ПДн о
результатах рассмотрения возражения на
принятие решений несущих юридические
последствия на основании исключительно
автоматизированной обработки
129. Учет отправки Уведомления субъекта ПДн о
результатах рассмотрения возражения…
130. Учет обращений субъектов ПДн на
ознакомление с характером обрабатываемых
ПДн
131. Учет отправленных «Уведомлений субъекта
ПДн о характере процессов обработки его
ПДн»
132. Генерация документа «Уведомления субъекта
ПДн о характере процессов обработки его
ПДн»
133. Учет оснований для отказа в предоставлении
сведений об ИСПДн
134. Учет жалоб и запросов на уточнение,
дополнение ПДн, а также о неправомерных
действиях оператора
135. Учет устранения нарушений указанных в
запросах субъектов ПДн
136. Учет отправки «Уведомления об актуализации
персональных данных, устранении нарушений,
уничтожении персональных данных»
Privacy-SPS v.1.1
Роль1
Раздел
Пользователь
4.6.3
Пользователь
4.6.3
Пользователь
4.6.4
Пользователь
4.6.8
Пользователь
4.6.10
Пользователь
4.6.9
Пользователь
4.6.9
Пользователь
4.6.9
Пользователь
4.6.9
Пользователь
4.6.13
Пользователь
4.6.13
Пользователь
4.6.13
Пользователь
4.6.14
Пользователь
4.6.11
Пользователь
4.6.11
Пользователь
4.6.11
Руководство пользователя (020314-1.1.4.0-34)
Стр. 25
№
Функциональная возможность
п/п
137. Простановка даты подтверждения факта
осуществления неправомерных действий
138. Учет факта уничтожения ПДн (в случае если
нарушения не могут быть устранены)
139. Генерация документа «Уведомление об
актуализации персональных данных,
устранении нарушений, уничтожении
персональных данных»
140. Учет прохождения сотрудниками обучения и
ознакомления с правилами обработки ПДн
141. Учет лиц ответственных за безопасность
ИСПДн
142. Учет необходимости предоставления доступа к
работе с СКЗИ
143. Учет лиц допущенных к СКЗИ
144. Учет лиц ответственных за ведение и
сохранность журнала пропуска посетителей в
подразделениях
145. Учет доверенных лиц субъектов ПДн
146. Учет получения отзывов согласий на
обработку ПДн
Контроль процессов обработки и защиты
ПДн
147. Задание несовместимых целей
148.
Контроль несоответствия процессов обработки
и защиты ПДн
149. Генерация уведомлений аналитику
Генерация документов и форм
150. Просмотр ранее сформированных документов
151. Генерация Журнала учета технических средств
ИСПДн
152. Генерация Уведомления об обработке ПДн
подаваемого в Уполномоченный орган по
правам субъектов ПДн
153. Классификация ИСПДн
154. Формирование приказа на проведение
контроля защищенности и/или акта по
результатам проведения контроля
защищенности
155. Генерация модели угроз
156. Генерация модели нарушителя
157. Генерация акта о проверке эффективности мер
по обеспечению безопасности
158. Генерация приказа о вводе средств защиты в
эксплуатацию
Privacy-SPS v.1.1
Роль1
Раздел
Пользователь
4.6.11
Пользователь
4.6.11
Пользователь
4.6.11
Пользователь
4.6.5
Администратор ИБ
4.6.6
Администратор ИБ
4.6.18
Администратор ИБ
4.6.18
Администратор ИБ
4.6.7
Пользователь
4.6.12
Пользователь
4.6.15
Администратор ИБ
Администратор ИБ
Администратор ИТ
Пользователь
Администратор ИБ
4.7.1
Администратор ИБ
Администратор ИБ
Администратор ИТ
4.9.1
Администратор ИБ
4.9.24
Администратор ИБ
4.9.2
Администратор ИБ
4.9.3
Администратор ИБ
Администратор ИБ
4.9.11
4.9.12
Администратор ИБ
4.9.12
Администратор ИБ
4.9.18
4.7.2
4.7.3
4.9.9
Руководство пользователя (020314-1.1.4.0-34)
Стр. 26
№
Функциональная возможность
п/п
159. Генерация формы приказа о назначении
ответственных за безопасность ПДн
160. Генерация приказа на предоставление доступа
к ПДн
161. Генерация формы приказа на допуск к работе с
СКЗИ
162. Генерация описаний систем защиты ПДн
163. Генерация формы акта оператора о пропуске
на территорию посетителей и ведении журнала
164. Генерация отчета о степени соответствия
процессов обработки ПДн нормативным
требованиям
165. Генерация Перечня ПДн
166. Генерация акта определения уровня
защищенности ИСПДн
167. Генерация приказа об определении мест
хранения ПДн
168. Генерация приказа об утверждении перечня
ИСПДн
4.2
Роль1
Раздел
Администратор ИБ
4.9.19
Администратор ИБ
4.9.20
Администратор ИБ
4.9.17
Администратор ИБ
Сотрудник службы
безопасности
4.9.13
Администратор ИБ
4.9.14
Пользователь
4.9.15
Администратор ИБ
4.9.6
Пользователь
4.9.22
Пользователь
4.9.23
4.9.5
Общие данные
4.2.1 Данные об организации
Учет общих данных производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Общие данные/Данные об
организации».
2.
В появившемся окне (см. Рисунок 4.1), в строке меню, вы можете:
 внести изменения в состав и структуру филиалов организации:
- добавить новый филиал, выделив вышестоящее подразделение и
нажав кнопку ,
- удалить имеющийся филиал, выделив его в окне и нажав кнопку
;
 внести по организации в целом:
- полное наименование организации,
- сокращенное наименование организации,
- юридический и фактический адреса организации,
- ФИО руководителя организации,
- коды организации – ИНН, ОКПО, ОКВЭД, ОКОГУ, ОКОПФ, ОКФС,
- ФИО (название юридического лица), телефон, почтовый адрес
ответственного за организацию обработки ПДн,
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 27
- адрес Уполномоченного органа по защите прав субъектов ПДн, в
который подается Уведомление об обработке ПДн,
- данные о территории РФ, в котором находится подразделение
Уполномоченного органа по защите прав субъектов ПДн и в который
подается Уведомление об обработке ПДн (например, Южный
федеральный округ),
- категории информации, обрабатываемые в организации,
- дату начала обработки ПДн в организации,
- дату прекращения обработки ПДн или условия прекращения
обработки ПДн в организации,
- дату начала работ по защите ПДн,
- частоту проведения контролей защищённости ПДн в организации,
- порядок осуществления субъектом ПДн своих прав;
- сохранить изменения, нажав кнопку «Сохранить»;
 внести по каждому филиалу организации:
- полное наименование филиала,
- сокращенное наименование филиала,
- юридический и фактический адреса филиала,
- ФИО руководителя филиала,
- сохранить изменения, нажав кнопку «Сохранить».
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 28
Рисунок 4.1 – Окно «Данные об организации»
4.2.2 Подразделения Роскомнадзора
Задание подразделения Роскомнадзора, который осуществляет свою деятельность в
области присутствия организации, производится в следующем порядке:
1.
В
окне
программы
выберите
данные/Подразделения Роскомнадзора».
2.
В появившемся окне (см.
«Редактирование».
Privacy-SPS v.1.1
пункт
«Ввод
данных/Общие
Рисунок 4.2), в строке меню, выберите
Руководство пользователя (020314-1.1.4.0-34)
Стр. 29
Рисунок 4.2 – Окно «Подразделения Роскомнадзора»
3.
В строке меню, вы можете:
 добавить новое подразделение нажатием кнопки
, после чего:
- указать наименование подразделения в именительном падеже,
- указать наименование подразделения в родительном падеже;
 удалить имеющееся подразделение, выделив его в окне и нажав кнопку
4.
.
Сохраните изменения, нажав кнопку «Сохранить».
4.2.3 Состав структурных подразделений
Задание состава и иерархии структурных подразделений производится в
следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Общие данные/Состав
структурных подразделений».
2.
В появившемся окне (см. Рисунок 4.3), в строке меню, вы можете:
 добавить новое структурное подразделение, выделив структурное
подразделение более высокого уровня, чем вводимое и нажав кнопку ,
после чего:
- указать имя структурного подразделения,
- указать вышестоящее подразделение,
- ввести произвольное описание подразделения,
- ввести сокращенное название подразделения, которое будет
выводиться при визуализации информационных потоков (см. раздел
4.8.2);
 удалить имеющееся структурное подразделение, выделив его в окне и нажав
кнопку .
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 30
Рисунок 4.3 – Справочник «Структурные подразделения»
3.
Сохраните изменения, нажав кнопку «Сохранить».
4.2.4 Категории обрабатываемой информации
Задание перечня категорий информации, используемых комплексом, производится
в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Общие данные/Категории
обрабатываемой информации».
2.
В появившемся окне (см.
«Редактирование».
Рисунок 4.4), в строке меню, выберите
Рисунок 4.4 – Справочник «Категории обрабатываемой информации»
3.
В строке меню, вы можете:
 добавить новую категорию информации нажатием кнопки
, после чего:
- указать имя,
- указать описание данной категории;
 удалить имеющуюся категорию информации, выделив ее в окне и нажав
кнопку .
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 31
4.
Сохраните изменения, нажав кнопку «Применить изменения».
4.2.5 Справочник должностей
Задание состава должностей используемых комплексом производится в следующем
порядке:
1.
В окне программы выберите пункт «Ввод данных/Общие данные/Справочник
должностей».
2.
В появившемся окне (см.
«Редактирование».
Рисунок 4.5), в строке меню, выберите
Рисунок 4.5 – Окно «Справочник должностей»
3.
В строке меню, вы можете:
 добавить новую должность нажатием кнопки
должности;
, после чего указать имя
 удалить имеющуюся должность, выделив ее в окне и нажав кнопку
4.
.
Сохраните изменения, нажав кнопку «Сохранить».
4.2.6 Справочник типов документов
Задание типов документов удостоверяющих личность лиц, данные о которых будут
внесены в комплекс, производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Общие данные/Справочник
типов документов».
2.
В появившемся окне (см.
«Редактирование».
Privacy-SPS v.1.1
Рисунок 4.6), в строке меню, выберите
Руководство пользователя (020314-1.1.4.0-34)
Стр. 32
Рисунок 4.6 – Окно «Справочник типов документов»
3.
В строке меню, вы можете:
 добавить новый тип документа нажатием кнопки
, после чего:
- указать наименование документа,
- при необходимости указать цифровую маску серии,
документа (вместо цифр указываются нули),
номера
- при необходимости указать цифровую маску кода подразделения
выдавшего документ (вместо цифр указываются нули);
 удалить имеющийся тип документа, выделив его в окне и нажав кнопку
4.
.
Сохраните изменения, нажав кнопку «Сохранить».
4.2.7 Справочник категорий контрагентов
Задание категорий контрагентов, которые могут быть использованы для упрощения
описания информационных потоков, производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Общие данные/Справочник
категорий контрагентов».
2.
В появившемся окне (см.
«Редактирование».
Privacy-SPS v.1.1
Рисунок 4.7), в строке меню, выберите
Руководство пользователя (020314-1.1.4.0-34)
Стр. 33
Рисунок 4.7 – Окно «Категории контрагентов»
3.
В строке меню, вы можете:
 добавить новую категорию контрагентов нажатием кнопки
, после чего:
- указать наименование контрагента,
- добавить файл с «Типовым поручением на обработку ПДн»,
- добавить файл с «Типовым соглашением
конфиденциальной информации»;
о
неразглашении
 удалить имеющуюся категорию контрагентов, выделив его в окне и нажав
кнопку .
4.
4.3
Сохраните изменения, нажав кнопку «Сохранить».
Характеристики процессов обработки информации
4.3.1 Категории лиц
Задание справочника категорий лиц, данные о которых обрабатываются в ИС
организации, производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Характеристики процессов
обработки информации/Категории лиц».
2.
В появившемся окне (см.
«Редактирование».
Privacy-SPS v.1.1
Рисунок 4.8), в строке меню, выберите
Руководство пользователя (020314-1.1.4.0-34)
Стр. 34
Рисунок 4.8 – Окно «Справочник категории лиц»
3.
В строке меню, вы можете:
 добавить новую категорию лиц нажатием кнопки
, после чего:
- указать наименование категории,
- при необходимости указать описание категории;
 удалить имеющуюся категорию лиц, выделив ее в окне и нажав кнопку
4.
.
Сохраните изменения, нажав кнопку «Применить изменения».
4.3.2 Составы ПДн
Задание справочника составов ПДн, данные о которых обрабатываются в ИС
организации, производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Характеристики процессов
обработки информации/Составы ПДн.
2.
В появившемся окне (см.
«Редактирование».
Privacy-SPS v.1.1
Рисунок 4.9), в строке меню, выберите
Руководство пользователя (020314-1.1.4.0-34)
Стр. 35
Рисунок 4.9 – Справочник «Составы ПДн»
3.
В строке меню, вы можете:
 добавить новый состав ПДн нажатием кнопки
, после чего:
- указать наименование состава,
- при необходимости указать описание состава;
 удалить имеющийся состав ПДн, выделив его в окне и нажав кнопку
4.
.
Сохраните изменения, нажав кнопку «Применить изменения».
4.3.3 Способы использования ПДн
Задание справочника способов использования ПДн в ИС организации производится
в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Характеристики процессов
обработки информации/Способы использования ПДн».
2.
В появившемся окне (см. Рисунок 4.10), в строке меню, выберите
«Редактирование».
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 36
Рисунок 4.10 – Справочник «Способы использования ПДн»
3.
В строке меню, вы можете:
 добавить новый способ использования ПДн нажатием кнопки
, после чего:
- указать наименование способа использования ПДн,
- при необходимости указать описание способа;
 удалить имеющийся способ использования ПДн, выделив его в окне и нажав
кнопку .
4.
Сохраните изменения, нажав кнопку «Применить изменения».
4.3.4 Цели обработки ПДн
Задание справочника целей обработки ПДн в ИС организации производится в
следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Характеристики процессов
обработки информации/Цели обработки ПДн».
2.
В появившемся окне (см. Рисунок 4.11), в строке меню, выберите
«Редактирование».
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 37
Рисунок 4.11 – Справочник «Цели обработки ПДн»
3.
В строке меню, вы можете:
 добавить новую цель обработки ПДн нажатием кнопки
, после чего:
- указать наименование цели обработки ПДн,
- при необходимости указать описание цели;
 удалить имеющуюся цель обработки ПДн, выделив ее в окне и нажав кнопку
.
4.
Сохраните изменения, нажав кнопку «Применить изменения».
4.3.5 Контрагенты
Принципы использования
Интерфейс контрагентов предназначен для внесения сторонних организаций,
третьих лиц, в которые предполагается осуществлять передачу защищаемой информации,
а также контроля наличия условий конфиденциальности (поручений на обработку ПДн) в
договорах с данными контрагентами.
Порядок задания
Задание справочника контрагентов производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Характеристики процессов
обработки информации/Контрагенты».
2.
В появившемся окне (см. Рисунок 4.12), в строке меню, вы можете:
 добавить нового контрагента нажатием кнопки «Добавить», после чего:
- указать полное наименование контрагента,
- указать краткое наименование контрагента,
- указать ИНН юридического лица,
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 38
- указать данные паспорта физического лица,
- указать почтовый адрес лица,
- задать описание контрагента,
- добавить категорию контрагента,
- добавить конкретные договоры, по которым
взаимодействие. По каждому договору указать:
осуществляется

отметку о наличии поручения на обработку ПДн (при
поручении ПДн данному контрагенту или поручении ПДн от
данного контрагента, см. раздел 4.3.9). Если по данному
договору осуществляется поручение на обработку, отметка
подсвечивается «желтым» цветом,

дату завершения договора,

дату истечения срока поручения на обработку ПДн,

дату истечения срока соглашения о конфиденциальности,

конкретный файл поручения с данным контрагентом;
 удалить имеющегося контрагента, выделив его в окне и нажав кнопку
«Удалить».
Рисунок 4.12 – Справочник «Контрагенты»
3.
Сохраните изменения, нажав кнопку «Сохранить».
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 39
4.3.6 Источники получения ПДн
Задание источников получения ПДн, производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Характеристики процессов
обработки информации/Источники получения ПДн».
2.
В появившемся окне (см. Рисунок 4.13), в строке меню, выберите
«Редактирование».
Рисунок 4.13 – Справочник «Источники получения ПДн»
3.
В строке меню, вы можете:
 добавить новый источник нажатием кнопки
, после чего:
- указать наименование источника,
- при необходимости указать описание источника.

Изменения заданных по умолчанию источников не доступно, т.к. от
них зависят другие алгоритмы принятия решений
4.
Сохраните изменения, нажав кнопку «Применить изменения».
4.3.7 Справочник стран
Задание справочника стран, в которые осуществляется передача ПДн, производится
в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Характеристики процессов
обработки информации/Страны, в которые осуществляется передача ПДн».
2.
В появившемся окне (см. Рисунок 4.14), в строке меню, выберите
«Редактирование».
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 40
Рисунок 4.14 – Справочник «Страны, в которые осуществляется передача ПДн»
3.
В строке меню, вы можете:
 добавить новую страну нажатием кнопки
, после чего:
- указать наименование страны,
- при необходимости указать латинское название страны,
- укажите сокращение названия страны,
- удалить имеющуюся страну, выделив ее в окне и нажав кнопку
4.
.
Сохраните изменения, нажав кнопку «Применить изменения».
4.3.8 Группы ПДн
Задание Групп ПДн, позволяющих упростить ввод пар «категория лиц» - «состав
ПДн», производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Характеристики процессов
обработки информации/Группы ПДн».
2.
В появившемся окне (см. Рисунок 4.14), в строке меню, выберите
«Редактирование».
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 41
Рисунок 4.15 – Справочник «Группы ПДн»
3.
В строке меню, вы можете:
 добавить новую группу нажатием кнопки
, после чего:
- указать категории субъектов ПДн входящие в группу,
- указать составы ПДн по каждой категории субъектов ПДн,
- удалить имеющуюся группу, выделив ее в окне и нажав кнопку
4.
.
Сохраните изменения, нажав кнопку «Сохранить».
4.3.9 Технологические процессы
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.2).
Таблица 4.2 - Зависимости процесса
№
п/п
1.
2.
3.
4.
5.
6.
7.
8.
9.
Функция, от которой зависит процесс
Ввод, актуализация справочника категорий лиц
Ввод, актуализация справочника составов ПДн
Ввод, актуализация справочника способов использования
ПДн
Ввод, актуализация справочника целей обработки ПДн
Ввод, актуализация справочника контрагентов
Ввод, актуализация справочника источников получения
ПДн
Ввод, актуализация справочника стран, в которые
осуществляется передача ПДн
Ввод состава и иерархии структурных подразделений
организации
Учет ФИО, паспортных данных субъектов ПДн
Privacy-SPS v.1.1
Раздел
4.3.1
4.3.2
4.3.3
4.3.4
4.3.5
4.3.6
4.3.7
4.2.3
4.6.3
Руководство пользователя (020314-1.1.4.0-34)
Стр. 42
№
п/п
10.
11.
12.
13.
Функция, от которой зависит процесс
Учет наименований, принадлежности
автоматизированных информационных массивов к
филиалам, типов массивов
Учет наименований, принадлежности не
автоматизированных информационных массивов к
филиалам, типа массивов
Учет наименований, принадлежности активов к филиалам
Ввод категорий контрагентов
Раздел
4.4.3
4.4.3
4.4.2
4.2.7
Общее описание процесса производится посредством указания следующих
соответствий:
 «Бизнес-процесс» - «Структурные подразделения, участвующие в бизнеспроцессе»,
 «Бизнес-процесс» - «Структурные подразделения - владельцы процесса»,
 «Бизнес-процесс» - «Физические лица - владельцы процесса»,
 «Бизнес-процесс» - «Характеристики процесса».
Описание технологических процессов обработки ПДн производится посредством
задания на вкладке «Обработка ПДн» следующих соответствий:
 «Бизнес-процесс» - «Группа ПДн» - «Способ использования данной Группы
ПДн» - «Цели обработки ПДн данным способом»;
 «Бизнес-процесс» - «Группа ПДн» - «Источник получения данного состава
ПДн».
Процесс на вкладке «Обработка ПДн» предусматривает возможность уточнения:
 для способа использования ПДн «передача в конкретные страны»,
конкретных стран, в которые осуществляется передача;
 для способа использования ПДн «поручение обработки ПДн третьим
лицам», конкретных договоров и организаций, по которым поручается
обработка;
 для способа использования ПДн «поручение обработки ПДн от третьих
лиц», конкретных договоров и организаций, по которым поручается
обработка;
 для способа использования ПДн «получение ПДн от третьих лиц»,
конкретных организаций, от которых ПДн получаются;
 для способа использования ПДн «передача сторонним (третьим) лица»,
конкретных организаций, в которые осуществляется передача ПДн.
Вкладка «Информационные потоки» имеет своей целью облегчить процесс
понимания существующих в организации потоков данных для аналитика. Интерфейс
позволяет указать связи между:
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 43
 информационными массивами,
 структурными подразделениями,
 категориями субъектов ПДн,
 категориями контрагентов,
 активами.

Заполнение интерфейса является опциональным и не влияет на
другие алгоритмы системы
В интерфейсе процессов существует возможность электронного согласования
процесса. При этом согласуется текущая версия процесса. При любом изменении данных
указанных в процессе требуется новое согласование.
Порядок задания
Задание технологических процессов производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Характеристики процессов
обработки информации/Технологические процессы».
2.
В появившемся окне (см. Рисунок 4.16), задание технологического процесса
производится в следующем порядке:
a) для задания нового процесса необходимо нажать кнопку «Добавить»,
b) вводится описание процесса,
c) в области окна «Владельцы - структурные подразделения» и «Владельцы –
субъекты» производится добавление или удаление владельцев процесса,

Изменение, удаление владельцев доступно только пользователю с
особой ролью «Редактирование владельцев процессов, активов, информационных
массивов», либо пользователю с серверной ролью «sysadmin»
d) в области окна «Структурные подразделения, участвующие в бизнеспроцессе» производится добавление новых или удаление структурных
подразделений, которые участвуют в данном процессе,
e) при необходимости задается описание процесса.
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 44
Рисунок 4.16 – Интерфейс «Технологические процессы»
3.
На вкладке «Обработка ПДн»:
a) производится задание соответствий «Категории субъектов ПДн,
используемые в бизнес-процессе» - «Составы ПДн по каждой категории
субъектов» следующим способом:
- в области окна «Группы ПДн, используемые в процессе»
производится, при нажатии кнопки «Редактировать», задание Групп
ПДн (см. Рисунок 4.17)
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 45
Рисунок 4.17 – Интерфейс «Группы ПДн»
b) в области окна «Способы использования ПДн по группе ПДн» для
выделенной группы ПДн:
- добавляются конкретные способы использования ПДн нажатием
кнопки ,
- удаляются конкретные способы использования ПДн нажатием
кнопки ;
c) в области окна «Способы использования ПДн по группе ПДн» выделяется
какой-либо способ;
d) в области окна «Цели обработки ПДн по способу использования ПДн» для
выделенного способа производится:
- добавление новых целей обработки ПДн нажатием кнопки
,
- удаление существующих целей обработки ПДн нажатием кнопки
;
e) в области окна «Третьи лица, участвующие в обработке ПДн» для
выделенного способа производится:
- добавление новых третьих лиц нажатием кнопки
- удаление третьих лиц нажатием кнопки
,
;
f) в области окна «Источники ПДн» для выделенного состава ПДн
производится:
- добавление нового источника ПДн нажатием кнопки
,
- удаление существующего источника ПДн нажатием кнопки
4.
;
На вкладке «Информационные потоки:
a) задаются информационные массивы, которые участвуют в данном процессе;
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 46

Для заданных массивов в интерфейсе «Информационные массивы»
(см. раздел 4.4.3) данный процесс также отображается как процесс, в котором
данный массив участвует
b) Для каждого перемещаемого информационного массива указывается:
- источник и отправитель массива,
- тип носителя информационного потока.
5.
Производится сохранение изменений при нажатии кнопки «Сохранить».
6.
Производится согласование процесса любым пользователем системы при
нажатии кнопки «Согласовать». История согласования процесса доступна при
нажатии кнопки «История согласования».
7.
Осуществляется экспорт данных заданных в процессах при нажатии кнопки
«Экспорт процессов». При этом задается состав экспортируемых данных по
процессам и фильтр процессов, которые должны быть экспортированы.
8.
Осуществляется экспорт контрагентов, в том числе, заданных в процессах при
нажатии кнопки «Экспорт контрагентов». При этом задается состав
экспортируемых данных по контрагентам и фильтр контрагентов, которые
должны быть экспортированы.
4.3.10 Операции с ПДн
Задание справочника возможных операций с ПДн производится в следующем
порядке:
1.
В окне программы выберите пункт «Ввод данных/Характеристики процессов
обработки информации/Операции с ПДн».
2.
В появившемся окне (см. Рисунок 4.18), в строке меню, выберите
«Редактирование».
Рисунок 4.18 – Справочник «Операции с ПДн»
3.
В строке меню, вы можете:
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 47
 добавить новую операцию нажатием кнопки
, после чего:
- указать наименование операции,
- при необходимости указать описание операции;
 удалить имеющуюся операцию, выделив ее в окне и нажав кнопку
4.
.
Сохраните изменения, нажав кнопку «Применить изменения».
4.3.11 Учет ИСПДн
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.3).
Таблица 4.3 - Зависимости процесса
№
п/п
1.
Функция, от которой зависит процесс
Ввод, актуализация справочника возможных операций с
ПДн
Раздел
4.3.10
Данная функция позволяет задать как ИСПДн, в которых осуществляется только
автоматизированная обработка ПДн, так и смешанная.
Состав ПДн, категории лиц, активы, относимые к каждой ИСПДн, определяются в
дальнейшем, посредством задания для информационных массивов, активов тех или иных
ИСПДн.
В форме «Учета ИСПДн» отображаются цели обработки ПДн в ИСПДн заданные
для активов в интерфейсе «Активы».
Порядок задания
Задание справочника ИСПДн, в которых осуществляется обработка ПДн,
производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Характеристики процессов
обработки информации/Учет ИСПДн».
2.
В появившемся окне (см. Рисунок 4.19), в строке меню, вы можете:
 добавить новую ИСПДн нажатием кнопки «Добавить». После выделения
новой ИСПДн в левой части окна, в правой части окна:
- указывается наименование ИСПДн,
- указывается
степень
автоматизированности
(автоматизированная, смешанная),
ИСПДн
- указывается количество субъектов
обрабатываются в данной ИСПДн,
которых
Privacy-SPS v.1.1
ПДн,
данные
Руководство пользователя (020314-1.1.4.0-34)
Стр. 48

При задании количества субъектов ПДн желательно указывать
прогнозное значение количества обрабатываемых ПДн хотя бы через год. Т.к.
количество субъектов ПДн может сыграть ключевую роль при определении
характеристик ИСПДн, неверное указание количества может потребовать
существенного изменения состава и структуры системы защиты ПДн во всей
организации
- указываются операции с ПДн производимые в данной ИСПДн из
полного списка ранее заданных,
- производится
«Сохранить»;
сохранение
изменений
при
нажатии
кнопки
 удалить существующую ИСПДн нажатием кнопки «Удалить».

При удалении ИСПДн удаляются признаки принадлежности к ней из
всех активов
Рисунок 4.19 – Интерфейс «Учет ИСПДн»
4.3.12 Нормативные основания обработки ПДн
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.4).
Таблица 4.4 - Зависимости процесса
№
п/п
1.
Функция, от которой зависит процесс
Ввод, актуализация справочника целей обработки ПДн
Privacy-SPS v.1.1
Раздел
4.3.4
Руководство пользователя (020314-1.1.4.0-34)
Стр. 49
Задание нормативных оснований обработки ПДн позволяет в дальнейшем
определять необходимость сбора согласий на обработку ПДн, а также состав ПДн, на
который требуется получение согласия субъекта ПДн.
Также имеется возможность задания внутренних нормативных оснований для
обработки ПДн – внутренних инструкций, положений регламентирующих обработку ПДн.
Каждое нормативное основание характеризуется двумя свойствами:
 необходимостью получения согласия на обработку ПДн при данном
нормативном основании;
Например, если в качестве нормативного основания выступает необходимость
выполнения уставной деятельности, то данное основание не входит в список
исключений ФЗ от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и требует
получения согласий субъектов ПДн на обработку их ПДн
 возможностью не предоставлять субъекту ПДн уведомление о
предполагаемой обработке его ПДн (в случае если ПДн, связанные с таким
основанием, получены не от него лично).
Например, если в качестве нормативного основания выступает какой-либо
федеральный закон, например, нормативным основанием передачи некоторых ПДн в
налоговый орган является Налоговый кодекс РФ.
Порядок задания
Задание нормативных оснований обработки ПДн производится в следующем
порядке:
1.
В окне программы выберите пункт «Ввод данных/Характеристики процессов
обработки информации/Нормативные основания обработки ПДн».
2.
В появившемся окне (см. Рисунок 4.20), в строке меню, выберите
«Редактирование».
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 50
Рисунок 4.20 – Интерфейс «Нормативные основания обработки ПДн»
3.
В появившемся окне, задание нормативных оснований обработки ПДн
производится в следующем порядке:
a) в левой части окна выделяется цель обработки ПДн (из заданных ранее),
нормативное основание для которой требуется ввести;
b) в правой части окна вы можете:
- добавить для данной цели, ранее заданное нормативное основание
обработки ПДн нажатием кнопки
и выбором требуемого
нормативного основания из справочника (см. Рисунок 4.21),
Рисунок 4.21 - Интерфейс выбора ранее заданного нормативного основания
- добавить для данной цели, ранее заданное внутреннее нормативное
основание обработки ПДн нажатием кнопки
и выбором
требуемого нормативного основания из справочника,
- если предполагается ввод ранее не заданного нормативного
основания, то оно производится нажатием кнопки ,
- удалить существующее нормативное основание нажатием кнопки
;
c) по каждому нормативному основанию задается:
- наименование основания (по щелчку на имени нормативного
основания в правой части окна),
- отметка о необходимости получения согласия на обработку ПДн при
данном нормативном основании,
- отметка о том, что данное нормативное основание также является
основанием не предоставлять сведения о предполагаемой обработки
ПДн (в случае, если ПДн получены от третьих лиц).
4.
Производится сохранение изменений после ввода новых оснований при
нажатии кнопки «Сохранить».
4.3.13 Категории ПДн и массивов
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.5).
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 51
Таблица 4.5 - Зависимости процесса
№
п/п
1.
Функция, от которой зависит процесс
Учет информационных массивов
Раздел
4.4.1
Задание характеристик и категорий ПДн производится для категорий лиц и
составов ПДн, которые реально существуют в информационных системах организации и
привязаны к какому-либо информационному массиву. В этих целях в интерфейсе
«Категории ПДн и массивов» производится автоматический перебор всех заданных
массивов и формируется выборка только из существующих комбинаций «Категория лиц»
- «Состав ПДн».
В программном комплексе возможно задание следующих характеристик ПДн:
 по признаку возможности идентификации:
- «Возможность точной идентификации лиц по данному составу ПДн»,
- «Обезличенность ПДн»;
 по содержанию:
- «Общедоступность данного состава ПДн»,
- «Принадлежность к биометрическим персональным данным»2,
- «Принадлежность к специальным категориям ПДн».

Состав ПДн может обладать только одной категорией из задающих
«признак возможности идентификации», т.к. они являются взаимоисключающими.
Состав ПДн может обладать как категорией из «признаков возможности
идентификации», так и произвольным составом категорий ПДн «по содержанию».
Например, состояние здоровья главы государства может относиться к признаку
«Возможность точной идентификации лиц и получения о них дополнительной
информации» и, одновременно, к признакам «Общедоступность данного состава
ПДн», «Принадлежность к специальным категориям ПДн».
Итоговая категория информационного массива может иметь следующие значения:
1. Специальные,
2. Биометрические,
3. Иные,
4. Общедоступные.
По введенным категориям ПДн для единичных составов ПДн3 производится
автоматическое определение итоговой категории ПДн для информационных массивов.
При объединении составов ПДн в едином информационном массиве, используются
правила определения категории массива представленные в следующей таблице (см.
Таблица 4.6).
По своему определению данная характеристика также является характеристикой позволяющей
идентифицировать субъекта ПДн
3
Единичный состав ПДн может быть представлен, например, базой данных содержащих только
один столбец, например, с перечнем фамилий
2
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 52
Таблица 4.6 - Правила определения категории массива
Объединяемые
категории ПДн
Обезличенные
Возможность
идентификации
Обезличен
ные
Возможность
идентификации
Общедост
упные
Биометрические Специальные
Иные
Иные
Иные
Биометрические
Иные
Иные
Иные
Биометрические
Специальные
Общедост
упные
Биометрические
Иные
Биометрические
Специальные
Иные
Общедоступные
Биометрические
Специальные
Порядок задания
Задание категорий ПДн производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Характеристики процессов
обработки информации/Категории ПДн и массивов».
2.
В появившемся окне (см. Рисунок 4.22), в строке меню, выберите
«Редактирование».
Рисунок 4.22 – Интерфейс «Категории ПДн и массивов»
3.
В появившемся окне, задание категорий ПДн производится в следующем
порядке:
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 53
a) в левой части окна выделяется категория лиц, данные для которой надо
ввести;
b) в верхней правой области окна, задание категорий производится следующим
образом:
i.
в области «Составы / Характеристики ПДн:» производится добавление
нового столбца нажатием кнопки
(удаление столбца производится
нажатием кнопки ),
ii.
в появившемся столбце ставится галочка напротив состава
(комбинации составов) ПДн, для которого требуется ввести категорию,
iii.
в области окна «Характеристики ПДн, для выделенных составов»
производится:
- добавление категорий для составов ПДн, отмеченных в выделенном
столбце, нажатием кнопки ,
- удаление категорий для данных составов ПДн нажатием кнопки
iv.
,
в области окна «Комментарии по данному заданному соответствию»
производится
внесение
комментариев,
логических
выводов
обосновывающих данную категорию (при необходимости),

Внесение комментариев желательно, т.к. они используются в
качестве обоснования категории ПДн в генерируемой форме Модели угроз
v.
производится повтор шагов i – iv для каждого нового состава ПДн;
c) в нижней части окна, см. область «Категория ПДн (автоопределение)»,
производится автоматическое определение категории ПДн для каждого
информационного массива (согласно правилам описанным выше), по
совокупности введенных категорий единичных составов ПДн введенным на
шаге b);
d) при необходимости, для определенных информационных массивов,
категория ПДн может быть определена вручную, посредством ввода в поле
«Категория ПДн (ручное)»;
e) в поле «Комментарии, поясняющие данную категорию:» (при
необходимости) вводятся комментарии,
логически обосновывающие
введенную вручную категорию ПДн для массива.
4.
Производится сохранение изменений при нажатии кнопки «Сохранить».
4.3.14 Ограничения по целям обработки ПДн
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.7).
Таблица 4.7 - Зависимости процесса
№
п/п
1.
Функция, от которой зависит процесс
Ввод, актуализация справочника целей обработки ПДн
Privacy-SPS v.1.1
Раздел
4.3.4
Руководство пользователя (020314-1.1.4.0-34)
Стр. 54
№
п/п
2.
3.
4.
Функция, от которой зависит процесс
Ввод, актуализация справочника категорий лиц, ПДн
которых обрабатываются в ИС организации
Ввод, актуализация справочника составов ПДн, которые
обрабатываются в ИС организации
Ввод, актуализация справочника способов использования
ПДн
Раздел
4.3.1
4.3.2
4.3.3
Задание ограничений по составу, объему и способам использования ПДн имеет
своей целью обеспечить возможность контроля созданных и создаваемых в организации
информационных массивов на предмет соответствия требованиям к процессам обработки
ПДн.
Порядок задания
Задание ограничений производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Характеристики процессов
обработки информации/Ограничения по целям обработки ПДн».
2.
В появившемся окне (см. Рисунок 4.23), в строке меню, выберите
«Редактирование».
Рисунок 4.23 – Интерфейс «Ограничения по целям обработки ПДн»
3.
В окне, задание ограничений производится в следующем порядке:
a) в левой части окна выделяется цель обработки ПДн (из заданных ранее);
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 55
b) в правой части окна вы можете:
- внести для данной цели ограничения по объему обрабатываемых ПДн
(задается количество лиц, данные которых могут обрабатываться),
- добавить или удалить для данной цели категории лиц, данные
которых допустимы для обработки при данных целях,
- добавить или удалить для данной цели составы ПДн, которые
допустимы для обработки при данных целях,
- добавить или удалить для данной цели способы использования ПДн,
которые допустимы для обработки при данных целях.
c) Производится сохранение изменений при нажатии кнопки «Сохранить».
4.3.15 Характерные даты
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.8).
Таблица 4.8 - Зависимости процесса
№
п/п
1.
Функция, от которой зависит процесс
Ввод, актуализация нормативных оснований обработки
ПДн
Раздел
4.3.12
Характерная дата – это дата, при наступлении которой начинается отсчет до
окончания допустимого срока обработки ПДн.
Например, с даты расторжения договора с клиентом начинается срок архивного
хранения договора с ним, который составляет 5 лет. Также примером характерной
даты является дата увольнения сотрудника, с момента которой начинается срок
архивного хранения различных документов
Работа в программном комплексе заключается:
 во вводе типов характерных дат;
 в привязке их к нормативному основанию обработки ПДн;
 в указании максимального срока обработки ПДн по дате.
В дальнейшем, по каждой записи в базе данных субъектов ПДн, будет возможна
простановка конкретной даты с контролем необходимости уничтожения ПДн данного
субъекта (см. раздел 4.6.3).
Порядок задания
Задание типов характерных дат производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Характеристики процессов
обработки информации/Характерные даты по нормативным основаниям».
2.
В появившемся окне (см. Рисунок 4.24), в строке меню, выберите
«Редактирование».
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 56
Рисунок 4.24 – Интерфейс «Характерные даты по нормативным основаниям»
3.
В появившемся окне, задание характерных дат производится в следующем
порядке:
a) в левой части окна выделяется нормативное основание, для которого надо
задать тип характерной даты;
b) в правой части окна при нажатии кнопки
производится открытие
справочника типов характерных дат, в котором:
i. задаются новые даты нажатием кнопки , после чего необходимо:
- указать наименование типа характерной даты,
- при необходимости указать описание типа,
ii.
при необходимости, возможно, удалить имеющийся тип, выделив его в
окне и нажав кнопку ,
iii.
производится сохранение даты по нажатию кнопки «Применить
изменения»,
iv.
производится выбор заданного типа даты при нажатии кнопки
«Выбрать»;
c) в правой части окна, в разделе «Характерные даты по нормативным
основаниям», возможно:
 задать, для выбранного типа характерной даты:
- число – максимальный срок обработки ПДн,
- указать тип числа – «дни» или «годы»,
 при необходимости удалить имеющийся тип, выделив его в окне и нажав
кнопку .
4.
Производится сохранение новых данных при нажатии кнопки «Сохранить».
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 57
4.4
Учет активов
4.4.1 Типы активов
Принципы использования
Интерфейс типы активов предназначен для задания справочника возможных типов
активов, а также указания графических иконок для данных типов, которые будут
использоваться при визуализации активов с данным типом.
Порядок задания
Задание справочника типов производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Учет активов/Типы активов».
2.
В появившемся окне (см. Рисунок 4.25), в строке меню, выберите
«Редактирование».
Рисунок 4.25 – Справочник «Типы активов»
3.
В строке меню, вы можете:
 добавить новый тип нажатием кнопки
, после чего:
- указать наименование типа,
- при необходимости выбрать иконку с графическим изображением
данного типа;
 удалить имеющийся тип, выделив его в окне и нажав кнопку
4.
Сохраните изменения, нажав кнопку
Privacy-SPS v.1.1
.
.
Руководство пользователя (020314-1.1.4.0-34)
Стр. 58
4.4.2 Активы
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.9).
Таблица 4.9 - Зависимости процесса
№
п/п
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
Функция, от которой зависит процесс
Учет, актуализация состава и иерархии филиалов
организации
Учет наименований офисов и помещений, адресов офисов
Ввод состава и иерархии процессов обработки ПДн в
организации
Ввод состава и иерархии структурных подразделений
организации
Учет ФИО, паспортных данных субъектов ПДн
Выбор категорий информации обрабатываемых в
организации
Учет типов активов
Учет наименований, принадлежности
автоматизированных информационных массивов к
филиалам, типов массивов
Ввод, актуализация данных о составе ИСПДн организации
Ввод, актуализация справочника категорий лиц, ПДн
которых обрабатываются в ИС организации
Ввод, актуализация справочника Групп ПДн
Ввод, актуализация справочника контрагентов
Раздел
4.2.1
4.4.4
4.3.9
4.2.3
4.6.3
4.2.1
4.4.1
4.4.3
4.3.11
4.3.1
4.3.8
4.3.5
В качестве активов могут выступать любые технические или программнотехнические устройства участвующие в обработке ПДн – рабочие места пользователей,
системы хранения, серверы, принтеры, сканеры, коммутаторы, модемы и т.п.
Учет активов имеет своей целью:
 определить состав и границы ИСПДн;
 определить структуру ИСПДн;
 позволить провести анализ распределенности информационной системы при
генерации документов;
 определить состав обрабатываемых ПДн с привязкой к конкретным активам
и ИСПДн;
 определить информационные потоки с ПДн, их состав и структуру, а также
процессы обработки ПДн;
 провести контроль соответствия активов, потоков и процессов обработки
ПДн на активах требованиям законодательства;
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 59
 дать возможность генерации документов с описанием состава и структуры
ИСПДн (акты определения уровня защищенности, модели угроз и т.п.),
 осуществить контроль необходимости реализации физических мер защиты в
помещениях, где размещено оборудование.
Порядок задания
Учет активов производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Учет активов/Активы».
2. В появившемся окне, возможно добавление нового актива (см. Рисунок 4.26)
при нажатии в строке меню кнопки «Добавить» или при выделении уже
существующего актива и нажатии кнопки «Копировать» (в этом случае в
новый актив заносятся характеристики копируемого). Добавление нового
актива производится в следующем порядке:
a) в левой части окна выделение основной организации или филиала, в
который требуется добавить или удалить актив;
b) осуществляется
указывается:
нажатие
кнопки
«Добавить».
Для
нового
актива
 наименование,
 описание актива, комментарии (при необходимости);
 серийный и/или инвентарный номер,
 категории информации, которые обрабатываются на активе (персональные
данные, коммерческая тайна и т.п.),
 тип актива (персональный компьютер, терминальный клиент, принтер,
сервер приложений и т.п., если актив реализует соответствующую
функциональность). Если актив выполняет несколько функций, указывается
несколько типов,
 структурные подразделения, физические лица – владельцы актива,
 здание, в котором расположен актив (из введённых ранее),
 помещение, в котором расположен актив (из введённых ранее),
 отметка об использовании на активе съемных носителей, в том числе для
обработки ПДн,
 отметка о виртуальности актива,
 отметка о доступе к активу со стороны третьих лиц,
Например, если производится обслуживание актива сторонними аутсорсинговыми
организациями, либо сервисное обслуживание производителем
 отметка о многопользовательском режиме обработки ПДн на активе,
 отметка об акустическом озвучивании обрабатываемой
информации (если такое озвучивание производится),
на
активе
 Группы ПДн, которые озвучиваются (если проставлена отметка выше),
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 60
 количество локальных пользователей актива,
 отметка о принадлежности актива третьему лицу. В этом случае, также
можно указать контрагента или категорию субъектов ПДн, у которых
расположен данный актив,

Данная отметка проставляется только в том случае, если актив
расположен за пределами территории организации. Такие активы служат для
описания процессов обмена ПДн со сторонними организациями
 состав ИСПДн, к которым принадлежит актив,
 состав информационных массивов, к которым осуществляется доступ из
данного актива или которые хранятся на данном активе,
 состав бизнес-процессов, в которых участвует актив,
 состав связанных активов, к которым подключен данный актив. При этом,
по каждой связи можно указать тип канала связи;
c) производится сохранение добавленного актива при нажатии кнопки
«Сохранить»;
d) при необходимости производится удаление актива при выделении
необходимого для удаления актива в левой части окна и нажатии кнопки
«Удалить»,
e) При необходимости производится генерация отчета о составе активов
участвующих в обработке ПДн и их принадлежности к ИСПДн по нажатию
кнопки «Отчет» в строке меню.

В состав Отчета включаются только активы, у которых проставлена
отметка об обработке «Персональных данных»
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 61
Рисунок 4.26 - Интерфейс «Активы»
4.4.3 Информационные массивы
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.10).
Таблица 4.10 - Зависимости процесса
№
п/п
1.
2.
3.
4.
Функция, от которой зависит процесс
Учет, актуализация состава и иерархии филиалов
организации
Выбор категорий информации обрабатываемых в
организации
Учет наименований, принадлежности активов к филиалам
Ввод состава и иерархии процессов обработки ПДн в
организации
Privacy-SPS v.1.1
Раздел
4.2.1
4.2.1
4.4.2
4.3.9
Руководство пользователя (020314-1.1.4.0-34)
Стр. 62
№
п/п
5.
6.
7.
8.
Функция, от которой зависит процесс
Раздел
Ввод состава и иерархии структурных подразделений
организации
Учет ФИО, паспортных данных субъектов ПДн
Ввод, актуализация данных о составе ИСПДн организации
Ввод, актуализация справочника Групп ПДн
4.2.3
4.6.3
4.3.11
4.3.8
Учет информационных массивов имеет своей целью:
 определить состав и границы ИСПДн;
 определить состав обрабатываемых ПДн с привязкой к конкретным активам
и ИСПДн;
 определить информационные потоки с ПДн, их состав и структуру, а также
процессы обработки ПДн;
 осуществить контроль соответствия массивов, потоков и процессов
обработки ПДн в массивах требованиям законодательства;
 дать возможность генерации документов с описанием состава и структуры
ИСПДн (акты определения уровня защищенности, модели угроз и т.п.).
В качестве информационных массивов могут выступать:
 отдельные базы данных;
 файлы, каталоги с файлами;
 отдельные бумажные документы содержащие ПДн;
 другие носители ПДн.
Количество полей для заполнения зависит от того:
 автоматизированный массив или нет,
 содержатся ли в массиве ПДн или нет.
Порядок задания
Задание информационных активов производится в следующем порядке:
1.
В
окне
программы
выберите
активов/Информационные массивы».
2.
В появившемся окне, возможно:
пункт
«Ввод
данных/Учет
 добавление нового неавтоматизированного массива (см. Рисунок 4.27) в
следующем порядке:
i.
производится добавление нового массива при нажатии кнопки
нового массива указывается:
. Для
- наименование,
- организация или филиал, которому принадлежит данный массив,
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 63
- тип
массива
(в
данном
«неавтоматизированный»),
случае
требуется
указать
- категории информации, которые содержатся в массиве (персональные
данные, коммерческая тайна и т.п.),
- дополнительные объекты доступа, которые входят в данный массив,
используемые для уточнения прав доступа физических лиц к
данному массиву,
Например, сотрудник организации может иметь право ознакомления не со всем
документом, а только с отдельным приложением документа. В этом случае, в
составе информационного массива, целесообразно выделить «дополнительный
объект доступа», например, «Приложение №1»
- место размещения – здания и помещения,
- группы ПДн, которые содержатся в массиве,
- отметка об акустическом озвучивании содержащейся в массиве
информации (если такое озвучивание производится),
- форма представления массива (бумажный документ, пластиковая
карточка и т.п.),
- структурное подразделения, физическое лицо – владелец массива;
ii.
производится сохранение массива при нажатии кнопки «Сохранить»;
Рисунок 4.27 - Интерфейс «Информационные массивы (неавтоматизированные)»
 добавление нового автоматизированного массива (см. Рисунок 4.28) в
следующем порядке:
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 64
i.
производится добавление нового массива при нажатии кнопки
нового массива указывается:
. Для
- наименование,
- организация или филиал, которому принадлежит данный массив,
- тип
массива
(в
данном
«автоматизированный»),
случае
требуется
указать
- категории информации, которые содержатся в массиве (персональные
данные, коммерческая тайна и т.п.),
- дополнительные объекты доступа, которые входят в данный массив,
используемые для уточнения прав доступа физических лиц к
данному массиву,
Например, сотрудник организации может иметь право доступа не ко всей базе
данных, а только к отдельной таблице или функции. В этом случае, в составе
информационного массива, целесообразно выделить «дополнительный объект
доступа», например, «Таблица с данными по клиентам»
- активы, на которых хранится массив (производится выбор из
заданных ранее),

Если массив располагается на нескольких активах, то
подразумевается, что данный массив, является распределенным, например, таким
образом, может быть задана база данных, для которой осуществляется
синхронизация на разные серверы или системы хранения или база данных и ее
резервная копия и т.п. Подразумевается, что между частями одного массива
осуществляется сетевое взаимодействие
- состав бизнес-процессов, в которых участвует массив,
- отметка о доступе к массиву сторонних пользователей,
Например, если к информационному массиву – базе данных клиентов осуществляют
удаленный доступ партнеры организации
- отметка о разных правах доступа локальных пользователей массива,
- отметка о разных правах доступа удаленных пользователей массива,
- отметка об акустическом озвучивании содержащейся в массиве
информации (если такое озвучивание производится),
- отметка об общедоступности данной БД (в случае если данный
массив является общедоступным),
- указывается примерное количество удаленных пользователей,
Существенны только цифры 0, 1 или больше 1. Данные используются для оценки
того многопользовательский массив или нет, осуществляется ли к нему удаленный
доступ
- операции, осуществляемые с массивом,
- характер доступа к массиву (имеют ли доступ к массиву все
сотрудники организации, ограниченный круг лиц, либо доступ никак
не ограничивается),
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 65
- максимальное количество субъектов ПДн,
обрабатываются в массиве в единицу времени,
данные
которых

Т.к. объем баз данных постоянно увеличивается, желательно
указывать прогнозное количество субъектов ПДн хотя бы через год. Существенны
только значения до 1000, от 1000 до 100 000 или более 100 000
- отметка о том, что владелец массива сторонняя организация,
- форма представления массива,
- структурное подразделения, физическое лицо – владелец массива;
- состав ИСПДн, к которым принадлежит массив,
- группы ПДн, которые содержатся в массиве,
- состав других информационных массивов, с которыми имеется связь,
Например, если производится выгрузка ПДн из базы данных в другую базу данных
- Группы ПДн, передаваемые между массивами,
ii.
производится сохранение массива при нажатии кнопки «Сохранить»;
Рисунок 4.28 - Интерфейс «Информационные массивы (автоматизированные)»
 удаление существующего массива в следующем порядке:
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 66
i.
в левой части окна выбирается основная организация или филиал, из
которого требуется удалить массив;
ii.
выделяется массив в данном филиале, который требуется удалить;
iii.
производится удаление массива при нажатии кнопки
;
 фильтрация, при нажатии кнопки «Поиск массивов» и экспорт, при нажатии
кнопки «Список массивов», информационных массивов в файл по
совокупности параметров представленных выше.
4.4.4 Учет зданий и помещений
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.11).
Таблица 4.11 - Зависимости процесса
№
п/п
1.
2.
Функция, от которой зависит процесс
Учет, актуализация состава и иерархии филиалов
организации
Учет зданий и помещений для размещения активов
Раздел
4.2.1
4.4.2
Описание зданий и помещений имеют своей целью:
 ведение учета мест осуществления обработки ПДн;
 позволить провести анализ распределенности информационной системы при
генерации документов типа «модель угроз»;
 учет уровня физической защищенности
осуществляется обработка ПДн;
помещений,
в
которых
 предоставить информацию для анализа необходимости дооснащения
помещений необходимыми физическими средствами или применения
организационных мер физической защиты;
 контроль необходимости реализации физических мер защиты в помещении.
Порядок задания
Задание зданий и помещений производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Учет активов/Учет зданий и
помещений».
2.
В появившемся окне (см. Рисунок 4.29), производится задание здания
следующими способами:
 выделяется филиал, в котором числится здание, или выделяется сама
организация, далее:
i.
в верхней части окна в строке меню производится добавление нового
здания по нажатию кнопки «Новое здание»;
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 67
ii.
вводится наименование здания;
iii.
добавляется адрес здания в поле «Адрес:» по нажатию кнопки
;
 выделяется уже существующее здание и в верхней части окна производится
нажатие кнопки «Копировать», далее при необходимости уточняется адрес и
наименование здания.
3.
Производится сохранения введенных данных по зданию по нажатию кнопки
«Сохранить».
4.
Производится задание помещения следующими способами:
 выделяется офис, в котором находится помещение, далее:
i.
в верхней части окна в строке меню производится добавление нового
помещения по нажатию кнопки «Новое помещение»;
ii.
вводится наименование или номер помещения;
iii.
указываются характеристики помещения:
- наличие окон выходящих за пределы контролируемой зоны и
легкодоступных (легкодоступные – окна находящиеся на первых или
последних этажах зданий. возле пожарных лестниц и т.п.),
- наличие на постоянной основе в помещении лиц не допущенных к
обрабатываемым ПДн,
Например, в помещении находятся рабочие места сотрудников, которые не
допущены к обработке ПДн

Отметка «в помещении осуществляется неавтоматизированная
обработка ПДн» проставляется автоматически при наличии информационных
массивов содержащих ПДн в данном помещении
iv.
для выделенного помещения могут быть проставлены (удалены)
следующие отметки:
- окна помещения защищены металлическими решетками,
- имеются надежные, запираемые шкафы, хранилища для хранения
носителей ПДн,
- двери в помещение являются прочными, запираются на надежный
замок,
- помещение постоянно находится под наблюдением;
 выделяется уже существующее помещение и в верхней части окна
производится нажатие кнопки «Копировать», далее при необходимости
уточняется наименование помещения и его характеристики.
5.
Производится сохранения введенных данных по помещению по нажатию
кнопки «Сохранить».
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 68
Рисунок 4.29 – Интерфейс «Учет зданий и помещений»
6.
4.5
При необходимости производится удаление
помещения по нажатию кнопки «Удалить».
выделенного
здания
или
Описание системы защиты
4.5.1 Учет типов угроз
Задание типов угроз используемых комплексом производится в следующем
порядке:
1.
В окне программы выберите пункт «Ввод данных/Описание системы
защиты/Типы угроз».
2.
В появившемся окне (см. Рисунок 4.30), в строке меню, выберите
«Редактирование».
Рисунок 4.30 – Справочник «Типы угроз»
3.
В строке меню, вы можете:
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 69
 добавить новый тип угрозы нажатием кнопки
, после чего:
- указать имя,
- указать описание данного типа;
 удалить имеющийся тип, выделив его в окне и нажав кнопку
;
 изменив наименование существующего типа угроз, щелкнув по его
названию левой кнопкой мыши.
4.
Сохраните изменения, нажав кнопку «Применить изменения».
4.5.2 Учет угроз
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.12).
Таблица 4.12 - Зависимости процесса
№
п/п
1.
2.
3.
Функция, от которой зависит процесс
Учет типов угроз
Учет типов активов
Ввод, актуализация справочника функций безопасности
Раздел
4.5.1
4.4.1
4.5.14
Учтенные угрозы используются при определении состава угроз влияющих на
ИСПДн.
В целях облегчения операций генерации моделей угроз, в данном интерфейсе
предусмотрена возможность задания значений вероятности и опасности угроз по
умолчанию. Данные значения могут быть скорректированы в дальнейшем при генерации
конкретной модели угроз.
Задаваемые в данном интерфейсе типы активов определяют состав активов, в
отношении которых может быть актуальна данная угроза. Параметр используется при
задании системы защиты.
В интерфейсе по каждой угрозе осуществляется задание функций безопасности,
которые могут снизить вероятность проявления данной угрозы (защитные меры). Данные
зависимости используются при формировании документов содержащих функции
безопасности (акты контроля защищенности, проверки эффективности и т.п.).
Порядок задания
Задание угроз производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Описание системы
защиты/Угрозы».
2.
В появившемся окне, возможно:
 добавление новой угрозы (см. Рисунок 4.31) в следующем порядке:
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 70
i.
производится нажатие кнопки
окна указывается:
. Для новой угрозы в правой части
- наименование,
- тип угроз (из заданных ранее),
- вероятность реализации угрозы (маловероятная, низкая, средняя,
высокая вероятность),
- показатель опасности угрозы для ИСПДн (низкий, средний, высокий),
- степень влияния угрозы на ущерб активу (используется при
количественном анализе рисков в комплексах «BCM-Analyser» и
«SIS-Analyser»),
- вероятность реализации угроз в числовой форме (используется при
количественном анализе рисков в комплексах «BCM-Analyser» и
«SIS-Analyser»),
- функции безопасности, которые влияют на угрозу,
- условия актуальности угрозы для активов (используется при экспорте
данных в комплекс «BCM-Analyser»),
- типы активов, на которые может действовать угроза. Параметр
используется для фильтрации угроз при формировании области
системы защиты (см. раздел 4.5.12),
- последствия реализации угрозы (используется при количественном
анализе рисков в комплексах «BCM-Analyser» и «SIS-Analyser»).
ii.
производится
«Сохранить»;
сохранение
новой
угрозы
по
нажатию
кнопки
 удаление существующей угрозы в следующем порядке:
i.
в левой части окна выделяется угроза, которую требуется удалить;
ii.
производится удаление угрозы при нажатии кнопки
Privacy-SPS v.1.1
.
Руководство пользователя (020314-1.1.4.0-34)
Стр. 71
Рисунок 4.31 - Интерфейс «Угрозы»
4.5.3 Классы средств и мер защиты
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.13).
Таблица 4.13 - Зависимости процесса
№
п/п
1.
2.
Функция, от которой зависит процесс
Учет угроз и их характеристик
Ввод, актуализация справочника функций безопасности
Раздел
4.5.2
4.5.14
Интерфейс «Классы средств и мер защиты» позволяет задавать типы средств
защиты обладающие общими характеристиками:
 по составу угроз, на которые они действуют,
 по выполняемым функциям безопасности.
Средства защиты какого-либо класса предназначены для защиты от типового
множества угроз и реализуют все функции безопасности данного класса.
Порядок задания
Задание класса производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Описание системы
защиты/Классы средств и мер защиты».
2.
В появившемся окне, возможно:
 добавление нового класса средств или мер защиты (см. Рисунок 4.32) в
следующем порядке:
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 72
i.
производится нажатие кнопки
защиты указывается:
. Для нового класса средств или мер
- наименование класса,
- угрозы, защиту от которых обеспечивает класс,
- функции безопасности, которые реализует класс;
ii.
производится
«Сохранить»;
сохранение
нового
класса
по
нажатию
кнопки
 удаление существующего класса средств или мер защиты в следующем
порядке:
i.
в верхней части окна выделяется существующий класс, который
требуется удалить;
ii.
производится удаление класса при нажатии кнопки
.
Рисунок 4.32 - Интерфейс «Классы средств и мер защиты»
4.5.4 Средства (меры) защиты
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.14).
Таблица 4.14 - Зависимости процесса
№
п/п
1.
2.
Функция, от которой зависит процесс
Учет классов средств и мер защиты
Учет типов активов
Раздел
4.5.3
4.4.1
Интерфейс учета средств и мер защиты позволяет задавать конкретные средства
(меры) защиты разных классов. Данный интерфейс предполагает, что должны быть
заданы конкретные средства (меры) защиты конкретной версии и конкретного
производителя.
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 73
Например, средство защиты Symantec Endpoint Protection 11 компании Symantec.
Одно средство (мера) защиты в общем случае может принадлежать разным
классам.
Например, средство защиты Symantec Endpoint Protection 11 реализует
функциональные возможности класса антивирусных средств, межсетевых экранов,
контроля съемных носителей и т.п.
В данном интерфейсе предполагается задание имеющихся у организации средств
(мер) защиты, которые могут быть использованы для защиты ПДн.
Каждое средство (мера) защиты характеризуется:
 местом возможной
помещение;
установки
(применения),
например,
актив
или
 типами активов, защиту ПДн в которых обеспечивает данное средство
(мера),
Например, межсетевые экраны обеспечивают защиту ПДн обрабатываемых на
персональных компьютерах, серверах, сетевом оборудовании, других сетевых
устройствах, а антивирусные средства на персональных компьютерах и серверах
 характеристиками ИСПДн, для защиты ПДн в которых оно может быть
применимо. Такие характеристики, включают:
- уровень защищенности ИСПДн (средства защиты могут быть
использованы в ИСПДн уровней защищенности УЗ1-УЗ4, либо в
ИСПДн классов ИСПДн-Д, ИСПДн-С, ИСПДн-И, ИСПДн-Б по
требованиям ЦБ РФ),
- режим доступа пользователей, на который рассчитано данное
средство (локальный или удаленный),
Например, встроенные механизмы аутентификации баз данных могут быть
применены для аутентификации как локальных пользователей, так и удаленных.
- режим разграничения прав доступа пользователей (отдельно по
локальным, отдельно по удаленным пользователям), при котором
данное средство может быть использовано (равные права доступа
или разные);
Например, электронный замок может обеспечить защиты только от локальных
пользователей и только при условии, что у пользователей равные права доступа
 условиями использования, которые должны соблюдаться при его
эксплуатации. Задание перечня условий позволяет автоматически вносить
их в генерируемые «описания систем защиты», а также выдавать в качестве
требований, которые необходимо проверить, в различные акты и
заключения по проверке эффективности;
Примером таких условий является, например, необходимость использования
электронных замков при эксплуатации криптосредств класса КС2
 условиями актуальности средства (меры) защиты для активов.
Например, некоторые сетевые средства защиты имеет смысл использовать
только, если защищаемый актив находится в составе ЛВС
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 74
Порядок задания
Задание средств или мер защиты производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Описание системы
защиты/Средства (меры) защиты».
2.
В появившемся окне, возможно:
 добавление нового средства или меры защиты (см. Рисунок 4.33) в
следующем порядке:
i.
производится нажатие кнопки
защиты указывается:
. Для нового средства или меры
- наименование средства или меры,
- выбираются классы средств (мер) защиты, к которым принадлежит
данное средство (мера) защиты,
- указываются места возможной установки (применения) средства или
меры,
- указываются классы ИСПДн (уровни защищенности ИСПДн), на
которые рассчитано средство или мера,
- указывается тип – средство или мера защиты,
- для средств защиты дополнительно указываются:
 режимы доступа пользователей, на которые рассчитаны
средства (локальный или удаленный),
 режимы разграничения доступа, на которые рассчитаны
средства (равные или разные права),
 условия использования данного средства,
- указываются условия актуальности средства (меры) защиты для
активов,
- указываются типы активов, защиту ПДн в которых обеспечивает
данное средство (мера);
ii.
производится сохранение нового средства или меры по нажатию
кнопки «Сохранить»;
 удаление существующего средства или мер защиты в следующем порядке:
i.
в верхней части окна выделяется существующее средство или мера,
которую требуется удалить;
ii.
производится удаление средства или меры при нажатии кнопки
Privacy-SPS v.1.1
.
Руководство пользователя (020314-1.1.4.0-34)
Стр. 75
Рисунок 4.33 - Интерфейс «Средства (меры) защиты»
4.5.5 Партии средств защиты
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.15).
Таблица 4.15 - Зависимости процесса
№
п/п
1.
2.
Функция, от которой зависит процесс
Учет классов средств и мер защиты
Учет средств и мер защиты
Раздел
4.5.3
4.5.4
Интерфейс учета партий средств и мер защиты имеет своей целью:
 учесть наличие конкретных экземпляров средств защиты, которые в
дальнейшем могут быть установлены на конкретные технические средства
ИСПДн;
 учесть сроки начала и окончания действия сертификатов средств защиты
(при их наличии);
 дать возможность контроля окончания действия сертификатов средств
защиты, с целью заблаговременного их обновления.
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 76
Партии средств защиты заданные в интерфейсе могут быть экспортированы в файл
формата MS Excel.
Партии средств защиты задаются для конкретных средств заданных ранее в
интерфейсе «Средства (меры) защиты» (см. раздел 4.5.4).
Порядок задания
Задание средств или мер защиты производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Описание системы
защиты/Партии средств защиты».
2.
В появившемся окне, возможно:
 добавление новой партии средств защиты (см. Рисунок 4.34) в следующем
порядке:
i.
в строке меню производится нажатие кнопки «Добавить». Для новой
партии средств защиты:
- выбирается средство, заданное ранее, партию которого требуется
ввести,
- вводятся типы сертификатов, их номера на партию данного средства
защиты,
- вводятся дата получения и дата окончания действия каждого
сертификата. При необходимости вносится файл скан-копии
сертификата на средства защиты,
- в окне «Серийные номера»:
 по нажатию кнопки
, вводятся по очереди конкретные
номера средств защиты входящих в партию,
 при вводе порядковой группы номеров, по нажатию кнопки
, вводится начальный номер экземпляра средств защиты в
партии и количество номеров в партии,
 при выделении уже заданного номера и нажатии кнопки
производится удаление данного номера,
,
- в окне «Экземпляры»:
 при нажатии кнопки
вводится количество экземпляров
средств защиты в партии,
 при нажатии кнопки
производится удаление конкретного,
еще не установленного экземпляра средств защиты,

Перед удалением установленных экземпляров средств защиты их
требуется снять, см. раздел 4.5.6
 при нажатии кнопки
удаляется введенное количество еще
не установленных средств защиты,
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 77
ii.
производится сохранение новой партии средств по нажатию кнопки
«Сохранить»;
 удаление существующей партии средств защиты в следующем порядке:
i.
в верхней части окна выделяется существующая партия средств,
которую требуется удалить;
ii.
производится удаление партии при нажатии кнопки
.
Рисунок 4.34 - Интерфейс «Партии средств защиты»
4.5.6 Учет установленных средств защиты
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.16).
Таблица 4.16 - Зависимости процесса
№
п/п
1.
2.
3.
Функция, от которой зависит процесс
Учет средств и мер защиты
Задание партий сертифицированных средств защиты
Учет наименований офисов и помещений, адресов офисов
Privacy-SPS v.1.1
Раздел
4.5.4
4.5.5
4.4.4
Руководство пользователя (020314-1.1.4.0-34)
Стр. 78
№
п/п
4.
Функция, от которой зависит процесс
Раздел
Учет наименований, принадлежности активов к филиалам
4.4.2
Интерфейс учета установленных средств защиты имеет своей целью:
 учет наличия установленных средств защиты в ИС;
 документирование факта
установившего лица;
установки,
времени
установки,
личности
 документирование факта снятия средства, времени снятия, личности
снявшего;
 документирование места установки средства защиты:
- здания и помещения,
- актива, на котором установлено,
- в случае аппаратного средства, в каком месте информационной
системы оно установлено (между какими активами).

Интерфейс учета установленных средств защиты служит аналогом
бумажного журнала – каждая внесенная запись о факте и месте установки или
снятия не подлежит изменению. Данная функциональность позволяет применить к
данному журналу ФЗ «Об электронной подписи» с целью обеспечения
юридической значимости действий выполняемых в интерфейсе, что позволяет не
вести бумажные журналы учета установленных средств защиты
Порядок задания
Задание средств или мер защиты производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Описание системы
защиты/Учет установленных средств защиты».
2.
В появившемся окне, возможно:
 установить новое средство защиты (см. Рисунок 4.35) в следующем порядке:
i.
в верхней части окна (при необходимости) выбираются фильтры
позволяющие вывести только необходимые средства защиты:
- установленные на определенном активе, здании,
- определенного класса,
- наименования,
- партии,
- установленные, не установленные, снятые или все,
ii.
в разделе «Доступные экземпляры» выбирается конкретный экземпляр
средства, который требуется установить,
iii.
ниже производится нажатие кнопки «Установить»,
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 79
iv.
в нижней части окна производится задание:
- серийного номера средства, которое установлено,
- актива, на котором установлено средство (если средство предполагает
установку на данных активах),
- здания и помещения где установлено средство (если местом
установки выбран актив, то здание и помещение заполняется
автоматически),
- пары активов, между которыми установлено средство (если средство
является аппаратным и предполагает установку между чем-то и чемто),
v.
производится сохранение введенных данных по нажатию кнопки
;
 снятие ранее установленного средства защиты в следующем порядке:
i.
в верхней части окна (при необходимости) выбираются фильтры
позволяющие вывести только необходимые средства защиты,
ii.
в разделе «Доступные экземпляры» выбирается конкретный экземпляр
установленного средства, который требуется снять,
iii.
ниже производится нажатие кнопки «Снять»,
iv.
производится подтверждение снятия по нажатию кнопки
;
 просмотр истории установки и/или снятия данного средства защиты при
нажатии кнопки «История установок»;
 произвести генерацию журнала учета установленных на текущий момент
средств защиты по нажатию кнопки «Журнал» в верхней части окна;
 произвести генерацию журнала истории установки, снятия средств защиты
по нажатию кнопки «Журнал установки» в верхней части окна.
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 80
Рисунок 4.35 - Интерфейс «Учет установленных средств защиты»
4.5.7 Проверка эффективности установленных средств защиты
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.17).
Таблица 4.17 - Зависимости процесса
№
п/п
1.
Функция, от которой зависит процесс
Учет установленных средств защиты
Раздел
4.5.6
Интерфейс учета проведенных проверок эффективности установленных средств
защиты имеет своей целью:
 учет средств защиты, которые прошли процедуру проверки эффективности
(средства для которых проведены процедуры по проверке эффективности и
сгенерирован Акт о проверке эффективности, см. раздел 4.9.12);
 фиксацию даты проверки;
 дать возможность контроля средств защиты, которые еще не прошли
процедуру проверки эффективности.
Порядок задания
Задание средств или мер защиты производится в следующем порядке:
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 81
1.
В окне программы выберите пункт «Ввод данных/Описание системы
защиты/Проверка эффективности установленных средств защиты».
2.
В появившемся окне, возможно:
 установить отметку о проведенной проверке (см. Рисунок 4.36) в
следующем порядке:
i.
в верхней части окна (при необходимости) выбираются фильтры
позволяющие вывести только необходимые средства защиты:
- установленные на определенном активе, здании,
- определенного класса,
- наименования,
- партии,
- не проверенные, проверенные,
ii.
в разделе «Доступные экземпляры» выбирается конкретный экземпляр
средства, который прошел процедуру проверки эффективности,
iii.
для выбранного средства в правой части окна устанавливает отметка
«Готовность проверена»,
iv.
производится сохранение введенных данных по нажатию кнопки
верхней части окна;
в
 снять отметку о проведенной проверке эффективности (функция доступна
только Администратору системы).
Рисунок 4.36 - Интерфейс «Проверка эффективности установленных средств
защиты»
4.5.8 Учет ввода средств защиты в эксплуатацию
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.18).
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 82
Таблица 4.18 - Зависимости процесса
№
п/п
1.
Функция, от которой зависит процесс
Учет проведенных проверок эффективности
установленных средств защиты
Раздел
4.5.7
Интерфейс учета ввода средств защиты в эксплуатацию имеет своей целью:
 учет средств защиты, которые прошли процедуру ввода в эксплуатацию;
 фиксацию даты ввода в эксплуатацию;
 дать возможность учета и контроля средств защиты, которые еще не прошли
процедуру ввода в эксплуатацию.

Учету подлежат средства, которые прошли процедуру проверки
эффективности и по вводу в эксплуатацию которых имеется соответствующий
приказ
Порядок задания
Задание средств или мер защиты производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Описание системы
защиты/Учет ввода средств защиты в эксплуатацию».
2.
В появившемся окне (см. Рисунок 4.37), возможно:
 установить отметку о проведенной процедуре ввода в эксплуатацию:
i.
в верхней части окна (при необходимости) выбираются фильтры
позволяющие вывести только необходимые средства защиты:
- установленные на определенном активе, здании,
- определенного класса,
- наименования,
- партии,
- не проверенные, проверенные,
ii.
в разделе «Доступные экземпляры» выбирается конкретный экземпляр
средства, который прошел процедуру проверки эффективности,
iii.
в разделе «Доступные экземпляры» для выбранного средства в столбце
«Отметка о вводе в эксплуатацию» проставляется галочка о
проведенной процедуре ввода в эксплуатацию,
iv.
производится сохранение введенных данных по нажатию кнопки
верхней части окна;
в
 снять отметку о проведенной процедуре ввода в эксплуатацию (функция
доступна только Администратору системы).
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 83
Рисунок 4.37 - Интерфейс «Учет ввода средств защиты в эксплуатацию»
4.5.9 Учет наличия резервных копий ПДн
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.19).
Таблица 4.19 - Зависимости процесса
№
п/п
1.
Функция, от которой зависит процесс
Учет информационных массивов
Раздел
4.4.1
Интерфейс учета наличия резервных копий ПДн имеет своей целью:
 учет наличия резервирования ПДн обрабатываемых в информационных
массивах;
 предоставить информацию для контроля наличия резервных копий.

В интерфейсе учета наличия резервных копий ПДн отображаются
только массивы с автоматизированной обработкой ПДн
Порядок задания
Задание отметок о наличии резервных копий ПДн производится в следующем
порядке:
1.
В окне программы выберите пункт «Ввод данных/Описание системы
защиты/Учет наличия резервных копий ПДн».
2.
В появившемся окне (см. Рисунок 4.38), возможно:
 установить или снять отметки о наличии резервных копий ПДн:
i.
в левой части окна выбирается массив, для которого требуется
поставить отметку;
ii.
в правой части окна для выделенного массива может быть проставлена
(удалена) отметка о наличии резервной копии;
iii.
производится сохранение введенных данных по нажатию кнопки
«Сохранить» в верхней части окна.
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 84
Рисунок 4.38 - Интерфейс «Учет наличия резервных копий ПДн»
4.5.10 Контроль уровня защищенности ИСПДн
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.20).
Таблица 4.20 - Зависимости процесса
№
п/п
1.
2.
3.
4.
Функция, от которой зависит процесс
Учет, актуализация состава и иерархии филиалов
организации
Ввод, актуализация данных о составе ИСПДн организации
Учет информационных массивов
Учет наименований, принадлежности активов к филиалам
Раздел
4.2.1
4.3.11
4.4.1
4.4.2
Интерфейс учета проведенных контролей уровня защищенности имеет своей
целью:
 учет проведенных контролей уровня защищенности ИСПДн, массивов,
активов осуществляемый в соответствии с требованиями нормативных
актов;
 предоставить информацию для контроля регулярного проведения проверок
уровня защищенности.
Порядок задания
Задание отметок о проведенных контролях уровня защищенности производится в
следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Описание системы
защиты/Контроль уровня защищенности ИСПДн».
2.
В появившемся окне (см. Рисунок 4.39), возможно:
 установить или удалить дату проведенного контроля уровня защищенности
следующим образом:
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 85
i.
в верхней части окна производится:
- нажатие кнопки
для добавления даты проведения контроля
защищенности. В открывшемся окне указывается дата проведенного
контроля уровня защищенности,
- нажатие кнопки
для удаления ранее заведенной даты проведения
контроля защищенности;
ii.
в правой части окна выбираются филиалы, массивы, активы, ИСПДн,
которые были проверены в ходе контроля,
iii.
производится сохранение введенных данных по нажатию кнопки
«Сохранить» в верхней части окна.
Рисунок 4.39 - Интерфейс «Контроль уровня защищенности ИСПДн»
4.5.11 Ввод категорий лиц допущенных к ИСПДн
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.21).
Таблица 4.21 - Зависимости процесса
№
п/п
1.
Функция, от которой зависит процесс
Раздел
Ввод, актуализация данных о составе ИСПДн организации 4.3.11
Интерфейс ввода категорий лиц допущенных к ИСПДн имеет своей целью:
 определить категории лиц, которые имеют доступ к каждой из ИСПДн;
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 86
 предоставить информацию для ввода в модель угроз для данной ИСПДн
(при генерации соответствующего документа).
Порядок задания
Задание категорий лиц допущенных к ИСПДн производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Описание системы
защиты/Категории лиц допущенных ИСПДн».
2.
В появившемся окне (см. Рисунок 4.40), возможно:
Рисунок 4.40 - Интерфейс «Категории лиц допущенных ИСПДн»
 добавить или удалить категорию лиц по каждой ИСПДн следующим
образом:
i.
в левой части окна выбирается ИСПДн, для которой требуется
добавить (удалить) категорию;
ii.
в правой части окна для выделенной ИСПДн производится:
- нажатие кнопки
данной ИСПДн;
для удаления ранее заданной категории лиц для
- нажатие кнопки
для добавления категории лиц для данной
ИСПДн. В открывшемся окне (см. Рисунок 4.41) производится:
 выбор уже заданной категории лиц из справочника и задание
ее для ИСПДн при нажатии кнопки «Выбрать»,
 добавление новой категории лиц в «Справочник Категорий
лиц» при нажатии кнопки
. После чего вводится
наименование категории и ее описание, производится
сохранение категории по нажатию кнопки «Применить
изменения»,
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 87
 удаление существующей категории лиц из «Справочника
Категорий лиц» при нажатии кнопки ;
iii.
производится сохранение введенных данных по ИСПДн при нажатии
кнопки «Сохранить» в верхней части окна.
Рисунок 4.41 - Интерфейс «Справочник Категории лиц, допущенные к ИСПДн»
4.5.12 Области системы защиты
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.22).
Таблица 4.22 - Зависимости процесса
№
п/п
1.
2.
3.
4.
5.
6.
7.
8.
Функция, от которой зависит процесс
Учет наименований офисов и помещений, адресов офисов
Учет наименований, принадлежности активов к филиалам
Учет зданий и помещений для размещения активов
Учет наличия связей с другими активами
Учет принадлежности актива сторонним организациям,
количества локальных пользователей, доступа к активу
сторонних организаций
Учет информационных массивов, к которым обращается
актив
Учет информационных массивов, которые хранятся на
активе
Учет ИСПДн, к которым принадлежат актив
Privacy-SPS v.1.1
Раздел
4.4.4
4.4.2
4.4.2
4.4.2
4.4.2
4.4.2
4.4.2
4.4.2
Руководство пользователя (020314-1.1.4.0-34)
Стр. 88
№
п/п
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
Функция, от которой зависит процесс
Учет режима обработки информации на активе
(многопользовательский или однопользовательский)
По информационным массивам:
Учет наименований, принадлежности
автоматизированных информационных массивов к
филиалам, типов массивов
Учет активов, на которых размещены информационные
массивы, наличия доступа к массивам сторонних
организаций
Учет категорий информации содержащихся в массивах
Учет информационных массивов, с которыми имеется
связь, состава ПДн передаваемых между массивами
Учет характера разграничения доступа в массивах,
количества пользователей, характера доступа к массиву
Учет ИСПДн, к которым принадлежат массивы
Остальные:
Генерация модели угроз
Учет типов угроз
Учет угроз и их характеристик
Учет классов средств и мер защиты
Учет средств и мер защиты
Генерация акта определения уровня защищенности
ИСПДн
Ввод, актуализация справочника функций безопасности
Учет зависимостей функций безопасности от архитектуры
ИСПДн
Учет зависимостей функций безопасности от
характеристик технологических процессов
Учет зависимостей функций безопасности от класса и
уровня защищенности ИСПДн
Учет зависимостей функций безопасности от угроз
безопасности
Учет зависимостей функций безопасности от классов
средств защиты
Раздел
4.4.2
4.4.3
4.4.3
4.4.3
4.4.3
4.4.3
4.4.3
4.9.11
4.5.1
4.5.2
4.5.3
4.5.4
4.9.6
4.5.14
4.5.14
4.5.14
4.5.14
4.5.2
4.5.3
Интерфейс задания области системы защиты имеет своей целью
 задать состав средств и мер защиты, которые необходимы для защиты от
всех актуальных угроз для активов (АРМ, серверов и т.п.) входящим в
область,
 сформировать в отношении каждого актива перечень функций безопасности,
которые должны быть реализованы на данных активах.
Задание области системы защиты производится в следующем общем порядке:
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 89
 определяются защищаемые активы, входящие в область (активы, здания и
помещения), при этом, при выборе зданий и помещений в область
автоматически попадают все активы, которые расположены в данном
помещении (здании), а при выборе ИСПДн все активы входящие в данную
ИСПДн;
 уточняются ИСПДн входящие в область (например, может потребоваться не
учитывать требования по каким-либо ИСПДн, в которые входят активы);

Следует иметь в виду, что включить в область актив, который входил
в другую (ранее заданную область), возможно только после удаления ранее
заданной области. Кроме того, в область включаются только ИСПДн, для которых
имеется модель угроз
 после задания защищаемых активов автоматически:
- формируется полный перечень угроз, которые актуальны для активов
входящих в область. Выбор угроз производится посредством выбора
заданных выше ИСПДн и определения угроз актуальных для данных
ИСПДн (из заданных на этапе генерации Модели угроз, см. раздел
4.9.11);
- для каждой угрозы определяется перечень классов средств и мер
защиты, которые могут быть использованы для защиты от данных
угроз (из заданных в разделе 4.5.3);
- определяется полный перечень типов объектов входящих в область. В
состав типов могут входить, в том числе, следующие – персональный
компьютер, терминальный клиент, сервер приложений, сервер баз
данных, хранилище, помещение, здание;
- формируется полный перечень возможных пар «угроза – класс
средств и мер защиты – тип объекта»;
- для активов определяется требуемый режим разграничения доступа
(отдельно для локальных, отдельно для удаленных пользователей) и
режим
обработки
–
однопользовательский
или
многопользовательский (также отдельно для локальных, отдельно
для удаленных пользователей);
- на основе определенных характеристик, система предлагает средства
и меры защиты (из заданных в 4.5.4), которые могут быть применимы
для защиты данных типов объектов от данных угроз, при данном
режиме обработки и режиме разграничения доступа на активах, при
данном классе ИСПДн (уровне защищенности ИСПДн), в данном
классе средств защиты;
 аналитик осуществляет выбор средств и мер защиты, которые должны быть
использованы для защиты данных типов объектов.
При сохранении области системы защиты, по каждому активу, входящему в
область, определяются и сохраняются функции защиты, которые должны быть
реализованы в отношении данного актива.
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 90
Определение состава функций безопасности, которые должны быть реализованы на
активе, осуществляется автоматически, в следующем порядке:
1.
Функция применяется для защиты от какой-либо угрозы (см. раздел 4.5.2).
2.
Данная угроза актуальна для ИСПДн (см. раздел 4.9.11), в которые входит
актив, на основании моделей угроз разработанных для данных ИСПДн.
3.
Функция применима в отношении данного типа актива (см. раздел 4.5.2).
4.
Существует класс средств и мер защиты, который реализует данную функцию
(см. раздел 4.5.3).
5.
Какие-либо средства и меры защиты данного класса (см. раздел 4.5.4) указаны
в качестве необходимых для защиты активов данного типа от данной угрозы
(см. раздел 4.5.12).
6.
Если для функции заданы значения зависимости от классификации ИС,
архитектуры ИС, характеристик технологических процессов (см. раздел 4.5.14),
то дополнительно должны быть выполнены следующие условия:
 если для функции заданы значения зависимости от классификации ИС, то
функция будет применена в отношении актива, только если ИС, в которые
входит актив, имеют хоть один из указанных классов,
 если для функции заданы значения зависимости от архитектуры ИС, то
функция будет применена в отношении актива, только если ИС, в которые
входит актив или актив имеют хоть одну из данных характеристик,
 если для функции заданы значения зависимости от характеристик
технологических процессов, то функция будет применена в отношении
актива, только если актив участвует в процессах имеющих хоть одну из
данных характеристик,
 если для функции заданы значения зависимости от классификации ИС и
значения зависимости от архитектуры ИС и значение зависимости от
характеристик технологических процессов, то функция будет применена в
отношении актива, если выполняется хотя бы по одной из каждой группы
зависимостей.
Порядок задания
Задание области системы защиты производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Описание системы
защиты/Области системы защиты».
2.
В появившемся окне, возможно (см. Рисунок 4.42):
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 91
Рисунок 4.42 – Интерфейс «Область системы защиты»
 добавить новую область следующим образом:
i.
в верхней части окна нажать кнопку «Добавить»;
ii.
ввести наименование новой области в разделе «Наименование»;
iii.
выбрать активы, входящие в область. Выбор активов производится
произвольным заданием активов, зданий и помещений, ИСПДн
входящих в область;
iv.
уточнить ИСПДн входящие в область;
v.
при нажатии кнопки «Показать все» осуществляется автоматический
выбор угроз, типов объектов, классов средств защиты, средств защиты
применимых для объектов входящих в область;
vi.
производится выбор предпочтительных средств защиты для пар
«угроза – тип объекта – класс средств защиты – режим разграничения
прав доступа – режим обработки» посредством простановки галок в
правой части окна;
vii.
производится сохранение области при нажатии кнопки «Сохранить» в
верхней части окна. При сохранении автоматически формируется
перечень необходимых функций защиты по каждому активу
входящему в область.
 удалить существующую область при нажатии кнопки «Удалить в верхней
части окна».
4.5.13 Учет наличия официального описания системы защиты
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.23).
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 92
Таблица 4.23 - Зависимости процесса
№
п/п
1.
Функция, от которой зависит процесс
Раздел
Задание области системы защиты
4.5.12
Интерфейс учета наличия официального описания системы защиты имеет своей
целью:
 учет того, что для области системы защиты сгенерировано описание
системы защиты (см. раздел 4.9.12), и это описание системы защиты
подписано уполномоченным лицом, т.е. в данной форме проставляется
отметка о наличии официального документа;
 обеспечить возможность контроля наличия подписанного описания системы
защиты.
Порядок задания
Задание наличия официального описания системы защиты производится в
следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Описание системы
защиты/Простановка отметки о наличии официального описания».
2.
В появившемся окне (см. Рисунок 4.43), возможно:
 проставить или удалить отметку по каждой области системы защиты
следующим образом:
i.
в окна выделяется область системы защиты, для которой требуется
проставить или удалить отметку;
ii.
в правой части окна для выделенной
простановка или удаление отметки;
iii.
производится сохранение введенной (удаленной) отметки при нажатии
кнопки «Сохранить» в верхней части окна.
Privacy-SPS v.1.1
области
производится
Руководство пользователя (020314-1.1.4.0-34)
Стр. 93
Рисунок 4.43 - Интерфейс «Простановка отметки о наличии официального
описания»
4.5.14 Функции безопасности
Принципы использования
Интерфейс задания справочника функций безопасности имеет своей целью:
 задать функции, которые могут быть внесены в различные документы при
их генерации, например, описание системы защиты (см. раздел 4.9.12) или в
документы, предназначенные по контролю эффективности, определяющие
какие функции должны быть проверены,
 определить необходимый состав функций по защите ПДн, который должна
выполнять система защита ПДн, в зависимости от архитектуры защищаемой
информационной системы, классификации ИСПДн (уровня защищенности),
характеристик процессов проходящих на активах.
Применение функции безопасности зависят от характеристик, представленных в
следующей таблице (см. Таблица 4.24).
Таблица 4.24 – Характеристики ИСПДн
№
п/п
Характе
ристика
1.
Классиф
икация
ИС
2.
Архитек
тура ИС
Принимаемые
значения
УЗ-1, УЗ-2, УЗ-3, УЗ4,
ИСПДн-Д, ИСПДн-И,
ИСПДн-С, ИСПДн-Б
Характеристика
активов –
Использование
съемных носителей
Privacy-SPS v.1.1
Описание
Данная характеристика задается при
классификации ИСПДн в разделе 4.9.1 и
определении уровня защищенности в разделе
4.9.6
Функция с данной характеристикой будет
применена, если на защищаемом активе
проставлена отметка об использовании
съемных носителей (см. раздел 4.4.2)
Руководство пользователя (020314-1.1.4.0-34)
Стр. 94
№
п/п
Характе
ристика
3.
Принимаемые
значения
Характеристика
активов –
Использование
технологий
виртуализации
4.
Характеристика ИС –
Вывод ПДн на печать
5.
Характеристика ИС –
Многопользовательск
ий режим
6.
Характеристика ИС –
Наличие выхода в
сеть общего
пользования
7.
Характеристика ИС –
Разные права доступа
8.
Характеристика ИС –
Распределенная ИС
Описание
Функция с данной характеристикой будет
применена, если на защищаемом активе
проставлена отметка о его виртуальности (см.
раздел 4.4.2)
Функция с данной характеристикой будет
применена, если ИСПДн является ИСПДн со
смешанной обработкой (см. раздел 4.3.11)
Функция с данной характеристикой будет
применена, если в ИСПДн более чем один
актив и один информационный массив, к
которому имеет доступ один пользователь
Функция с данной характеристикой будет
применена, если в ИСПДн имеются
физические связи между активами ИСПДн и
активом с именем «Интернет» (см. раздел
4.4.2)
Функция с данной характеристикой будет
применена, если хоть для одного
информационного массива ИСПДн указано,
что пользователи имеют разные права
доступа (локальные или удаленные)
Функция с данной характеристикой будет
применена, если:
- активы ИСПДн расположены по разным
адресам (см. раздел 4.4.2),
«И»
- между активами расположенными по
разным адресам имеется физическая связь
(см. раздел 4.4.2),
«И»
- существует:
 обращение с актива к ИМ
расположенному на активе с другим
адресом (см. раздел 4.4.2),
«ИЛИ»
 имеется связь между массивами
расположенными на активах с
разными адресами (см. раздел 4.4.3),
«ИЛИ»
 один и тот же ИМ расположен на
активах с разным адресом4 (см. раздел
4.4.3).
В данном случае подразумевается, что один и тот же информационный массив находится на
разных активах, но между частями такого ИМ осуществляется постоянная синхронизация, например,
осуществляется резервирование базы данных
4
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 95
№
п/п
9.
Характе
ристика
Принимаемые
значения
Характе
ристики
технолог (произвольные
ических значения)
процессо
в
Описание
Функция с данной характеристикой будет
применена, если:
- данная характеристика назначена
технологическому процессу (см. раздел
4.3.9),
«И»
- актив, в отношении которого определяются
функции безопасности, участвует в данном
процессе (см. раздел 4.4.2).
Порядок задания
Задание справочника функций безопасности производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Описание системы
защиты/Функции безопасности».
2.
В появившемся окне (см. Рисунок 4.44), в строке меню, можно отфильтровать
перечень функций по ключевому слову.
Рисунок 4.44 – Интерфейс «Функции безопасности»
3.
В строке меню, вы можете:
 добавить новую функцию нажатием кнопки
, после чего:
- указать наименование функции,
- указать подсистему, в которую входит функция,
- задать зависимости применения функции от архитектуры ИСПДн,
- задать зависимости применения функции от классификаций ИС,
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 96
- задать зависимости применения
технологических процессов.
функции
от
характеристик
 удалить имеющуюся функцию, выделив ее в окне и нажав кнопку
4.
.
Сохраните изменения, нажав кнопку «Сохранить».
4.5.15 Учет эксплуатационной и технической документации
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.25).
Таблица 4.25 - Зависимости процесса
№
п/п
1.
Функция, от которой зависит процесс
Учет, актуализация состава и иерархии филиалов
организации
Раздел
4.2.1
Интерфейс учета эксплуатационной и технической документации имеет своей
целью:
 выполнить нормативные требования по учету эксплуатационной и
технической документации на средства защиты ПДн.
Порядок задания
Учет эксплуатационной и технической документации производится в следующем
порядке:
1.
В окне программы выберите пункт «Ввод данных/Описание системы
защиты/Учет эксплуатационной и технической документации».
2.
В появившемся окне, возможно:
 учесть наличие новой документации (см. Рисунок 4.45) в следующем
порядке:
i.
в верхней части окна выбирается филиал, в котором ведется учет
документации;
ii.
в верхней части окна производится нажатие кнопки «Добавить»;
iii.
для нового документа вводится:
- наименование документа,
- номер документа,
- при необходимости, в состав СУБ можно включить файл документа;
iv.
производится сохранение введенных данных по нажатию кнопки
«Сохранить»;
 удалить ранее заведенный документ в следующем порядке:
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 97
i.
в верхней части окна выбирается филиал, в котором ведется учет
документации;
ii.
выбирается конкретный документ, который требуется удалить,
iii.
производится нажатие кнопки «Удалить»;
 произвести генерацию журнала учета эксплуатационной и технической
документации по нажатию кнопки «Журнал» в верхней части окна;
 открыть файл документа по нажатию кнопки «Открыть файл» в верхней
части окна.
Рисунок 4.45 - Интерфейс «Учет эксплуатационной и технической документации»
4.5.16 Учет носителей ПДн
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.26).
Таблица 4.26 - Зависимости процесса
№
п/п
1.
2.
3.
Функция, от которой зависит процесс
Учет, актуализация состава и иерархии филиалов
организации
Ввод состава и иерархии структурных подразделений
организации
Учет сотрудников
Раздел
4.2.1
4.2.3
4.6.1
Интерфейс учета носителей ПДн имеет своей целью:
 выполнить нормативные требования по учету носителей ПДн.
Порядок задания
Учет носителей ПДн производится в следующем порядке:
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 98
1.
В окне программы выберите пункт «Ввод данных/Описание системы
защиты/Учет носителей ПДн».
2.
В появившемся окне, возможно:
 учесть появление нового носителя (см. Рисунок 4.46) нажатием кнопки
«Добавить», после чего:
i.
выбирается филиал, структурное подразделение, в котором ведется
учет носителей;
ii.
выбирается или вводится при отсутствии ранее заданного тип носителя
(НЖМД, Flash, CD/DVD и т.п.),
iii.
вводится серийный (или инвентарный) номер носителя,
iv.
выбирается пользователь носителя (в поле «Пользователь») из ранее
заданных;
v.
производится сохранение введенных данных по нажатию кнопки «Ок»;
 изъять ранее выданный носитель в следующем порядке:
i.
в верхней части окна, при необходимости, производится настройка
фильтров по типу носителя, имени пользователя, изъятию;
ii.
выделяется конкретный носитель, который требуется изъять;
iii.
производится нажатие кнопки «Изъять»;
 произвести генерацию журнала учета носителей ПДн по нажатию кнопки
«Журнал» в верхней части окна.
Рисунок 4.46 - Интерфейс «Учет носителей ПДн»
4.5.17 Учет нештатных ситуаций
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.27).
Таблица 4.27 - Зависимости процесса
№
п/п
1.
2.
3.
Функция, от которой зависит процесс
Учет, актуализация состава и иерархии филиалов
организации
Учет сотрудников
Учет угроз и их характеристик
Privacy-SPS v.1.1
Раздел
4.2.1
4.6.1
4.5.2
Руководство пользователя (020314-1.1.4.0-34)
Стр. 99
Интерфейс учета нештатных ситуаций имеет своей целью:
 обеспечить централизованный учет нештатных ситуаций,
 собрать статистику по нештатным ситуациям.
Порядок задания
Учет нештатных ситуаций производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Описание системы
защиты/Учет нештатных ситуаций».
2.
В появившемся окне, возможно:
 учесть появление новой нештатной ситуации (см. Рисунок 4.47) в
следующем порядке:
i.
в верхней части окна выбирается филиал, в котором ведется учет
нештатных ситуаций;
ii.
в верхней части окна, при необходимости, производится настройка
фильтров по типу нештатной ситуации, диапазона дат;
iii.
в верхней части окна производится нажатие кнопки «Добавить»;
iv.
для новой нештатной ситуации вводится:
- тип нештатной ситуации (или выбирается из ранее заданных),
- дата обнаружения нештатной ситуации,
- ответственный за расследование, обработку нештатной ситуации (из
ранее заданных сотрудников),
- производится добавление объектов подверженных нештатной
ситуации при нажатии кнопки «Добавить» в разделе «Объекты,
подверженные нештатной ситуации» или их удаление при нажатии
кнопки «Удалить»,
- вводится описание нештатной ситуации (при необходимости),
- в разделе «Документы, относящиеся к нештатной ситуации» вводятся
данных об актах, протоколах связанных с нештатной ситуацией. При
нажатии кнопки «Добавить» вводится наименование документа, его
номер, дата, описание,
- в разделе «Угрозы, которые привели к нештатной ситуации»,
указываются угрозы, которые привели к инциденту;
v.
производится сохранение введенных данных по нажатию кнопки
«Сохранить» в верхней части окна;
 удалить ранее заданную нештатную ситуацию в следующем порядке:
i.
в верхней части окна выбирается филиал, в котором ведется учет
нештатных ситуаций;
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 100
ii.
в верхней части окна, при необходимости, производится настройка
фильтров по типу нештатной ситуации, диапазона дат;
iii.
выделяется ранее заданная нештатная ситуация, которую требуется
удалить;
iv.
производится нажатие кнопки «Удалить».
Рисунок 4.47 - Интерфейс «Учет нештатных ситуаций»
4.5.18 Учет ключевых документов к СКЗИ
Принципы использования
Интерфейс учета ключевых документов к СКЗИ имеет своей целью:
 обеспечить учет ключевых документов СКЗИ в электронном виде в
соответствии с требованиями ФСБ России.
Интерфейс учета ключевых документов реализован с использованием электронной
подписи и не позволяет изменять внесенные данные.
Порядок задания
Учет ключевых документов к СКЗИ производится в следующем порядке:
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 101
1. В окне программы выберите пункт «Ввод данных/Описание системы
защиты/Учет ключевых документов к СКЗИ».
2. В появившемся окне, возможно:
 поставить на учет новый ключевой документ (см. Рисунок 4.48) в
следующем порядке:
i.
в верхней части окна выбирается филиал, в котором ведется учет
документов;
ii.
в верхней части окна, при необходимости, производится настройка
фильтра по имени ключевого документа;
iii.
в верхней части окна производится нажатие кнопки «Добавить»;
iv.
для нового ключевого документа задается:
- наименование документа,
- серия,
- номер документа;
v.
если документ получен от сторонней организации, проставляется
отметка «Получены» и указывается:
- наименование отправителя,
- дата письма,
- номер письма;
vi.
если документ выдан, проставляется отметка «Выданы»;
vii.
если документ изъят, проставляется отметка «Изъяты» и указывается:
- номер и дата акта об уничтожении;
viii.
производится сохранение введенных данных по нажатию кнопки
«Сохранить» в верхней части окна;
 удалить ранее заданный ключевой документ в следующем порядке:
i.
в верхней части окна выбирается филиал, в котором ведется учет;
ii.
выделяется ранее заданный ключевой документ, который требуется
удалить;
iii.
производится нажатие кнопки «Удалить».
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 102
Рисунок 4.48 - Интерфейс «Учет ключевых документов к СКЗИ»
4.5.19 Учет лицевых счетов пользователей СКЗИ
Принципы использования
Интерфейс учета лицевых счетов пользователей СКЗИ имеет своей целью:
 обеспечить учет лицевых счетов пользователей СКЗИ в электронном виде в
соответствии с требованиями ФСБ России.
Интерфейс учета лицевых счетов пользователей СКЗИ реализован
использованием электронной подписи и не позволяет изменять внесенные данные.
с
Порядок задания
Учет лицевых счетов пользователей к СКЗИ производится в следующем порядке:
1. В окне программы выберите пункт «Ввод данных/Описание системы
защиты/Учет лицевых счетов пользователей СКЗИ».
2. В появившемся окне, возможно:
 поставить на учет лицевой счет нового пользователя СКЗИ (см. Рисунок
4.49) в следующем порядке:
i.
в верхней части окна выбирается подразделение, в котором числится
сотрудник, либо должность сотрудника для которого ведется учет
лицевых счетов;
ii.
в верхней части окна, при необходимости, производится настройка
фильтра по имени сотрудника;
iii.
в разделе «Сотрудники» производится нажатие кнопки
добавления нового сотрудника;
iv.
в разделе «СКЗИ» для выбранного сотрудника производится при
нажатии кнопки
, добавление наименований конкретных СКЗИ из
заданных в разделе 4.5.4, которые выданы пользователю, а при нажатии
кнопки
добавление новой записи, с произвольным наименованием
СКЗИ. При этом вводится:
для
- номер выданного СКЗИ, документации к СКЗИ,
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 103
- наименования СКЗИ,
- отметка о выдаче СКЗИ пользователю,
- отметка о возврате СКЗИ.
v.
производится сохранение введенных данных по нажатию кнопки
«Сохранить» в верхней части окна;
 удалить (для сотрудника с ролью Администратор системы) ведение учета
для ранее заданного сотрудника в следующем порядке:
i.
в левой части окна выбирается сотрудник, для которого ведется учет;
ii.
выделяется ранее заданное СКЗИ, которое требуется удалить;
iii.
производится нажатие кнопки
.
Рисунок 4.49 - Интерфейс «Учет лицевых счетов пользователей СКЗИ»
Работа с сотрудниками и субъектами ПДн
4.6
4.6.1 Учет сотрудников
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.28).
Таблица 4.28 - Зависимости процесса
№
п/п
1.
2.
3.
Функция, от которой зависит процесс
Ввод состава и иерархии структурных подразделений
организации
Учет наименований офисов и помещений, адресов офисов
Ввод состава должностей используемых в организации
Раздел
4.2.3
4.4.4
4.2.5
Интерфейс учета сотрудников имеет своей целью:
 предоставить справочник лиц, на которых будут возложены различные
функциональные обязанности по защите ПДн и поддержке процессов
обработки ПДн;
 дать возможность учета лиц допущенных к ПДн;
 дать возможность учета носителей выданных конкретному пользователю.
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 104
Минимально достаточными данными по сотруднику является:
 ФИО;
 должность;
 структурное подразделение, в котором числится.
Порядок задания
Учет сотрудников производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Работа с сотрудниками и
субъектами ПДн/Учет сотрудников».
2.
В появившемся окне фильтра, возможно, вывести данные только по
сотрудникам определенных подразделений и/или должностей, и/или ФИО (см.
Рисунок 4.50).
Рисунок 4.50 – Фильтр по сотрудникам
3.
В появившемся окне, возможно:
 изменить параметры фильтра (см. Рисунок 4.51), при нажатии кнопки
;
 добавить нового сотрудника в следующем порядке:
Рисунок 4.51 - Интерфейс «Учет сотрудников»
i.
в верхней части окна производится нажатие кнопки «Добавить»,
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 105
ii.
в окне задания нового сотрудника (см. Рисунок 4.52) вводится:
- ФИО сотрудника,
- структурное подразделение, в
(выбирается из ранее заданных),
котором
числится
сотрудник
- при необходимости, офис (здание), в котором работает сотрудник
(выбирается из ранее заданных),
- должность сотрудника (выбирается из ранее заданных);
iii.
производится сохранение введенных данных по нажатию кнопки
«Сохранить» в верхней части окна;
Рисунок 4.52 - Интерфейс «Задание нового сотрудника»
 удалить ранее заданного сотрудника (см. Рисунок 4.51) в следующем
порядке:
i.
выделяется лицо, которое требуется удалить,
ii.
в верхней части окна производится нажатие кнопки «Удалить»;
 редактировать данные ранее заданного сотрудника по нажатию кнопки
«Редактировать».
4.6.2 Учет лиц допущенных к информационным массивам
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.28).
Таблица 4.29 - Зависимости процесса
№
п/п
1.
2.
3.
4.
5.
Функция, от которой зависит процесс
Учет наименований, принадлежности
автоматизированных информационных массивов к
филиалам, типов массивов
Учет наименований, принадлежности не
автоматизированных информационных массивов к
филиалам, типа массивов
Учет ФИО, паспортных данных субъектов ПДн
Ввод состава должностей используемых в организации
Ввод состава и иерархии структурных подразделений
организации
Privacy-SPS v.1.1
Раздел
4.4.3
4.4.3
4.6.3
4.2.5
4.2.3
Руководство пользователя (020314-1.1.4.0-34)
Стр. 106
Интерфейс учета лиц, допущенных к ИМ, имеет своей целью:
 обеспечить выполнение нормативных требований связанных с учетом лиц
допущенных к ПДн.
Учет лиц может вестись либо посредством указания полных данных физического
лица (ФИО, должность, структурное подразделение), либо указанием обобщенных данных
(должность, структурное подразделение).
Порядок задания
Учет лиц, допущенных к ИМ, производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Работа с сотрудниками и
субъектами ПДн/Учет лиц допущенных к информационным массивам».
2.
В появившемся окне, возможно:
 добавить лицо, допущенное к ИМ (см. Рисунок 4.53) в следующем порядке:
i.
в левой части окна выбирается ИМ, к которому требуется добавить
доступ,
ii.
для ИМ выбирается:
- либо лицо из заданного ранее списка физических лиц (при этом
заполнение
поля
должности,
структурного
подразделения
осуществляется автоматически),
- либо выбирается только должность и структурное подразделение (из
ранее заданных);
iii.
производится нажатие кнопки «Добавить»,
iv.
для данного лица в правой части окна возможно:
- указать виды (права) доступа, которые он имеет к данному ИМ,
- выбрать
дополнительные
объекты
доступа
в
данном
информационном массиве, к которым он имеет доступ (заданные в
разделе 4.4.3),
- указать виды (права) доступа, которыми он обладает по отношению к
выбранным дополнительным объектам доступа,
v.
производится сохранение введенных данных по нажатию кнопки
«Сохранить» в верхней части окна;
 удалить ранее заданное лицо в следующем порядке:
i.
в левой части окна выбирается ИМ, к которому требуется удалить
доступ,
ii.
выделяется лицо, которое требуется удалить,
iii.
производится нажатие кнопки «Удалить».
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 107
Рисунок 4.53 - Интерфейс «Учет лиц допущенных к информационным массивам»
4.6.3 Учетная база данных субъектов ПДн
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.30).
Таблица 4.30 - Зависимости процесса
№
п/п
1.
2.
3.
4.
5.
6.
Функция, от которой зависит процесс
Общие
Ввод, актуализация полного и краткого наименования
организации
Задание типов документов удостоверяющих личность
Ввод состава и иерархии структурных подразделений
организации
Учет наименований офисов и помещений, адресов офисов
Ввод состава должностей используемых в организации
Информационные массивы
Учет наименований информационных массивов
Privacy-SPS v.1.1
Раздел
4.2.1
4.2.6
4.2.3
4.4.4
4.2.5
4.4.3
Руководство пользователя (020314-1.1.4.0-34)
Стр. 108
№
п/п
7.
8.
9.
10.
11.
12.
13.
Функция, от которой зависит процесс
Учет категорий лиц и составов ПДн содержащихся в
массивах
Учет технологических процессов, в которых участвуют
массивы
Технологические процессы
Ввод, актуализация нормативных оснований обработки
ПДн
Ввод, актуализация технологических процессов обработки
ПДн
Ввод, актуализация дат характеризующих начало отчета
до срока окончания обработки ПДн по целям обработки
ПДн (характерных дат)
Учет лиц допущенных к информационным массивам
Работа с субъектами ПДн
Учет порядка защиты субъектом ПДн своих прав,
принятия решений, возможных юридических последствий
обработки ПДн
Раздел
4.4.3
4.4.3
4.3.12
4.3.9
4.3.15
4.6.2
4.6.8
Интерфейс учета субъектов ПДн имеет своей целью:
 обеспечить выполнение нормативных требований связанных с работой с
субъектами ПДн (генерация уведомлений, согласий на обработку ПДн,
контроль необходимости уничтожения ПДн и т.д.);
 дать возможность организации учета и контроля, полученных и переданных
субъектам ПДн форм согласий, уведомлений, разъяснений.
Интерфейс учета субъектов ПДн содержит значительное количество функций,
возможность выполнения которых, а также корректность выполнения зависит от ранее
введенных данных через другие интерфейсы. Детальный состав зависимостей показан в
следующей таблице (см. Таблица 4.31).
Таблица 4.31 - Зависимости функций учета субъектов ПДн
№
п/п
1.
2.
Функция
интерфейса
Характер зависимости
Задание
субъекта ПДн
При задании субъекта ПДн
необходим ввод данных о
реквизитах документа
удостоверяющего личность и
принадлежности его ПДн к
определенным информационным
массивам
Задание
субъекта ПДн
являющегося
сотрудником
При задании сотрудника
необходимо указывать его
структурное подразделение,
должность, офис (опционально), в
котором работает
Privacy-SPS v.1.1
Функция, от которой
зависит выполнение
Задание типов документов
удостоверяющих личность
Учет наименований
информационных массивов
Ввод состава и иерархии
структурных подразделений
организации
Учет наименований офисов и
помещений, адресов офисов
Ввод состава должностей
используемых в организации
Раздел
4.2.6
4.4.3
4.2.3
4.4.4
4.2.5
Руководство пользователя (020314-1.1.4.0-34)
Стр. 109
№
п/п
3.
4.
5.
Функция
интерфейса
Характер зависимости
Автоматическо
е определение
необходимости
получения с
субъекта
согласия на
обработку ПДн
Определение производится для
конкретного субъекта ПДн в
следующем порядке:
1. определяются информационные
массивы, в которых содержатся
ПДн субъекта (из свойств
указанных для данного субъекта,
см. п. 1 настоящей таблицы),
2. из характеристик
информационных массивов
определяются бизнес-процессы, в
которых они участвуют,
3. выбираются бизнес-процессы,
состав ПДн в которых пересекается
с составом ПДн указанным для
информационных массивов,
4. среди выбранных бизнеспроцессов по каждой паре
«Категория лиц» – «Состав ПДн»
определяется наличие таких целей
обработки ПДн, которые имеют
нормативные основания требующие
получения согласия на обработку
ПДн. При наличии таких целей, для
данного субъекта определяется
необходимость генерации согласия
Генерация
формы
согласия на
обработку ПДн
Автоматическо
е определение
лиц, которым
надо
разъяснить
порядок
принятия
решений при
Privacy-SPS v.1.1
Генерация формы согласия
производится для пар «Категория
лиц» – «Состав ПДн» и целей
обработки, которые имеют
нормативное основание требующее
получения согласия на обработку
ПДн (процесс определения таких
ПДн см. в п.3 настоящей таблицы).
Если для субъекта ПДн заданы
доверенные лица, в форму вносятся
данные доверенного лица.
На основании информационных
массивов, технологических
процессов, нормативных оснований
определяется третьи лица, которым
ПДн могут быть поручены на
обработку, максимальный срок
обработки ПДн
Определение производится для
конкретного субъекта ПДн в
следующем порядке:
1. определяются информационные
массивы, в которых содержатся
ПДн субъекта (из свойств
указанных для данного субъекта,
см. п. 1 настоящей таблицы),
Функция, от которой
зависит выполнение
Учет наименований
информационных массивов
Учет категорий лиц и
составов ПДн содержащихся
в массивах
Учет технологических
процессов, в которых
участвуют массивы
Ввод, актуализация
технологических процессов
обработки ПДн
Ввод, актуализация
нормативных оснований
обработки ПДн
Учет доверенных лиц
субъектов ПДн
Учет наименований
информационных массивов
Учет категорий лиц и
составов ПДн содержащихся
в массивах
Учет технологических
процессов, в которых
участвуют массивы
Ввод, актуализация
технологических процессов
обработки ПДн
Ввод, актуализация
нормативных оснований
обработки ПДн
Ввод, актуализация дат
характеризующих начало
отчета до срока окончания
обработки ПДн по целям
обработки ПДн (характерных
дат)
Учет наименований
информационных массивов
Учет категорий лиц и
составов ПДн содержащихся
в массивах
Учет технологических
процессов, в которых
участвуют массивы
Раздел
4.4.3
4.4.3
4.4.3
4.3.9
4.3.12
4.6.12
4.4.3
4.4.3
4.4.3
4.3.9
4.3.12
4.3.15
4.4.3
4.4.3
4.4.3
Руководство пользователя (020314-1.1.4.0-34)
Стр. 110
№
п/п
Функция
интерфейса
исключительно
автоматизиров
анной
обработке и
порядок
защиты
субъектом ПДн
своих прав и
законных
интересов
Задание
характерной
даты5 по
данному
субъекту ПДн
и анализ
необходимости
уничтожения
ПДн субъекта
ПДн
6.
Генерация
Разъяснения
порядка
принятия
решений при
исключительно
автоматизиров
анной
7.
5
Характер зависимости
2. из характеристик
информационных массивов
определяются бизнес-процессы, в
которых они участвуют,
3. по выбранным бизнес-процессам
определяются составы ПДн,
которые пересекаются с составом
ПДн указанным для
информационных массивов,
4. для выбранных составов ПДн
определяется наличие указанного
способа использования ПДн
«принятие решений порождающих
юридические последствия…».
Задание производится для
конкретного субъекта ПДн в
следующем порядке:
1. определяются информационные
массивы, в которых содержатся
ПДн субъекта (из свойств
указанных для данного субъекта,
см. п. 1 настоящей таблицы),
2. из характеристик
информационных массивов
определяются бизнес-процессы, в
которых они участвуют,
3. по выбранным бизнес-процессам
определяются составы ПДн,
которые пересекаются с составом
ПДн указанным для
информационных массивов,
4. среди выбранных пар
«Категория лиц» – «Состав ПДн»
определяется наличие таких целей
обработки ПДн и нормативных
оснований, для которых заданы
характерные даты
Определение характерной даты
производится посредством
соотнесения целей обработки ПДн
(раздел 4.3.9) с характерными
датами заданными по каждой цели и
нормативному основанию обработки
ПДн (раздел 4.3.15)
Генерация разъяснения может
осуществляться для субъектов ПДн,
по которым определена такая
необходимость (см. п. 5 настоящей
таблицы)
Определяются информационные
массивы, с которыми связан процесс
имеющий способ использования
Функция, от которой
зависит выполнение
Ввод, актуализация
технологических процессов
обработки ПДн
Учет наименований
информационных массивов
Учет категорий лиц и
составов ПДн содержащихся
в массивах
Учет технологических
процессов, в которых
участвуют массивы
Ввод, актуализация
технологических процессов
обработки ПДн
Ввод, актуализация
нормативных оснований
обработки ПДн
Ввод, актуализация дат
характеризующих начало
отчета до срока окончания
обработки ПДн по целям
обработки ПДн (характерных
дат)
Учет наименований
информационных массивов
Учет категорий лиц и
составов ПДн содержащихся
в массивах
Учет технологических
процессов, в которых
участвуют массивы
Раздел
4.3.9
4.4.3
4.4.3
4.4.3
4.3.9
4.3.12
4.3.15
4.4.3
4.4.3
4.4.3
Дата, с которой начинается отсчет максимального срока обработки ПДн данного субъекта ПДн в
ИСПДн
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 111
№
п/п
8.
9.
Функция
интерфейса
обработке и
порядка
защиты
субъектом ПДн
своих прав и
законных
интересов
Автоматическо
е определение
необходимости
отправки
субъекту ПДн
уведомления о
предполагаемо
й обработке его
ПДн
Генерация
Уведомления
субъекта ПДн о
предполагаемо
й обработке его
ПДн
Характер зависимости
ПДн «принятие решений на
основании исключительно
автоматизированной обработке» и
для которых задается порядок
защиты субъектом ПДн своих прав,
принятия решения, возможные
юридические последствия при такой
обработке ПДн (см. 4.6.8)
Определение производится для
конкретного субъекта ПДн в
следующем порядке:
1. определяются информационные
массивы, в которых содержатся
ПДн субъекта (из свойств
указанных для данного субъекта,
см. п. 1 настоящей таблицы),
2. из характеристик
информационных массивов
определяются бизнес-процессы, в
которых они участвуют,
3. по выбранным бизнес-процессам
определяются составы ПДн,
которые пересекаются с составом
ПДн указанным для
информационных массивов,
4. среди выбранных пар
«Категория лиц» – «Состав ПДн»
определяется наличие таких,
которые получены «от третьих лиц»
и цели обработки которых не
имеют нормативных оснований, не
требующих уведомления, см. 4.3.12)
Для субъектов ПДн, по которым
определена необходимость
генерации Уведомления (см. п. 8
настоящей таблицы) вставляются в
форму:
1. цели обработки ПДн (см. 4.3.9),
которые завязаны на способ
использования ПДн «получение
ПДн от третьих лиц»,
2. на основании целей определяются
нормативные основания обработки
(см. 4.3.12),
3. на основании ИМ, в которых
обрабатываются данные субъекта,
определяются должности лиц
допущенных к ПДн (см. 4.6.1).
Функция, от которой
зависит выполнение
Учет ИСПДн, к которым
принадлежат массивы
Ввод, актуализация
технологических процессов
обработки ПДн
Учет порядка защиты
субъектом ПДн своих прав,
принятия решений,
возможных юридических
последствий обработки ПДн
Учет наименований
информационных массивов
Учет категорий лиц и
составов ПДн содержащихся
в массивах
Учет технологических
процессов, в которых
участвуют массивы
Учет оснований для отказа в
предоставлении сведений об
ИСПДн
Ввод, актуализация
технологических процессов
обработки ПДн
Ввод, актуализация
нормативных оснований
обработки ПДн
Учет наименований
информационных массивов
Учет категорий лиц и
составов ПДн содержащихся
в массивах
Учет технологических
процессов, в которых
участвуют массивы
Ввод, актуализация
нормативных оснований
обработки ПДн
Учет лиц допущенных к
информационным массивам
Ввод, актуализация
технологических процессов
обработки ПДн
Раздел
4.4.3
4.3.9
4.6.8
4.4.3
4.4.3
4.4.3
4.6.14
4.3.9
4.3.12
4.4.3
4.4.3
4.4.3
4.3.12
4.6.2
4.3.9

Состав используемых возможностей в конкретной организации
может отличаться и зависит от сложившейся практики работы с ПДн
Порядок задания
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 112
Учет субъектов ПДн производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Работа с сотрудниками и
субъектами ПДн/Учетная база данных субъектов ПДн».
2.
В появившемся окне фильтра (см. Рисунок 4.54), возможно, вывести данные:

по субъектам ПДн или только по сотрудникам,
 с определенными ФИО,
 с определенными паспортными данными,

определенных подразделений и/или должностей,
 по дополнительным полям,
 находящиеся во внешней базе данных.

При простановке отметки «Искать во внешней базе данных», по
заданным ФИО и/или паспортным данным, осуществляется поиск субъекта в базе
данных системы и во внешней базе данных. К внешним базам данных относятся
базы данных, для которых в интерфейсе импорта проставлена отметка «Прямое
обращение», т.е. данные из таких баз данных загружаются в систему не полностью,
а по отдельным субъектам ПДн заданным в фильтре. Поиск по таким базам данных
может занимать длительное время ввиду низкой производительности каналов
связи, большого объема таких баз данных или иных ограничений
Рисунок 4.54 – Фильтр по субъектам ПДн
3.
В появившемся окне, возможно:
 изменить параметры фильтра (см. Рисунок 4.55), при нажатии кнопки
;
 добавить нового субъекта ПДн в следующем порядке:
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 113
Рисунок 4.55 - Интерфейс «Учетная база данных субъектов ПДн»
i.
в верхней части окна производится нажатие кнопки «Добавить»,
ii.
в окне задания нового субъекта ПДн (см. Рисунок 4.56) вводится:
- ФИО субъекта ПДн,
- в поле «Документы»
личность,
реквизиты
документа
удостоверяющего
- в поле «Адреса», адрес регистрации субъекта ПДн,
- если поставлена отметка, что субъект ПДн является сотрудников:
- структурное подразделение, в котором числится сотрудник
(выбирается из ранее заданных),
- при необходимости, офис (здание), в котором работает
сотрудник (выбирается из ранее заданных),
- должность сотрудника (выбирается из ранее заданных);
- информационные
массивы,
в
которых
обрабатываются
(предполагается обрабатывать) ПДн субъекта ПДн;
iii.
производится сохранение введенных данных по нажатию кнопки
«Сохранить» в верхней части окна;
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 114
Рисунок 4.56 - Интерфейс «Задание нового субъекта ПДн»
 удалить ранее заданного субъекта ПДн (см. Рисунок 4.55) в следующем
порядке:
i.
выделяется лицо, которое требуется удалить,
ii.
в верхней части окна производится нажатие кнопки
;
 редактировать данные ранее заданного субъекта ПДн по нажатию кнопки
«Изменить»;
 проставить для субъекта ПДн отметку об уничтожении его ПДн в
информационном массиве, в столбце «Отметка об уничтожении ПДн». При
этом автоматически проставляется дата простановки отметки;
 проставить для субъекта ПДн отметку о получении с него Согласия на
обработку ПДн в столбце «Есть согласие на обработку»;
 проставить для субъекта ПДн отметку о необходимости получения Согласия
на общедоступность ПДн в столбце «Необходимо согласие на
общедоступность»;
 проставить для субъекта ПДн отметку о получении Согласия на
общедоступность ПДн в столбце «Есть согласие на общедоступность»;
 проставить для субъекта ПДн отметку об отправке ему Разъяснения порядка
принятия решений при исключительно автоматизированной обработке и
порядка защиты субъектом ПДн своих прав и законных интересов в столбце
«Есть отметка об отправке Разъяснения»;
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 115
 проставить для субъекта ПДн отметку об отправке ему Уведомления о
предполагаемой обработке его ПДн в столбце «Отправлено уведомление о
предполагаемой обработке ПДн»;
 осуществить генерацию необходимых форм документов при нажатии
кнопки «Печать».
4.6.4 Утверждающие и согласующие лица
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.32).
Таблица 4.32 - Зависимости процесса
№
п/п
Функция, от которой зависит процесс
Раздел
Учет, актуализация состава и иерархии филиалов
организации
Ввод состава и иерархии структурных подразделений
организации
Учет сотрудников
1.
2.
3.
4.2.1
4.2.3
4.6.1
Интерфейс задания утверждающих и согласующих документы лиц имеет своей
целью:
 определить ответственных за согласование и утверждение различных
документов по вопросам защиты ПДн и поддержки процессов обработки
ПДн;
 дать возможность автоматической простановки
согласующих лиц в соответствующие документы.
утверждающих
и
Структура интерфейса позволяет задать разных ответственных по филиалам и
структурным подразделениям организации, либо одного ответственного для организации
в целом для разных видов документов, детальное описание распределения документов и
ответственных представлено в следующей таблице (см. Таблица 4.33).
Таблица 4.33 – Распределение ответственных по филиалам и СП
№
п/п
1.
Акт классификации ИСПДн
2.
Акт контроля защищенности
3.
Модель угроз
Заключения, приказы на ввод
средств защиты в эксплуатацию
Описание системы защиты
Приказы по вопросам защиты и
обработки ПДн
4.
5.
6.
Наименование документа
Privacy-SPS v.1.1
Место назначения ответственных
за утверждение и согласование
Организация в целом
Организация в целом
Филиал
Организация в целом
Организация в целом
Филиал
Организация в целом
Организация в целом
Структурное подразделение
Руководство пользователя (020314-1.1.4.0-34)
Стр. 116
№
п/п
7.
8.
9.
Наименование документа
Акт о пропуске посетителей на
территорию организацию
Перечень ПДн
Акт определения уровня
защищенности ИСПДн
Место назначения ответственных
за утверждение и согласование
Организация в целом
Структурное подразделение
Организация в целом
Организация в целом
При автоматической генерации ряда приказов по физическим лицам (например, о
допуске лиц к ПДн), если лица принадлежат разным структурным подразделениям,
автоматически выбирается утверждающее лицо по структурному подразделению
включающему все остальные.
Например, если к ПДн допускаются два сотрудника, принадлежащие разным
отделам, в каждом из которых есть назначенный ответственный за утверждение
приказа, то в общий приказ утверждающим войдет вышестоящее лицо, например,
назначенное по департаменту включающему оба отдела. В противном случае
необходимо делать отдельный приказ на каждое СП.
При автоматической генерации документов по активам и средствам защиты
используются следующие правила выбора утверждающих и согласующих лиц:
 если все активы (или средства защиты) находятся в одном филиале и в
данном филиале для данного документа не заданы утверждающие или
согласующие лица, то в документ вставляются утверждающие и
согласующие лица заданные по основной организации,
 если все активы (или средства защиты) находятся в одном филиале и в
данном филиале для данного документа задан хоть один утверждающий или
согласующий сотрудник, то в документ вставляются утверждающие и
согласующие лица заданные только по данному филиалу,
 если активы (или средства защиты) принадлежат разным филиалам или
только основной организации, то в документ вставляются утверждающие и
согласующие лица заданные по основной организации.
Порядок задания
Задание утверждающих и согласующих документы лиц производится в следующем
порядке:
1.
В окне программы выберите пункт «Ввод данных/Работа с сотрудниками и
субъектами ПДн/Утверждающие и согласовывающие лица».
2.
В появившемся окне осуществляется выбор организации в целом, филиала или
структурного подразделения, в котором необходимо назначить (удалить)
ответственного за согласование, утверждение документа, если такая
возможность предусмотрена для документа (см. Рисунок 4.57).
3.
В появившемся окне, возможно:
 добавить нового сотрудника, для которого будет назначена роль в
следующем порядке:
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 117
i.
в верхней части окна производится нажатие кнопки «Добавить»,
ii.
осуществляется выбор нужного сотрудника в интерфейсе «Учет
сотрудников», после чего нажимается кнопка «Выбрать»,
iii.
выбирается
документ,
ответственным,
iv.
для заданного сотрудника, по документу, по которому он назначен
ответственным, выбирается роль, которую он выполняет для данного
документа (зависит от вида документа),
v.
производится сохранение введенных данных по нажатию кнопки
«Сохранить» в верхней части окна;
по
которому
сотрудник
назначен
 удалить роль для ранее заданного сотрудника, посредством ее выделения и
нажатия кнопки «Удалить».
Рисунок 4.57 - Интерфейс «Утверждающие и согласовывающие лица»
4.6.5 Учет прохождения обучения и ознакомления с правилами обработки
ПДн
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.34).
Таблица 4.34 - Зависимости процесса
№
п/п
1.
Функция, от которой зависит процесс
Учет сотрудников
Раздел
4.6.1
Интерфейс учета прохождения обучения и ознакомления с правилами обработки
ПДн имеет своей целью:
 обеспечить учет обученных и ознакомленных лиц;
 дать возможность контроля прохождения обучения и ознакомления.
Прохождения обучения и ознакомление с правилами необходимо в отношении лиц,
которые допущены к обработке ПДн.
Порядок задания
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 118
Учет прохождения обучения и ознакомления с правилами обработки ПДн
производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Работа с сотрудниками и
субъектами ПДн/Учет прохождения обучения и ознакомления с правилами
обработки ПДн».
2.
В появившемся окне (см. Рисунок 4.58) возможно:
 выбрать фильтры ограничивающие состав показываемых допущенных к
ПДн лиц (по СП, ФИО или состоянию обучения, по наличию допуска к
ИМ);

Лица, которые допущены к каким-либо информационным массивам,
выделены в интерфейсе белым цветом
 проставить для конкретного лица, отметку о прохождении обучения или
ознакомлении с правилами обработки ПДн, в следующем порядке:
i.
выделяется лицо, для которого требуется поставить отметку,
ii.
в столбце «Правила обработки изучены» и/или «Обучение пройдено»
проставляется соответствующая отметка,
iii.
производится сохранение введенных данных по нажатию кнопки
«Сохранить» в верхней части окна;
 удалить информацию о прохождении обучения или ознакомлении с
правилами обработки ПДн от ранее отмеченного субъекта ПДн,
посредством его выделения и снятия необходимых отметок с последующим
нажатием кнопки «Сохранить».
Рисунок 4.58 - Интерфейс «Учет прохождения обучения и ознакомления с
правилами обработки ПДн»
4.6.6 Учет лиц ответственных за безопасность ИСПДн
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.35).
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 119
Таблица 4.35 - Зависимости процесса
№
п/п
1.
2.
Функция, от которой зависит процесс
Раздел
Учет сотрудников
4.6.1
Ввод, актуализация данных о составе ИСПДн организации
4.3.11
и операций с ПДн
Интерфейс учета лиц ответственных за безопасность ИСПДн имеет своей целью:
 определить состав лиц ответственных за обеспечение безопасности;
 дать возможность сформировать приказ о назначении ответственных.
Интерфейс учета лиц ответственных за безопасность ИСПДн может быть
использован следующим способом:
 ответственные лица могут задаваться как по каждой ИСПДн, так и в целом
по организации (один ответственный за все ИСПДн);
 ответственные могут задаваться как конкретные физические лица, так и
структурные подразделения.
Порядок задания
Учет лиц ответственных за безопасность ИСПДн производится в следующем
порядке:
1.
В окне программы выберите пункт «Ввод данных/Работа с сотрудниками и
субъектами ПДн/Учет лиц ответственных за безопасность ИСПДн».
2.
В появившемся окне (см. Рисунок 4.59) производится в строке меню выбор
варианта назначения ответственных:
 «Один ответственный за все ИСПДн»,
 «Разные ответственные за каждую ИСПДн».
3.
В случае выбора варианта «Один ответственный за все ИСПДн» возможно:
 указать конкретное физическое лицо в качестве ответственного, в
следующем порядке:
i.
в нижней части окна в строке «ФИО» нажимается кнопка
ii.
в появившемся интерфейсе «Учет сотрудников» осуществляется
выделение нужного сотрудника, либо при необходимости
производится задание нового сотрудника (см. раздел 4.6.1), после чего
нажимается кнопка «Выбрать»,
iii.
производится сохранение введенных данных по нажатию кнопки
«Сохранить» в верхней части окна;
,
 указать в качестве ответственного лица, структурное подразделение в
следующем порядке:
i.
в нижней части окна в строке «Подразделение» нажимается кнопка
Privacy-SPS v.1.1
,
Руководство пользователя (020314-1.1.4.0-34)
Стр. 120
ii.
в появившемся интерфейсе осуществляется выделение нужного
подразделения, после чего нажимается кнопка «Ок»,
iii.
производится сохранение введенных данных по нажатию кнопки
«Сохранить» в верхней части окна;
 удалить ответственного при нажатии кнопки «Удалить»;
4.
В случае выбора варианта «Разные ответственные за каждую ИСПДн»
возможно:
 добавить конкретное физическое лицо в качестве ответственного, в
следующем порядке:
i.
в верхней части окна нажать кнопку «Добавить»,
ii.
в появившемся окне выбрать ИСПДн, для которой надо назначить
ответственного, нажать кнопку «Ок»,
iii.
в нижней части окна, в строке «ФИО» нажимается кнопка
iv.
в появившемся интерфейсе «Учет сотрудников» осуществляется
выделение нужного сотрудника, либо при необходимости
производится задание нового сотрудника (см. раздел 4.6.1), после чего
нажимается кнопка «Выбрать»,
v.
производится сохранение введенных данных по нажатию кнопки
«Сохранить» в верхней части окна;
,
 указать в качестве ответственного лица, структурное подразделение, в
следующем порядке:
i.
в верхней части окна нажать кнопку «Добавить»,
ii.
в появившемся окне выбрать ИСПДн, для которой надо назначить
ответственного, нажать кнопку «Ок»,
iii.
в нижней части окна в строке «Подразделение» нажимается кнопка
iv.
в появившемся интерфейсе осуществляется выделение нужного
подразделения, после чего нажимается кнопка «Ок»,
v.
производится сохранение введенных данных по нажатию кнопки
«Сохранить» в верхней части окна;
,
 удалить ответственного после его выделения и нажатия кнопки «Удалить».
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 121
Рисунок 4.59 - Интерфейс «Учет лиц ответственных за безопасность ИСПДн»
4.6.7 Учет лиц ответственных за ведение и сохранность журнала пропуска
посетителей в подразделениях
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.36).
Таблица 4.36 - Зависимости процесса
№
п/п
1.
2.
Функция, от которой зависит процесс
Учет сотрудников
Ввод состава и иерархии структурных подразделений
организации
Раздел
4.6.1
4.2.3
Интерфейс учета лиц ответственных за ведение и сохранность журнала пропуска
посетителей в подразделениях имеет своей целью:
 задать ответственных лиц, которые будут вставлены в генерируемый акт о
пропуске посетителей по каждому структурному подразделению,
 задать порядок пропуска посетителя на территорию, на которой находится
оператор без подтверждения подлинности ПДн сообщенных субъектом
ПДн.
Ответственное лицо может быть задано:
 в целом по организации,
 по отдельным структурным подразделениям.

Порядок пропуска посетителя на территорию, на которой находится
оператор, без подтверждения подлинности ПДн сообщенных субъектом ПДн,
задается один раз, только в целом по организации
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 122
Порядок задания
Учет ответственных лиц производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Работа с сотрудниками и
субъектами ПДн/Учет лиц ответственных за ведение и сохранность журнала
пропуска».
2.
В появившемся окне (см. Рисунок 4.60), возможно:
 задать ответственного в целом по организации в следующем порядке:
i.
в разделе «Подразделения» убрать указание о конкретном структурном
подразделении,
ii.
нажать кнопку «Добавить»,
iii.
в появившемся интерфейсе «Учет сотрудников» осуществляется
выделение нужного сотрудника, после чего нажимается кнопка
«Выбрать»,
iv.
в разделе «Порядок пропуска субъекта ПДн на территорию, на которой
находится оператор без подтверждения подлинности ПДн сообщенных
субъектом ПДн» указать конкретный порядок пропуска,
v.
произвести сохранение введенных данных при нажатии кнопки
«Сохранить»;
 задать ответственного в конкретном структурном подразделении, в
следующем порядке:
i.
в разделе «Подразделения» указать структурное подразделение, для
которого требуется задать ответственного,
ii.
нажать кнопку «Добавить»,
iii.
в появившемся интерфейсе «Учет сотрудников» осуществляется
выделение нужного сотрудника, после чего нажимается кнопка
«Выбрать»,
iv.
в разделе «Порядок пропуска субъекта ПДн на территорию, на которой
находится оператор без подтверждения подлинности ПДн сообщенных
субъектом ПДн» указать конкретный порядок пропуска,
v.
произвести сохранение введенных данных при нажатии кнопки
«Сохранить».
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 123
Рисунок 4.60 - Интерфейс «Пропуск субъектов ПДн на территорию оператора»
4.6.8 Порядок защиты прав, принятия решений
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.37).
Таблица 4.37 - Зависимости процесса
№
п/п
1.
2.
3.
Функция, от которой зависит процесс
Раздел
Ввод, актуализация технологических процессов обработки
4.3.9
ПДн
Учет наименований, принадлежности
автоматизированных информационных массивов к
4.4.3
филиалам, типов массивов
Учет наименований, принадлежности не
автоматизированных информационных массивов к
4.4.3
филиалам, типа массивов
Интерфейс учета порядка защиты субъектом ПДн своих прав, принятия решений,
возможных юридических последствий обработки ПДн имеет своей целью:
 определить по каждому информационному массиву порядок принятия
решений, защиты субъектом ПДн своих прав, возможные юридические
последствия, которые могут быть автоматически вставлены в документ
«Разъяснение
порядка
принятия
решений
при
исключительно
автоматизированной обработке и порядка защиты субъектом ПДн своих
прав и законных интересов» (см. раздел 4.6.3).
Указанные порядки имеют смысл только для ИМ, с которыми связан процесс с
заданным способом использования ПДн «принятие решений, порождающих юридические
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 124
последствия для субъектов ПДн, на основании исключительно автоматизированной
обработки» (см. 4.3.9).
Порядок задания
Учет порядка защиты субъектом ПДн своих прав, принятия решений, возможных
юридических последствий обработки ПДн, производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Работа с сотрудниками и
субъектами ПДн/Порядок защиты прав/принятия решений в ИСПДн».
2.
В появившемся окне (см. Рисунок 4.61):
a) выбирается ИМ по нажатию кнопки «Добавить», для которого требуется
задать порядок;
b) вводится порядок принятия решений, порядок защиты субъектом ПДн своих
прав, возможные юридические последствия для субъекта ПДн связанные с
автоматизированной обработкой его ПДн;
c) производится сохранение введенных
«Сохранить» в верхней части окна.
данных
по
нажатию
кнопки
Рисунок 4.61 - Интерфейс «Порядок защиты прав/принятия решений в ИСПДн»
4.6.9 Учет возражений на принятие решений несущих юридические
последствия на основании исключительно автоматизированной
обработки
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.38).
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 125
Таблица 4.38 - Зависимости процесса
№
п/п
1.
2.
3.
4.
5.
6.
7.
Функция, от которой зависит процесс
Учет ФИО, паспортных данных субъектов ПДн
Ввод, актуализация полного и краткого наименования
организации
Учет наименований, принадлежности
автоматизированных информационных массивов к
филиалам, типов массивов
Учет наименований, принадлежности не
автоматизированных информационных массивов к
филиалам, типа массивов
Учет категорий лиц и составов ПДн содержащихся в
массивах
Учет технологических процессов, в которых участвуют
массивы
Ввод состава и иерархии процессов обработки ПДн в
организации
Раздел
4.6.3
4.2.1
4.4.3
4.4.3
4.4.3
4.4.3
4.3.9
Интерфейс учета возражений на принятие решений несущих юридические
последствия на основании исключительно автоматизированной обработки имеет своей
целью:
 обеспечить учет получения возражений на принятие решение;
 дать возможность внести результаты рассмотрения возражения;
 дать возможность контроля необходимости отправки «Уведомления
субъекта ПДн о результатах рассмотрения возражения на принятие решений
несущих юридические последствия на основании исключительно
автоматизированной обработки»;
 вести учет отправленных «Уведомлений субъекта ПДн о результатах
рассмотрения возражения…»;
 дать возможность генерации документа «Уведомление субъекта ПДн о
результатах рассмотрения возражения…».
При задании возражений задаются ИМ против обработки ПДн в которых получено
возражение. Список таких ИМ определяется в следующем порядке:
 выбирается список процессов обработки ПДн заданных в интерфейсе
«Технологические процессы», для которых задан способ использования
«принятие решений, порождающих юридические последствия для субъектов
ПДн, на основании исключительно автоматизированной обработки»,
 для выбранных процессов определяется список ИМ, в которых они
участвуют, которые заданы в интерфейсе «Информационные массивы».
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 126
Порядок задания
Учет возражений на принятие решений несущих юридические последствия на
основании исключительно автоматизированной обработки производится в следующем
порядке:
1.
В окне программы выберите пункт «Ввод данных/Работа с сотрудниками и
субъектами ПДн/Учет возражений на принятие автоматизированных
решений».
2.
В появившемся окне (см. Рисунок 4.62) необходимо:
 добавить нового субъекта ПДн, который подал возражение в следующем
порядке:
i.
в верхней части окна производится нажатие кнопки «Добавить»,
ii.
в появившемся интерфейсе «Учетная база данных субъектов ПДн»
осуществляется выделение нужного субъекта ПДн, после чего
нажимается кнопка «Выбрать»,
iii.
производится сохранение введенных данных по нажатию кнопки
«Сохранить» в верхней части окна;
 выбрать ИМ, против обработки ПДн в котором подано возражение;
 после рассмотрения возражения в нижней части окна по каждому субъекту
ПДн, в поле «Результат рассмотрения возражения» внести текст с
результатами рассмотрения возражения в формате, который может быть
вставлен в уведомление субъекту ПДн,
 удалить информацию о получении возражения от ранее внесенного субъекта
ПДн, посредством его выделения и нажатия кнопки «Удалить»;
 проставить отметку об отправке «Уведомление субъекта ПДн о результатах
рассмотрения возражения…»;
 осуществить генерацию документа «Уведомление субъекта ПДн о
результатах рассмотрения возражения на принятие решений несущих
юридические
последствия
на
основании
исключительно
автоматизированной обработки» при нажатии кнопки «Печать» в верхней
части окна.
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 127
Рисунок 4.62 - Интерфейс «Учет возражений на принятие автоматизированных
решений»
4.6.10 Учет заявлений об исключении ПДн из общедоступных источников
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.39).
Таблица 4.39 - Зависимости процесса
№
п/п
1.
2.
Функция, от которой зависит процесс
Учет ФИО, паспортных данных субъектов ПДн
Ввод, актуализация справочника категорий лиц, ПДн
которых обрабатываются в ИС организации
Раздел
4.6.3
4.3.1
Интерфейс учета заявлений об исключении ПДн из общедоступных источников
имеет своей целью:
 учет получения заявлений на исключение ПДн из состава общедоступных
источников;
 вести контроль необходимости исключения ПДн из состава общедоступных
источников.
Порядок задания
Учет заявлений об исключении ПДн из общедоступных источников производится в
следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Работа с сотрудниками и
субъектами ПДн/Учет заявлений об исключении ПДн из общедоступных
источников».
2.
В появившемся окне (см. Рисунок 4.63) возможно:
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 128
 добавить нового субъекта ПДн, который подал заявление в следующем
порядке:
i.
в верхней части окна производится нажатие кнопки «Добавить»,
ii.
в появившемся интерфейсе «Учетная база данных субъектов ПДн»
осуществляется выделение нужного субъекта ПДн, либо при
необходимости производится задание нового субъекта ПДн (см. раздел
4.6.3), после чего нажимается кнопка «Выбрать»,
iii.
в нижней части окна, при необходимости, указывается категория (все
категории) лица, от которого получено заявление,
iv.
производится сохранение введенных данных по нажатию кнопки
«Сохранить» в верхней части окна;
 удалить информацию о получении заявления от ранее внесенного субъекта
ПДн, посредством его выделения и нажатия кнопки «Удалить».
Рисунок 4.63 - Интерфейс «Учет заявлений об исключении ПДн из общедоступных
источников»
4.6.11 Учет жалоб и запросов на уточнение, дополнение ПДн, а также о
неправомерных действиях оператора
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.40).
Таблица 4.40 - Зависимости процесса
№
п/п
1.
2.
Функция, от которой зависит процесс
Учет ФИО, паспортных данных субъектов ПДн
Ввод, актуализация полного и краткого наименования
организации
Privacy-SPS v.1.1
Раздел
4.6.3
4.2.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 129
№
п/п
3.
Функция, от которой зависит процесс
Выбор, актуализация данных о субъекте РФ, в котором
находится подразделение Уполномоченного органа по
защите прав субъектов ПДн и в который подается
Уведомление об обработке ПДн
Раздел
4.2.1
Интерфейс учета жалоб и запросов на уточнение, дополнение ПДн, а также о
неправомерных действиях оператора имеет своей целью:
 обеспечить учет получения жалоб и запросов от субъектов ПДн и
регулирующего органа;
 дать возможность контроля сроков отправки «Уведомления об актуализации
персональных данных, устранении нарушений, уничтожении персональных
данных»;
 дать возможность задать дату подтверждения факта осуществления
неправомерных действий, с которой начинается отсчет времени на
устранение нарушений;
 дать возможность контроля необходимости отправки «Уведомления об
актуализации персональных данных, устранении нарушений, уничтожении
персональных данных»;
 вести учет отправленных «Уведомлений об актуализации персональных
данных, устранении нарушений, уничтожении персональных данных».
Автоматически формируемое «Уведомление об актуализации персональных
данных, устранении нарушений, уничтожении персональных данных» включает:
 подтверждение факта дополнения ПДн, в случае если в интерфейсе по
содержанию запроса указано, что «ПДн являются неполными»,
 подтверждение факта актуализации ПДн, в случае если в интерфейсе по
содержанию запроса указано, что «ПД являются устаревшими,
недостоверными»,
 сообщение об уничтожении ПДн, в случае если в интерфейсе по
содержанию запроса указано, что «ПДн обрабатываются неправомерно» и
отметка об устранении нарушений не проставлена,
 сообщение об устранении нарушений, в случае если в интерфейсе по
содержанию запроса указано, что «ПДн обрабатываются неправомерно» и
проставлена отметка об устранении нарушений.
Порядок задания
Учет жалоб и запросов производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Работа с сотрудниками и
субъектами ПДн/Учет жалоб и запросов на уточнение/дополнение ПДн».
2.
В появившемся окне (см. Рисунок 4.64) возможно:
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 130
 добавить нового субъекта ПДн, который подал жалобу, запрос в следующем
порядке:
i.
в верхней части окна производится нажатие кнопки «Добавить»,
ii.
в появившемся интерфейсе «Учетная база данных субъектов ПДн»
осуществляется выделение нужного субъекта ПДн, либо при
необходимости производится задание нового субъекта ПДн (см. раздел
4.6.3), после чего нажимается кнопка «Выбрать»,
iii.
указывается содержание запроса из следующих:
- ПДн являются неполными,
- ПДн являются устаревшими, недостоверными,
- ПДн обрабатываются неправомерно.
iv.
в случае если запрос отправлен Уполномоченным органом по правам
субъектов ПДн, проставляется соответствующая отметка в столбце
«Запрос отправлен уполномоченным органом»,
v.
производится сохранение введенных данных по нажатию кнопки
«Сохранить» в верхней части окна;
 удалить информацию о получении обращения от ранее внесенного субъекта
ПДн, посредством его выделения и нажатия кнопки ;
 проставить дату подтверждения факта осуществления неправомерных
действий в столбце «Дата подтверждения факта неправомерных действий»
(если запрос включает жалобу на неправомерные действия);
 по результатам рассмотрения жалобы, запроса, возможно:
- проставить отметку,
устранения),
что
нарушения
устранены
(по
факту
- проставить отметку об уничтожении ПДн (если нарушения не могли
быть устранены),
- осуществить генерацию документа «Уведомление об актуализации
персональных данных, устранении нарушений, уничтожении
персональных данных» при нажатии кнопки «Печать» в верхней
части окна,
- проставить отметку об отправке «Уведомление об актуализации
персональных данных, устранении нарушений, уничтожении
персональных данных»;
Рисунок 4.64 - Интерфейс «Учет жалоб и запросов на уточнение/дополнение ПДн»
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 131
4.6.12 Учет доверенных лиц субъектов ПДн
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.41).
Таблица 4.41 - Зависимости процесса
№
п/п
1.
Функция, от которой зависит процесс
Учет ФИО, паспортных данных субъектов ПДн
Раздел
4.6.3
Интерфейс учета доверенных лиц имеет своей целью задания лиц, которые
действуют по доверенности или иным документам от имени субъектов ПДн и дать
возможность вставить их данные в форму Согласия на обработку ПДн.
Порядок задания
Учет доверенных лиц производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Работа с сотрудниками и
субъектами ПДн/Учет доверенных лиц субъектов ПДн».
2.
В появившемся окне, возможно:
 добавить новое доверенное лицо в следующем порядке:
Рисунок 4.65 - Интерфейс «Учет доверенных лиц субъектов ПДн»
i.
в верхней части окна производится нажатие кнопки «Добавить» (см.
Рисунок 4.65),
ii.
в окне задания нового доверенного лица (см. Рисунок 4.66):
- выбирается субъект ПДн – доверенное лицо,
- в поле «Субъекты ПДн, от имени которых действует» выбирается
субъект ПДн, который является доверителем и реквизиты документа,
по которому он доверяет;
iii.
производится сохранение введенных данных по нажатию кнопки
«Сохранить» в верхней части окна;
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 132
Рисунок 4.66 - Интерфейс «Добавление доверенного лица»
 удалить ранее заданное доверенное лицо в следующем порядке:
i.
выделяется лицо, которое требуется удалить,
ii.
в верхней части окна производится нажатие кнопки
;
 редактировать данные ранее заданного доверенного лица по нажатию
кнопки «Изменить».
4.6.13 Учет обращений субъектов ПДн на ознакомление с характером
обрабатываемых ПДн
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.42).
Таблица 4.42 - Зависимости процесса
№
п/п
1.
2.
3.
4.
5.
6.
Функция, от которой зависит процесс
Ввод, актуализация полного и краткого наименования
организации
Учет ФИО, паспортных данных субъектов ПДн
Учет наименований, принадлежности
автоматизированных информационных массивов к
филиалам, типов массивов
Учет наименований, принадлежности не
автоматизированных информационных массивов к
филиалам, типа массивов
Учет оснований для отказа в предоставлении сведений об
ИМ
Ввод, актуализация технологических процессов обработки
ПДн
Privacy-SPS v.1.1
Раздел
4.2.1
4.6.3
4.4.3
4.4.3
4.6.14
4.3.9
Руководство пользователя (020314-1.1.4.0-34)
Стр. 133
№
п/п
7.
8.
Функция, от которой зависит процесс
Раздел
Ввод, актуализация дат характеризующих начало отчета
до срока окончания обработки ПДн по целям обработки
ПДн (характерных дат)
Ввод порядка осуществления субъектом ПДн своих прав
4.3.15
4.2.1
Интерфейс учета обращений на ознакомление с характером обрабатываемых ПДн
имеет своей целью:
 обеспечить учет получения обращений на ознакомление с характером
обрабатываемых ПДн;
 дать возможность контроля сроков отправки «Уведомления субъекта ПДн о
характере процессов обработки его ПДн»;
 дать возможность контроля необходимости отправки
субъекта ПДн о характере процессов обработки его ПДн»;
«Уведомления
 вести учет отправленных «Уведомлений субъекта ПДн…»;
 дать возможность генерации документа «Уведомления субъекта ПДн о
характере процессов обработки его ПДн».
Автоматически формируемое «Уведомление субъекта ПДн о характере процессов
обработки его ПДн» включает:
 либо полные данные по ИМ, в которых обрабатываются ПДн субъекта ПДн;
 либо сведения об отсутствии процессов обработки ПДн субъекта (в случае,
если его ПДн отсутствуют в ИМ);
 либо, в случае если, во всех ИМ, где обрабатываются ПДн субъекта,
существуют основания для отказа в предоставлении сведений (например,
запрет установлен федеральным законом) формируется уведомление с
отказом в предоставлении сведений.
Порядок задания
Учет обращений на ознакомление
производится в следующем порядке:
с
характером
обрабатываемых
ПДн
1.
В окне программы выберите пункт «Ввод данных/Работа с сотрудниками и
субъектами ПДн/Учет обращений на ознакомление с характером ПДн».
2.
В появившемся окне (см. Рисунок 4.67) возможно:
 добавить нового субъекта ПДн, который подал обращение в следующем
порядке:
i.
в верхней части окна производится нажатие кнопки «Добавить»,
ii.
в появившемся интерфейсе «Учетная база данных субъектов ПДн»
осуществляется выделение нужного субъекта ПДн, либо при
необходимости производится задание нового субъекта ПДн (см. раздел
4.6.3), после чего нажимается кнопка «Выбрать»,
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 134
iii.
производится сохранение введенных данных по нажатию кнопки
«Сохранить» в верхней части окна;
 удалить информацию о получении обращения от ранее внесенного субъекта
ПДн, посредством его выделения и нажатия кнопки «Удалить»;
 проставить отметку об отправке «Уведомления субъекта ПДн о характере
процессов обработки его ПДн»;
 внести данные подтверждающие участие субъекта ПДн в отношениях с
оператором;
 осуществить генерацию документа «Уведомления субъекта ПДн о характере
процессов обработки его ПДн» при нажатии кнопки «Печать» в верхней
части окна.
Рисунок 4.67 - Интерфейс «Учет обращений на ознакомление с характером ПДн»
4.6.14 Учет оснований для отказа в предоставлении сведений об ИМ
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.43).
Таблица 4.43 - Зависимости процесса
№
п/п
1.
2.
Функция, от которой зависит процесс
Учет наименований, принадлежности
автоматизированных информационных массивов к
филиалам, типов массивов
Учет наименований, принадлежности не
автоматизированных информационных массивов к
филиалам, типа массивов
Раздел
4.4.3
4.4.3
Интерфейс учета оснований для отказа в предоставлении сведений об ИМ имеет
своей целью:
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 135
 обеспечить, при необходимости, возможность внесения в «Уведомления
субъекта ПДн о характере процессов обработки его ПДн» основания для
отказа в предоставлении ему информации о процессах обработки его ПДн.
Порядок задания
Учет оснований для отказа в предоставлении сведений об ИМ производится в
следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Работа с сотрудниками и
субъектами ПДн/Основания для отказа в предоставлении сведений об ИМ».
2.
В появившемся окне (см. Рисунок 4.68), в строке меню, выберите
«Редактирование».
Рисунок 4.68 – Интерфейс «Основания для отказа в предоставлении сведений
об ИМ»
3.
В появившемся окне, задание оснований для отказа производится в следующем
порядке:
a) в левой части окна выделяется ИМ, для которого надо задать основания для
отказа;
b) в правой части окна производится задание справочника возможных причин
отказа, следующим образом:
i.
нажимается кнопка «Изменить»,
ii.
в открывшемся окне справочника причин отказов задаются новые
причины нажатием кнопки , после чего необходимо:
- указать текст причины отказа,
- при необходимости указать описание причины,
iii.
при необходимости, возможно, удалить имеющуюся причину, выделив
ее в окне и нажав кнопку ,
iv.
производится закрытие справочника по нажатию кнопки «Закрыть»;
c) в центральной части окна, в разделе «Основания
предоставлении сведений об ИМ» возможно:
для
отказа
в
- задать для выбранного ИМ конкретные причины отказа, из заданных
в справочнике, нажатием кнопки ;
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 136
- при необходимости удалить имеющуюся причину для данного ИМ,
выделив ее в окне и нажав кнопку .
4.
Производится сохранение новых данных при нажатии кнопки «Сохранить».
4.6.15 Учет получения отзывов согласий на обработку ПДн
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.44).
Таблица 4.44 - Зависимости процесса
№
п/п
1.
Функция, от которой зависит процесс
Учет ФИО, паспортных данных субъектов ПДн
Раздел
4.6.3
Интерфейс учета получения отзывов согласий на обработку ПДн имеет своей
целью обеспечить возможность учета отзыва нормативного основания «Согласие на
обработку ПДн» субъектом ПДн.
Полученный отзыв согласия на обработку ПДн приводит к отсутствию учета
нормативного основания «Согласие на обработку ПДн» при анализе завершения целей
обработки ПДн.
Порядок задания
Учет отзывов производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Работа с сотрудниками и
субъектами ПДн/Учет получения отзывов согласий на обработку ПДн».
2.
В появившемся окне (см. Рисунок 4.69) возможно:
 добавить нового субъекта ПДн, который подал отзыв в следующем порядке:
i.
в верхней части окна производится нажатие кнопки «Добавить»,
ii.
в появившемся интерфейсе «Учетная база данных субъектов ПДн»
осуществляется выделение нужного субъекта ПДн, либо при
необходимости производится задание нового субъекта ПДн (см. раздел
4.6.3), после чего нажимается кнопка «Выбрать»,
iii.
производится сохранение введенных данных по нажатию кнопки
«Сохранить» в верхней части окна;
 удалить информацию о получении отзыва от ранее внесенного субъекта
ПДн (функция доступна только «Администратору системы»), посредством
его выделения и нажатия кнопки .
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 137
Рисунок 4.69 - Интерфейс «Учет получения отзывов согласий на обработку ПДн»
4.6.16 Предписания регулятора
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.44).
Таблица 4.45 - Зависимости процесса
№
п/п
1.
Функция, от которой зависит процесс
Учет ФИО, паспортных данных субъектов ПДн
Раздел
4.6.3
Интерфейс учета предписаний регулятора имеет своей целью обеспечить
возможность учета получения предписаний:
 на уничтожение
неправомерно,
ПДн
субъектов
ПДн,
которые
обрабатываются
 на устранение нарушений.
Данные по субъектам, внесенные в интерфейс, участвуют при проверке
необходимости уничтожения ПДн данных субъектов в тех или иных базах данных.
Порядок задания
Учет предписаний производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Работа с сотрудниками и
субъектами ПДн/Предписания регулятора».
2.
В появившемся окне (см. Рисунок 4.70) возможно:
 добавить новое предписание в следующем порядке:
i.
в верхней части окна производится нажатие кнопки «Добавить»,
ii.
в появившемся интерфейсе производится задание:
- номера, даты предписания,
- сведений о подразделении регулятора отправившего предписание,
- срок выданный на устранение предписания,
- скан файла предписания,
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 138
- сведений о субъектах, которые содержатся в предписании;
iii.
производится сохранение введенных данных по нажатию кнопки
«Сохранить» в верхней части окна;
 удалить информацию о полученном ранее предписании, посредством его
выделения и нажатия кнопки .
Рисунок 4.70 - Интерфейс «Предписания регулятора»
4.6.17 Учет проведения обучения по работе с СКЗИ
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.46).
Таблица 4.46 - Зависимости процесса
№
п/п
1.
Функция, от которой зависит процесс
Учет сотрудников
Раздел
4.6.1
Интерфейс учета проведения обучения по работе с СКЗИ имеет своей целью
обеспечить учет обученных работе с криптографическими средствами лиц из числа
сотрудников.
Порядок задания
Учет проведения обучения по работе с СКЗИ производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Работа с сотрудниками и
субъектами ПДн/Учет проведения обучения по работе с СКЗИ».
2.
В появившемся окне (см. Рисунок 4.71) возможно:
 выбрать фильтры ограничивающие состав показываемых сотрудников (по
СП, ФИО или состоянию обучения);
 проставить для конкретного лица, отметку о прохождении обучения, в
следующем порядке:
i.
выделяется лицо, для которого требуется поставить отметку,
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 139
ii.
в столбце «Обучение работе с СКЗИ проведено» проставляется
соответствующая отметка,
iii.
производится сохранение введенных данных по нажатию кнопки
«Сохранить» в верхней части окна;
 удалить информацию о прохождении обучения от ранее отмеченного
сотрудника, посредством его выделения и снятия необходимых отметок с
последующим нажатием кнопки «Сохранить» (имеет право только
пользователь с ролью Администратор системы).
Рисунок 4.71 - Интерфейс «Учет проведения обучения по работе с СКЗИ»
4.6.18 Учет лиц допущенных к СКЗИ
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.46).
Таблица 4.47 - Зависимости процесса
№
п/п
1.
Функция, от которой зависит процесс
Раздел
Учет сотрудников
4.6.1
Интерфейс учета лиц допущенных к СКЗИ имеет своей целью обеспечить учет
сотрудников, которых требуется допустить к работе с СКЗИ, а также проставить отметку
о том, что пользователь допущен к работе с криптографическими средствами.
Порядок задания
Учет лиц допущенных к СКЗИ производится в следующем порядке:
1.
В окне программы выберите пункт «Ввод данных/Работа с сотрудниками и
субъектами ПДн/Учет лиц допущенных к СКЗИ».
2.
В появившемся окне (см. Рисунок 4.72) возможно:
 выбрать фильтры ограничивающие состав показываемых сотрудников (по
СП, ФИО или состоянию допуска);
 проставить для конкретного лица, отметку
допуска\наличии допуска, в следующем порядке:
Privacy-SPS v.1.1
о
необходимости
Руководство пользователя (020314-1.1.4.0-34)
Стр. 140
i.
выделяется лицо, для которого требуется поставить отметку,
ii.
в столбцах «Необходимость допуска к СКЗИ» и «Наличие доступа к
СКЗИ» проставляется соответствующая отметка,
iii.
производится сохранение введенных данных по нажатию кнопки
«Сохранить» в верхней части окна;
 удалить информацию о допуске, посредством его выделения и снятия
необходимых отметок с последующим нажатием кнопки «Сохранить».
Рисунок 4.72 - Интерфейс «Учет лиц допущенных к СКЗИ»
Контроль процессов обработки и защиты ПДн
4.7
4.7.1 Задание несовместимых целей
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.48).
Таблица 4.48 - Зависимости процесса
№
п/п
1.
Функция, от которой зависит процесс
Ввод, актуализация справочника целей обработки ПДн
Раздел
4.3.4
Интерфейс задания несовместимых целей имеет своей целью:
 определить цели обработки ПДн, которые являются несовместимыми с
точки зрения ФЗ «О персональных данных»;
 дать возможность анализа информационных массивов на предмет наличия
ПДн с несовместимыми целями обработки.
Несовместимые цели задаются парами.
Порядок задания
Задание несовместимых целей производится в следующем порядке:
1.
В окне программы выберите пункт «Контроль/Несовместимые цели».
2.
В появившемся окне (см. Рисунок 4.73) возможно:
 добавить новую пару целей в следующем порядке:
i.
в верхней части окна нажать кнопку «Добавить»,
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 141
ii.
в левой части окна, в пунктах «Цель 1» и «Цель 2» выбрать по очереди
пару несовместимых целей при нажатии кнопки
,
iii.
производится сохранение введенных данных по нажатию кнопки
«Сохранить» в верхней части окна;
 удалить заданную пару целей после ее выделения и нажатия кнопки
«Удалить».
Рисунок 4.73 - Интерфейс «Несовместимые цели»
4.7.2 Контроль несоответствия процессов обработки и защиты ПДн
Принципы использования
Интерфейс контроля несоответствия процессов обработки и защиты ПДн имеет
своей целью:
 провести проверку соответствия процессов обработки и защиты ПДн
требованиям нормативных актов в области обеспечения обработки и защиты
ПДн.
Результатом каждой проверки является сообщение пользователю комплекса о
несоответствии тех или иных процессов обработки и/или защиты ПДн и указании на
необходимые мероприятия по приведению процессов в соответствие.
Функция контроля несоответствий процессов обработки и защиты ПДн работает в
следующих режимах:
 «Серверный контроль». Работа в данном режиме заключается в проверке
всех несоответствий автоматически, на сервере баз данных. Данные
проверки запускаются с определенной периодичностью и их результат
отображается при входе в интерфейс контроля несоответствий;
 «Ручной контроль». Данный режим подразумевает ручной запуск проверки
несоответствий на клиентском месте оператора.
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 142

Следует иметь в виду, что «ручной режим» проверки следует
использовать внимательно, т.к. запуск ряда проверок несоответствий, связанных с
субъектами ПДн, при наличии большой базы субъектов, может существенно
повысить загрузку сервера баз данных
Возможность проведения тех или иных проверок зависит от выполнения других
функций комплекса. Детальные зависимости проверок представлены в следующей
таблице (см. Таблица 4.49).
Таблица 4.49 – Детализация зависимостей несоответствий
№
п/п
1.
2.
3.
4.
Наименование
проверки
Контроль соответствия
целей обработки ПДн,
целям указанным в
Уведомлении об
обработке ПДн
Контроль соответствия
объема и характера
обрабатываемых в
информационных
массивах ПДн,
способов
использования ПДн,
целям заранее
заявленным
Контроль баз данных
ИСПДн на предмет
отсутствия баз данных
с несовместимыми
целями обработки
Контроль
своевременности
уничтожения ПДн в
базах данных при
достижении целей
обработки или утраты
необходимости их
Privacy-SPS v.1.1
Код
ПДнА2
ПДнА4
ПДнА6
ПДнА7
Функция, от которой зависит
Раздел
Ввод, актуализация технологических процессов
обработки ПДн
4.3.9
Генерация Уведомления об обработке ПДн
4.9.1
Ввод, актуализация данных о составе ИСПДн
организации и операций с ПДн
Ввод, актуализация справочника целей обработки
ПДн
Ввод ограничений по составу, объему и способам
использования ПДн
Ввод, актуализация технологических процессов
обработки ПДн
Учет наименований, принадлежности
автоматизированных информационных массивов к
филиалам, типов массивов
Учет технологических процессов, в которых
участвуют массивы
Учет количества субъектов ПДн, данные о
которых обрабатываются в массивах
Учет ИСПДн, к которым принадлежат массивы
Учет категорий лиц и составов ПДн
содержащихся в массивах
Ввод, актуализация данных о составе ИСПДн
организации и операций с ПДн
Ввод, актуализация технологических процессов
обработки ПДн
Задание несовместимых целей
Учет наименований, принадлежности
автоматизированных информационных массивов к
филиалам, типов массивов
Учет технологических процессов, в которых
участвуют массивы
Учет ИСПДн, к которым принадлежат массивы
Учет ФИО, паспортных данных субъектов ПДн
Учет привязки субъекта ПДн к ИМ
Простановка срока наступления характерной даты
по каждому нормативному основанию обработки
ПДн
Ввод, актуализация технологических процессов
обработки ПДн
4.3.11
4.3.4
4.3.14
4.3.9
4.4.3
4.4.3
4.4.3
4.4.3
4.4.3
4.3.11
4.3.9
4.7.1
4.4.3
4.4.3
4.4.3
4.6.3
4.6.3
4.6.3
4.3.9
Руководство пользователя (020314-1.1.4.0-34)
Стр. 143
№
п/п
Наименование
проверки
обработки6
Контроль
своевременности
уничтожения ПДн во
внешних7 базах данных
при достижении целей
обработки или утраты
необходимости их
обработки
5.
Анализ необходимости
получения согласий
субъектов ПДн на
обработку ПДн
6.
Контроль наличия
согласий на обработку
ПДн от конкретных
субъектов ПДн
Контроль наличия
согласий на
общедоступность ПДн
от конкретных
субъектов ПДн
7.
8.
Контроль наличия
требований по наличию
поручения на обработку
ПДн в договорах
9.
10.
Контроль истечения
сроков поручения на
обработку ПДн
Код
ПДнА7-4
ПДнА9
ПДнА11
ПДнА12
ПДнА15
ПДнА19
Функция, от которой зависит
Ввод, актуализация дат характеризующих начало
отчета до срока окончания обработки ПДн по
целям обработки ПДн (характерных дат)
Учет получения предписаний регулятора
Учет получения отзывов согласий на обработку
ПДн
Простановка срока наступления характерной даты
по каждому нормативному основанию обработки
ПДн
Ввод, актуализация технологических процессов
обработки ПДн
Ввод, актуализация дат характеризующих начало
отчета до срока окончания обработки ПДн по
целям обработки ПДн (характерных дат)
Ввод, актуализация технологических процессов
обработки ПДн
Учет наименований, принадлежности
автоматизированных информационных массивов к
филиалам, типов массивов
Учет категорий лиц и составов ПДн
содержащихся в массивах
Ввод, актуализация нормативных оснований
обработки ПДн
Учет ФИО, паспортных данных субъектов ПДн
Анализ необходимости получения согласий
субъектов ПДн на обработку ПДн
Учет получения согласия на обработку ПДн
Учет ФИО, паспортных данных субъектов ПДн
Учет необходимости получения согласия на
общедоступность ПДн
Учет полученных согласий на общедоступность
ПДн
Ввод, актуализация технологических процессов
обработки ПДн
Ввод, актуализация справочника контрагентов
(сторонних организаций) участвующих в
процессах обработки ПДн
Учет наличия поручений на обработку ПДн в
договорах с контрагентами
Ввод, актуализация справочника контрагентов
(сторонних организаций) участвующих в
процессах обработки ПДн
Учет наличия поручений на обработку ПДн в
договорах с контрагентами
Учет сроков окончания договора
Учет сроков окончания поручения на обработку
ПДн
Раздел
4.3.15
4.6.16
4.6.15
4.6.3
4.3.9
4.3.15
4.3.9
4.4.3
4.4.3
4.3.12
4.6.3
4.7.2
4.6.3
4.6.3
4.6.3
4.6.3
4.3.9
4.3.5
4.3.5
4.3.5
4.3.5
4.3.5
4.3.5
6
С конечной даты, когда ПДн должны быть уничтожены, согласно нормативным актам дается еще
30 дней на уничтожение ПДн. В случае, если по какому-либо субъект, в качестве нормативного основания
обработки ПДн имеется только «Согласие на обработку ПДн», для корректной работы проверки, следует
указать характерную дату для данного нормативного основания, см. 4.3.15
7
Данная проверка запускается только в ручном режиме и предназначена для поиска данных,
которые не загружены в систему, во внешних базах данных,
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 144
№
п/п
11.
12.
13.
14.
15.
Наименование
проверки
Контроль истечения
сроков соглашения о
конфиденциальности
Контроль
необходимости
исключения ПДн из
общедоступных
источников в связи с
отзывом согласий
субъектов ПДн
Контроль сроков
подготовки
уведомления о
результатах
рассмотрения
возражения на
принятие решений
несущих юридические
последствия на
основании
исключительно
автоматизированной
обработки8
Контроль уведомления
субъекта ПДн до начала
обработки его ПДн
Контроль сроков
подготовки
уведомлений субъектов
Код
ПДнА20
ПДнА22
Функция, от которой зависит
Ввод, актуализация справочника контрагентов
(сторонних организаций) участвующих в
процессах обработки ПДн
Учет наличия соглашения о конфиденциальности
в договорах с контрагентами
Учет сроков окончания договора
Учет сроков окончания соглашения о
конфиденциальности
Учет ФИО, паспортных данных субъектов ПДн
Учет заявлений об исключении ПДн из
общедоступных источников
Учет наименований, принадлежности
автоматизированных информационных массивов к
филиалам, типов массивов
Учет категорий лиц и составов ПДн
содержащихся в массивах
Ввод, актуализация данных по характеристикам
ПДн по каждому составу ПДн (или комбинации
составов ПДн)
Анализ необходимости получения согласий
субъектов ПДн на обработку ПДн
Учет ФИО, паспортных данных субъектов ПДн
Учет возражений на принятие решений несущих
юридические последствия на основании
исключительно автоматизированной обработки
Раздел
4.3.5
4.3.5
4.3.5
4.3.5
4.6.3
4.6.10
4.4.3
4.4.3
4.3.13
4.7.2
4.6.3
4.6.9
ПДнА37
Учет отправки Уведомления субъекта ПДн о
результатах рассмотрения возражения…
ПДнА401
ПДнА42
Учет ФИО, паспортных данных субъектов ПДн
Учет отправки Уведомления субъекта ПДн о
предполагаемой обработке его ПДн
Учет наименований, принадлежности
автоматизированных информационных массивов к
филиалам, типов массивов
Учет категорий лиц и составов ПДн
содержащихся в массивах
Ввод, актуализация технологических процессов
обработки ПДн
Ввод, актуализация нормативных оснований
обработки ПДн
Учет ФИО, паспортных данных субъектов ПДн
Учет обращений на ознакомление с характером
обрабатываемых ПДн
4.6.9
4.6.3
4.6.3
4.4.3
4.4.3
4.3.9
4.3.12
4.6.3
4.6.13
При контроле учитывается, что на отправку Уведомления оператору ПДн предоставлено 30 дней с
даты поступления возражения
8
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 145
№
п/п
16.
17.
18.
Наименование
проверки
ПДн о характере
процессов обработки их
ПДн9
Контроль сроков
отведенных на
устранение нарушений
по обращению
субъектов ПДн10
Контроль
необходимости
отправки уведомлений
о внесенных
изменениях и
предпринятых мерах по
полученным запросам
на уточнение,
изменение и т.п. ПДн,
которые являются
неполными,
устаревшими,
недостоверными и т.п.,
а также о
неправомерных
действиях оператора11
Контроль
необходимости
внесения изменений в
Уведомление об
обработке ПДн
подаваемое в
Уполномоченный орган
по правам субъектов
ПДн12
Код
Функция, от которой зависит
Учет отправленных «Уведомлений субъекта ПДн
о характере процессов обработки его ПДн»
ПДнА49
Учет жалоб и запросов на уточнение, дополнение
ПДн, а также о неправомерных действиях
оператора
Учет устранения нарушений указанных в запросах
субъектов ПДн
Простановка даты подтверждения факта
осуществления неправомерных действий
Учет факта уничтожения ПДн (в случае если
нарушения не могут быть устранены)
Учет жалоб и запросов на уточнение, дополнение
ПДн, а также о неправомерных действиях
оператора
Простановка даты подтверждения факта
осуществления неправомерных действий
Раздел
4.6.13
4.6.11
4.6.11
4.6.11
4.6.11
4.6.11
4.6.11
ПДнА50
ПДнА58
Учет отправки «Уведомления об актуализации
персональных данных, устранении нарушений,
уничтожении персональных данных»
4.6.11
Генерация Уведомления об обработке ПДн
подаваемое в Уполномоченный орган по правам
субъектов ПДн
4.9.1
На отправку Уведомления оператору ПДн предоставлено 30 дней с даты поступления обращения
Нарушения должны быть устранены, либо ПДн должны быть уничтожены в течение 10 дней с
даты подтверждения совершения неправомерных действий, таким образом, существенным является не дата
обращения субъекта ПДн, а дата когда по данному нарушению было проведено расследование и в
комплексе проставлена дата подтверждения
11
Уведомление должно быть отправлено в течение 30 дней с даты подтверждения совершения
неправомерных действий, таким образом, существенным является не дата обращения субъекта ПДн, а дата
когда по данному нарушению было проведено расследование и в комплексе проставлена дата
подтверждения
12
С момента обнаружения несоответствия между фактическими данными о процессах обработки и
защиты ПДн и сохраненной последней формой Уведомления, отведено 10 дней на повторную подачу
Уведомления. Несоответствие не появляется, если в течение 10 дней проведена повторная генерация
Уведомления
9
10
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 146
№
п/п
19.
20.
21.
22.
Наименование
проверки
Контроль сроков
проведения повторной
процедуры оценки
соответствия средств
защиты в случае
истечения действия
текущего сертификата13
Контроль
необходимости
актуализации акта
классификации ИСПДн
Контроль
необходимости
генерации акта
классификации на
вновь созданные
ИСПДн
Контроль
необходимости
обеспечения защиты
помещений, в которых
производится
обработка ПДн
(проверяется
соответствие
помещений
требованиям к защите
окон и дверей)
Код
Функция, от которой зависит
Раздел
ПДнА63
Задание партий сертифицированных средств
защиты
4.5.5
ПДнА66
Классификация ИСПДн
4.9.2
ПДнА67
Классификация ИСПДн
4.9.2
ПДнА70
23.
Контроль наличия
резервных копий ПДн
для ИМ
ПДнА711
24.
Контроль
необходимости
ПДнА72-
Учет наименований офисов и помещений, адресов
офисов
Учет наличия в помещениях окон имеющих выход
за границы КЗ
Учет наличия в помещениях посторонних лиц на
постоянной основе
Учет осуществления в помещении
неавтоматизированной обработки ПДн
Учет наименований, принадлежности активов к
филиалам
Учет зданий и помещений для размещения
активов
Учет наименований, принадлежности
автоматизированных информационных массивов к
филиалам, типов массивов
Учет активов, на которых размещены
информационные массивы, наличия доступа к
массивам сторонних организаций
Учет категорий информации содержащихся в
массивах
Учет мер и средств защиты помещений
Учет наименований, принадлежности
автоматизированных информационных массивов к
филиалам, типов массивов
Учет наличия резервных копий ПДн
Ввод, актуализация данных о составе ИСПДн
организации
4.4.4
4.4.4
4.4.4
4.4.4
4.4.2
4.4.2
4.4.3
4.4.3
4.4.3
4.4.4
4.4.3
4.5.9
4.3.11
Контроль сроков осуществляется двумя способами. За пять месяцев до истечения срока действия
сертификата на средство защиты, аналитику выдается уведомление о необходимости пересертификации (см.
раздел 4.7.3), кроме того, после истечения даты несоответствия, появляется несоответствие в интерфейсе
несоответствий
13
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 147
№
п/п
25.
26.
27.
28.
29.
Наименование
проверки
проведения контроля
защищенности ПДн и
соблюдения условий
использования средств
защиты14
Контроль
необходимости
внесения изменений в
Модель угроз15
Контроль
необходимости
генерации Модели
угроз на вновь
созданные ИСПДн
Контроль изменений в
составе системы
защиты ПДн,
необходимости
внесения изменений в
СЗПДн16
Контроль
необходимости
генерации системы
защиты на вновь
созданные активы
(контроль
осуществляется
посредством проверки
наличия активов
участвующих в
обработке ПДн и не
входящего ни в какую
область)
Контроль
необходимости
проверки
эффективности средств
защиты к эксплуатации
(для установленных
средств защиты
проверяется наличие
отметки о проверке их
эффективности)
Код
Функция, от которой зависит
Раздел
1
ПДнА76
ПДнА761
ПДнА79
ПДнА791
ПДнА801
Ввод частоты проведения контролей
защищённости ПДн в организации
4.2.1
Генерация модели угроз
4.9.11
Ввод, актуализация данных о составе ИСПДн
организации
4.3.11
Генерация модели угроз
4.9.11
Задание области системы защиты (варианта
построения системы защиты)
4.5.12
Задание области системы защиты (варианта
построения системы защиты)
Учет наименований, принадлежности
автоматизированных информационных массивов к
филиалам, типов массивов
Учет активов, на которых размещены
информационные массивы, наличия доступа к
массивам сторонних организаций
Учет категорий информации содержащихся в
массивах
Учет наименований, принадлежности активов к
филиалам
Учет категорий информации обрабатываемых на
активе
Учет наличия связей с другими активами
Учет установленных средств защиты
Учет проведенных проверок эффективности
установленных средств защиты
4.5.12
4.4.3
4.4.3
4.4.3
4.4.2
4.4.2
4.4.2
4.5.6
4.5.7
Контроль должен проводиться с частотой заданной в комплексе, при этом сроки проведения
проверок равномерно распределяются по году, т.е. несоответствие по данной ИСПДн появляется при
прохождении 12/частота проведения проверок месяцев
15
К контролируемым характеристикам ИСПДн относится – состав ПДн и категории лиц данные
которых обрабатываются, категории ПДн, структура и характеристики ИСПДн (см. соответствующий
раздел модели), носители ПДн, расположение компонент ИСПДн, цели обработки ПДн, данные
используемые для типизации ИСПДн, трансграничность обработки ПДн
16
К контролируемым характеристикам активов относится – состав ИСПДн для каждого актива в
области, состав актуальных угроз, режим обработки ПДн и режим разграничения доступа на данном активе
14
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 148
№
п/п
30.
31.
32.
33.
34.
35.
Наименование
проверки
Контроль
необходимости ввода
средств защиты в
эксплуатацию (для
средств защиты
прошедших процедуру
проверки
эффективности
проверяется наличие
отметки о вводе в
эксплуатацию)
Контроль лиц, которым
надо пройти обучение
(проверяется наличие
сотрудников
допущенных к ПДн, по
которым не стоит
отметка об их
обучении)
Контроль
необходимости
генерации Модели
нарушителя на вновь
созданные ИСПДн
(проверяется наличие
ИСПДн с актуальной
угрозой типа «Угрозы,
реализуемые с
использованием
протоколов
межсетевого
взаимодействия»)
Контроль
необходимости
внесения изменений в
Модель нарушителя
(проверяется наличие
изменений в
актуальных угрозах и
уровне защищенности
ИСПДн)
Контроль
необходимости
генерации описания
системы защиты на
ранее сгенерированную
область системы
защиты (проверяется
наличие отметки о
наличии описания для
области)
Контроль
необходимости
назначения
ответственных за
Privacy-SPS v.1.1
Код
ПДнА83
ПДнА86
Функция, от которой зависит
Раздел
Учет проведенных проверок эффективности
установленных средств защиты
4.5.7
Учет ввода средств защиты в эксплуатацию
4.5.8
Учет лиц допущенных к информационным
массивам
4.6.2
Учет прохождения обучения и ознакомления с
правилами обработки ПДн
4.6.5
Ввод, актуализация данных о составе ИСПДн
организации
Генерация модели нарушителя
4.3.11
Генерация модели угроз
4.9.11
Генерация модели нарушителя
Генерация модели угроз
4.9.12
4.9.11
Генерация акта определения уровня
защищенности ИСПДн
4.9.6
Задание области системы защиты (варианта
построения системы защиты)
4.5.12
Учет наличия официального описания системы
защиты
4.5.13
4.9.12
ПДнА91
ПДнА92
ПДнА95
ПДнА97
Ввод, актуализация данных о составе ИСПДн
организации
Учет лиц ответственных за безопасность ИСПДн
Учет сотрудников
4.3.11
4.6.6
4.6.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 149
№
п/п
36.
37.
38.
39.
40.
41.
Наименование
проверки
безопасность ПДн
(проверяется
назначение
ответственных, наличие
не удаленных записей о
назначенных
ответственных)
Контроль ознакомления
сотрудников
допущенных к ПДн с
правилами обработки
ПДн (проверяется
наличие отметки об
ознакомлении)
Проверка наличия лиц,
которые назначены
ответственными за
обработку или защиту
ПДн
Контроль изменений в
составе данных
указываемых в акте
оператора о пропуске
на территорию
посетителей
Контроль изменений в
составе лиц
допущенных к работе с
СКЗИ (проверяется
наличие отметки о
допуске к СКЗИ по
приказу для лиц,
которым необходим
допуск к СКЗИ)
Проверка актуальности
Перечня ПДн
Контроль наличия
помещений, для
которых не
сгенерирован приказ на
разрешение обработки
ПДн
Privacy-SPS v.1.1
Код
ПДнА102
ПДнА103
ПДнА109
ПДнА121
ПДнА127
ПДнА130
Функция, от которой зависит
Раздел
Ввод состава и иерархии структурных
подразделений организации
4.2.3
Учет лиц допущенных к информационным
массивам
4.6.2
Учет прохождения обучения и ознакомления с
правилами обработки ПДн
4.6.5
Ввод состава и иерархии структурных
подразделений организации
Учет сотрудников
Ввод данных об ответственном за организацию
обработки ПДн
Учет лиц ответственных за безопасность ИСПДн
4.2.3
4.6.1
4.2.1
4.6.6
Генерация формы акта оператора о пропуске на
территорию посетителей и ведении журнала
4.9.5
Учет необходимости предоставления доступа к
работе с СКЗИ
4.6.18
Учет лиц допущенных к СКЗИ
4.6.18
Ввод, актуализация технологических процессов
обработки ПДн
Учет наименований, принадлежности
автоматизированных информационных массивов к
филиалам, типа массивов
Учет наименований, принадлежности не
автоматизированных информационных массивов к
филиалам, типа массивов
Генерация приказа об определении мест хранения
ПДн
Учет наименований офисов и помещений, адресов
офисов
Учет наименований, принадлежности не
автоматизированных информационных массивов к
филиалам, типа массивов
Учет зданий и помещений, в которых
расположены не автоматизированные
информационные массивы
Ввод, актуализация данных по категориям ПДн
обрабатываемых в информационных массивах
4.3.9
4.4.3
4.4.3
4.9.22
4.4.4
4.4.3
4.4.3
4.3.13
Руководство пользователя (020314-1.1.4.0-34)
Стр. 150
№
п/п
42.
43.
44.
45.
46.
47.
48.
Наименование
проверки
Контроль наличия
активов без
установленных средств
защиты (проверяется
соответствие средств
защиты заданных в
области системы
защиты фактически
установленным на
активах)
Контроль
необходимости
внесения изменений в
акт определения уровня
защищенности ИСПДн
Контроль
необходимости
генерации акта
определения уровня
защищенности ИСПДн
на вновь созданные
ИСПДн
Проверка ознакомления
сотрудников
допущенных к
обработке ПДн с
фактом проведения
такой обработки
Проверка включения
всех процессов в
перечень, актуальности
их наименований,
изменений в составе
владельцев процесса
Проверка наличия по
каждому лицу,
допущенному к
информационным
массивам, содержащим
ПДн, отметки о
наличии для данного
лица официального
приказа о допуске к
обработке ПДн
Проверка наличия для
всех заданных ИСПДн
официального приказа
Код
ПДнА131
Функция, от которой зависит
Задание области системы защиты (варианта
построения системы защиты)
Учет наименований, принадлежности активов к
филиалам
Раздел
4.5.12
4.4.2
Учет установленных средств защиты
4.5.6
ПДнА134
Генерация акта определения уровня
защищенности ИСПДн
4.9.6
ПДнА135
Генерация акта определения уровня
защищенности ИСПДн
4.9.6
Учет лиц допущенных к информационным
массивам
4.6.2
Учет прохождения сотрудниками обучения и
ознакомления с правилами обработки ПДн
4.6.5
Ввод, актуализация технологических процессов
обработки ПДн
4.3.9
Учет владельцев технологических процессов –
физических лиц, подразделений
4.3.9
ПДнА137
ПДнА144
ПДнА145
ПДнА147
Учет лиц допущенных к информационным
массивам
Учет наименований, принадлежности
автоматизированных информационных массивов к
филиалам, типа массивов
Учет наименований, принадлежности не
автоматизированных информационных массивов к
филиалам, типа массивов
Учет категорий информации содержащихся в
массивах
Генерация приказа об утверждении перечня
ИСПДн
4.6.2
4.4.3
4.4.3
4.4.3
4.9.23

Результаты выполнения проверки ПДн-А7-4 выгружаются не в
интерфейс системы, а в файл на сервере баз данных системы. Путь к создаваемому
файлу указывается в разделе 3.1
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 151
Порядок задания
Контроль несоответствия процессов обработки и защиты ПДн производится в
следующем порядке:
1.
В окне программы выберите пункт «Контроль/Несоответствия процессов
обработки ПДн».
2.
В появившемся окне (см. Рисунок 4.74) отображается результат проверки
несоответствий.
3.
При необходимости получения актуальной информации о несоответствиях в
«Ручном режиме», возможно:
 провести проверку на определенное несоответствие в следующем порядке:
i.
в верхней части окна нажать кнопку «Проверить»,
ii.
в появившемся списке нажать на определенную проверку или нажать
на «Все соответствия», чтобы проверить по всем контролям,
iii.
в случае если по данной проверке есть несоответствие, в основном
окне появится соответствующая запись,
iv.
при появлении несоответствия выделить его и, при необходимости,
нажать кнопку «Детализация» с целью просмотра более детальной
информации о несоответствии;
 провести экспорт данных по детализации проверок, нажав «Экспорт в CSV»
или «Экспорт в XML» в окне детализации.

В случае, если результатом проверки, по какому-либо
несоответствию, является более 500 записей детализации, доступ к детализации
может быть осуществлен только через экспорт
Рисунок 4.74 - Интерфейс «Несоответствия процессов обработки ПДн»
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 152
4.7.3 Генерация уведомлений аналитику
Принципы использования
Интерфейс отображения Уведомлений аналитику имеет своей целью генерацию
ряда уведомлений о несоответствиях в процессах обработки и защиты ПДн, которые
выводятся непосредственно при старте программы.
Порядок задания
Просмотр сгенерированных уведомлений производится в следующем порядке:
1.
В окне программы выберите пункт «Контроль/Уведомления».
2.
В появившемся окне (см. Рисунок 4.75) возможно:
 просмотреть детализацию по выбранному уведомлению при нажатии
кнопки «Детализация»,
 проверить соответствие какой-либо проверке
«Проверить» и выборе требуемой проверки.
при
нажатии
кнопки
Рисунок 4.75 - Интерфейс «Уведомления»
4.8
Анализ
4.8.1 Визуальное представление ИС
Принципы использования
Интерфейс «Визуальное представление ИС» дает возможность аналитику
представить совокупность введенных в систему активов в виде схемы ИС с отображением
физических связей между активами.
Визуальное представление ИС также дает возможность добавления новых активов
(АРМ, серверов, других сетевых устройств) и изменения уже заданных активов.
Порядок использования
Просмотр схемы ИС производится в следующем порядке:
1.
В окне программы выберите пункт «Анализ/Визуальное представление ИС».
2.
В появившемся окне (см. Рисунок 4.76) возможно:
 выбрать филиал, по которому требуется показать активы,
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 153
 изменить масштаб отображения схемы,
 выбрать способ упорядочивания активов:
- звезда,
- фрактал,
- дерево.
 выбрать ИСПДн, по которым требуется показать активы,
 выбрать информационные массивы, по связанным с которыми активами,
следует построить схему,

В случае выбора и ИМ и ИСПДн производится отображение активов,
которые связанны с выбранными ИСПДн «и» ИМ одновременно
 редактировать свойства активов, по нажатию правой кнопки на каком-либо
активе и выбора «Редактировать» в контекстном меню,
 добавить новый актив по нажатию правой кнопки мыши на визуальной
форме и выбора «Добавить» в контекстном меню,
 добавить новое сетевое устройство в разрыв связей между двумя другими
активами по нажатию правой кнопки мыши на разрываемой связи и выбора
«Добавить в разрыв» в контекстном меню.
Рисунок 4.76 - Интерфейс «Визуальное представление ИС»
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 154
4.8.2 Визуализация информационных потоков
Принципы использования
Интерфейс «Визуализация информационных потоков» дает возможность аналитику
представить совокупность введенных в систему информационных потоков (см. вкладку
«Информационные потоки» интерфейса «Технологические процессы», п. 4.3.9) в виде
схемы с отображением информационных связей между активами.
При этом:
 в качестве узлов схемы
информационных потоков,
выступают
источники
и
получатели
 в качестве стрелок – перемещаемые информационные массивы,
 направление стрелок показывает направление потоков,
 цвет, тип отображения стрелки (пунктир) показывает тип носителя
информационного потока, который также показывается при наведении
курсора на стрелку,
 в случае наличия в выбранных для отображения бизнес-процессах и
связанных с ними потоках каких-либо категорий физических лиц (субъектов
ПДн), с которых в данных процессах требуется получение согласия на
обработку ПДн, отображается значок «Согласие на обработку ПДн»
связанное с данной категорией физических лиц.
Интерфейс «Визуализация информационных потоков» также дает возможность
добавления новых потоков и изменения уже заданных.
Порядок использования
Просмотр схемы в интерфейсе «Визуализация информационных потоков»
производится в следующем порядке:
1.
В окне программы выберите пункт «Анализ/Визуализация информационных
потоков».
2.
В появившемся окне (см. Рисунок 4.77) возможно:
 выбрать бизнес-процессы, по которым требуется показать потоки,
 при необходимости потребовать отображения информационных потоков и
для вложенных бизнес-процессов,
 изменить масштаб отображения схемы,
 выбрать способ представления соединительных стрелок:
- прямые,
- кривая Безье (плавные углы);
 выбрать расстояние между узлами схемы для обеспечения их оптимального
отображения (в единицах от 1 до 5);
 вывести схему в файл формата MS Word,
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 155
 по двойному клику на стрелках и узлах сети – информационных массивов
открывать редактор данного информационного массива,
 по двойному клику на узлах сети – активах, открывать редактор данных
активов,
 по двойному клику на узлах сети – контрагентах, открывать окно редактора
контрагента,
 по двойному клику на узлах сети – структурных подразделениях,
осуществляется отображение потоков, в которых участвует данное
подразделение.
Рисунок 4.77 - Интерфейс «Визуализация информационных потоков»
4.8.3 Визуальное представление процессов обработки ПДн
Принципы использования
Интерфейс «Визуальное представление процессов обработки ПДн» дает
возможность аналитику представить совокупность введенных в систему сведения о
процессах обработки ПДн (см. интерфейс «Технологические процессы», п. 4.3.9) в виде
схемы с отображением информационных связей между активами.
При этом:
 в качестве узлов схемы выступают различные участники процесса,
 в качестве стрелок – перемещаемые Группы ПДн между участниками.

Для корректной визуализации процесса важно наличие, заданного для
процесса, хоть одного структурного подразделения – участника процесса
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 156
Порядок использования
Просмотр схемы в интерфейсе «Визуальное представление процессов обработки
ПДн» производится в следующем порядке:
1.
В окне программы выберите пункт «Анализ/Визуальное представление
процессов обработки ПДн».
2.
В появившемся окне (см. Рисунок 4.78) возможно:
 выбрать бизнес-процессы, по которым требуется показать схему;
 выбрать структурные подразделения, по процессам, в которых они
участвуют требуется построить схему;
 при необходимости потребовать отображения процессов и для вложенных
процессов и структурных подразделений;
 изменить масштаб отображения схемы;
 выбрать способ представления соединительных стрелок:
- прямые,
- кривая Безье (плавные углы);
 вывести схему и сведения о процессе в файл формата MS Word;
 в разделе «Бизнес-процессы» по контекстному меню, вызываемому правой
кнопкой:
- редактировать процессы,
- добавить новый процесс,
- удалить процесс,
- редактировать процесс.
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 157
Рисунок 4.78 - Интерфейс «Визуальное представление процессов обработки ПДн»
4.9
Документы и отчеты
4.9.1 Сгенерированные документы
Принципы использования
Интерфейс просмотра сгенерированных документов имеет своей целью дать
возможность открыть ранее сохраненные в базе документы.
Порядок задания
Просмотр ранее сгенерированных документов производится в следующем порядке:
1.
В окне программы выберите пункт «Документы и отчеты/Сгенерированные
документы».
2.
В появившемся окне (см. Рисунок 4.79) осуществляется выбор требуемого
документа.
3.
Производится нажатие кнопки:
 «Сформировать», для генерации нового документа,
 «Загрузить сканированный документ» для внесения в базу скан-копии
документа,
 «Просмотреть
документа,
сканированный
документ»
для
открытия
скан-копии
 «Добавить», для добавления нового документа вручную,
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 158

«Редактировать», для изменения свойств документа. При этом для
документа может быть установлен параметр «Архивный» и добавлены
комментарии,
 «Удалить», для удаления данного документа,

Удалить документ может только пользователь его сгенерировавший,
либо пользователь с ролью «Администратор системы»

«Фильтр документов», для фильтрации документов по заданным критериям,
 «История изменений», для просмотра истории простановки отметок о
согласовании и утверждении документов.
4.
В нижней части интерфейса производится простановка отметок о согласовании
(утверждении)
документов
с
фиксацией
электронной
подписи
подписывающего сотрудника.
Рисунок 4.79 - Интерфейс «Сгенерированные документы»
4.9.2 Акт классификации ИСПДн по требованиям ЦБ
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.50).
Таблица 4.50 - Зависимости процесса
№
п/п
1.
2.
3.
4.
5.
6.
7.
Функция, от которой зависит процесс
Ввод, актуализация полного и краткого наименования
организации
Задание утверждающих и согласующих документы лиц
Ввод, актуализация данных о составе ИСПДн организации
Ввод, актуализация технологических процессов обработки
ПДн
Ввод, актуализация данных по категориям ПДн
обрабатываемых в информационных массивах
Учет наименований офисов и помещений, адресов офисов
Учет наименований, принадлежности активов к филиалам
Privacy-SPS v.1.1
Раздел
4.2.1
4.6.4
4.3.11
4.3.9
4.3.13
4.4.4
4.4.2
Руководство пользователя (020314-1.1.4.0-34)
Стр. 159
№
п/п
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
Функция, от которой зависит процесс
Учет категорий информации обрабатываемых на активе
Учет зданий и помещений для размещения активов
Учет принадлежности актива сторонним организациям,
количества локальных пользователей, доступа к активу
сторонних организаций
Учет информационных массивов, к которым обращается
актив
Учет информационных массивов, которые хранятся на
активе
Учет ИСПДн, к которым принадлежат актив
Учет режима обработки информации на активе
(многопользовательский или однопользовательский)
Учет наименований, принадлежности
автоматизированных информационных массивов к
филиалам, типов массивов
Учет активов, на которых размещены информационные
массивы, наличия доступа к массивам сторонних
организаций
Учет категорий информации содержащихся в массивах
Учет информационных массивов, с которыми имеется
связь, состава ПДн передаваемых между массивами
Учет характера разграничения доступа в массивах,
количества пользователей, характера доступа к массиву
Учет количества субъектов ПДн, данные о которых
обрабатываются в массивах
Учет ИСПДн, к которым принадлежат массивы
Учет категорий лиц и составов ПДн содержащихся в
массивах
Учет общедоступности массивов
Раздел
4.4.2
4.4.2
4.4.2
4.4.2
4.4.2
4.4.2
4.4.2
4.4.3
4.4.3
4.4.3
4.4.3
4.4.3
4.4.3
4.4.3
4.4.3
4.4.3
Классификация ИСПДн может быть проведена посредством критериев
классификации изложенных в РС БР ИББС-2.3-2010 «Рекомендации в области
стандартизации Банка России. Обеспечение информационной безопасности организаций
банковской системы РФ. Требования по обеспечению безопасности ПДн в ИСПДн
организаций банковской системы РФ».
Если после проведения классификации появились новые активы, информационные
массивы, то новый актив или информационный массив автоматически вносится в состав
такой ИСПДн, при необходимости проводится анализ необходимости переклассификации
в соответствии с разделом 4.7.2.
При классификации ИСПДн также применяются следующие общие правила
определения характеристик ИСПДн:
 ИСПДн является «автономной», если нет связей с другими техническими
средствами, «локальной», если есть связи с другими техническими
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 160
средствами и они расположены по одному адресу, «распределенной», если
технические средства ИСПДн расположены по разным адресам;
 ИСПДн
является
«имеющей
подключение
к
информационнотелекоммуникационным сетям международного информационного обмена
(сетям связи общего пользования)», если есть связь между каким-либо
техническим средством ИСПДн и активом с именем «Интернет»;
 если на каком-либо информационном массиве ИСПДн поставлена отметка о
«разных правах доступа пользователей», то ИСПДн объявляется как ИСПДн
с разными правами доступа, в противном случае, как ИСПДн с равными
правами доступа;
 если какой-либо актив находится за пределами РФ, то ИСПДн объявляется
как ИСПДн имеющая компоненты «за пределами РФ», в противном случае
как «в пределах РФ».
Порядок задания
Классификация ИСПДн производится в следующем порядке:
1.
В окне программы выберите пункт «Документы и отчеты/Акт классификации
ИСПДн по требованиям ЦБ».
2.
Выполняются следующие действия:
a) в окне выделяется нужная ИСПДн,
b) в крайнем левом столбце ставится галочка о необходимости классификации;
c) производится нажатие кнопки «Классифицировать» в строке меню;
d) после генерации акта, при необходимости, производится сохранения
данного акта классификации как официального для выбранных объектов.
Рисунок 4.80 - Интерфейс «Акт классификации ИСПДн по требованиям ЦБ»
4.9.3 Акт и/или приказ на проведение контроля защищенности
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.48).
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 161
Таблица 4.51 - Зависимости процесса
№
п/п
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
Функция, от которой зависит процесс
Раздел
Учет, актуализация состава и иерархии филиалов
организации
Задание утверждающих и согласующих документы лиц
Учет наименований, принадлежности активов к филиалам
Учет ИСПДн, к которым принадлежат актив
Учет наименований, принадлежности
автоматизированных информационных массивов к
филиалам, типов массивов
Учет активов, на которых размещены информационные
массивы, наличия доступа к массивам сторонних
организаций
Учет ИСПДн, к которым принадлежат массивы
Задание области системы защиты (варианта построения
системы защиты)
Определение состава функций защиты требуемых в
отношении активов
Генерация акта определения уровня защищенности
ИСПДн
Интерфейс формирования акта
защищенности, имеет своей целью:
и/или
приказа
на
4.2.1
4.6.4
4.4.2
4.4.2
4.4.3
4.4.3
4.4.3
4.5.12
4.5.12
4.9.6
проведение
контроля
 формирование приказа на проведение контроля защищенности, в котором
задается состав объектов, которые надо проверить, а также состав комиссии,
которая будет проводить контроль защищенности;
 формирование акта по результатам проведения контроля защищенности
подготавливаемого комиссией.
Состав проверяемых функций средств защиты, включаемый в акт проведения
контроля защищенности, определяется исходя из состава функций указанных в «области
системы защиты» для активов входящих в приказ или акт.
Порядок задания
Формирование акта и/или приказа на проведение контроля защищенности
производится в следующем порядке:
1.
В окне программы выберите пункт «Документы и отчеты/Акт контроля
защищенности».
2.
В появившемся окне (см. Рисунок 4.81) осуществляется:
a) в верхней части окна, выбор активов, на которые должен быть сгенерирован
приказ и/или акт;
b) в нижней части окна, нажимается кнопка «Получить классы», по
результатам выполнения которой определяется перечень доступных классов
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 162
средств защиты, которые могут быть проверены. При необходимости
производится удаление ненужных классов по нажатию кнопки «Удалить
класс»;
c) производится формирование требуемого документа:
- приказа на проведение контроля защищенности при нажатии кнопки
«Сформировать Приказ» в строке меню,
- акта о проведении контроля защищенности при нажатии кнопки
«Сформировать акт» в строке меню.
Рисунок 4.81 - Интерфейс «Сформировать акт и приказ на контроль
защищенности»
4.9.4 Акт о проверке эффективности мер по обеспечению безопасности
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.52).
Таблица 4.52 - Зависимости процесса
№
п/п
1.
2.
3.
4.
5.
Функция, от которой зависит процесс
Ввод, актуализация полного и краткого наименования
организации
Учет, актуализация состава и иерархии филиалов
организации
Задание утверждающих и согласующих документы лиц
Учет установленных средств защиты
Учет наименований, принадлежности
автоматизированных информационных массивов к
филиалам, типов массивов
Privacy-SPS v.1.1
Раздел
4.2.1
4.2.1
4.6.4
4.5.6
4.4.3
Руководство пользователя (020314-1.1.4.0-34)
Стр. 163
№
п/п
6.
7.
8.
9.
10.
11.
12.
13.
Функция, от которой зависит процесс
Учет активов, на которых размещены информационные
массивы, наличия доступа к массивам сторонних
организаций
Учет ИСПДн, к которым принадлежат массивы
Учет наименований, принадлежности активов к филиалам
Учет ИСПДн, к которым принадлежат актив
Генерация модели угроз
Учет угроз и их характеристик
Определение состава функций защиты требуемых в
отношении активов
Учет классов средств и мер защиты
Раздел
4.4.3
4.4.3
4.4.2
4.4.2
4.9.11
4.5.2
4.5.12
4.5.3
Интерфейс формирования акта о проверке эффективности имеет своей целью:
 формирование акта, в котором задается состав средств защиты, которые
были проверены, а также состав комиссии, которая проводила проверку;
 выполнение нормативных требований по контролю эффективности системы
защиты.
В состав акта включаются:
 функции средств защиты, которые должны быть проверены;
 условия эксплуатации данных средств защиты, которые задаются в
интерфейсе задания средств защиты (см. раздел 4.5.4).
Состав проверенных функций средств защиты, включаемых в акт по каждому
выбранному средству защиты, определяется в следующем порядке:
 определяется актив, на котором установлено средство защиты,
 по данному активу формируется состав актуальных для данного актива
угроз в следующем порядке:
i.
берется тип актива (см. раздел 4.4.2),
ii.
берутся ИСПДн, в которые входит данный актив (см. раздел 4.4.2),
iii.
из ИСПДн определяются актуальные угрозы (см. раздел 4.9.11),
действующие на данный тип актива (см. раздел 4.5.2);
 определяется пересечение угроз из актуальных для данного актива (см.
выше) и из тех, для которых в «области системы защиты» проставлены
применяемые средства и меры защиты. Т.е. угроза должна быть
одновременно и актуальной и для нее предусмотрены меры защиты;
 для выбранных угроз в «области системы защиты» определяются классы
средств защиты выбранного средства защиты, которыми данная угроза
нейтрализуется;
 определяется пересечение функций безопасности из возможных для данных
классов средств защиты (см. раздел 4.5.3) и из состава функций, которые
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 164
сформированы для данного актива в «области системы защиты» (см. раздел
4.5.12).

Для сетевых средств защиты состав необходимых функций защиты
определяется исходя из функций защиты «областей системы защиты» заданных для
активов, которые непосредственно подключены к таким сетевым средствам
защиты. Например, если межсетевой экран подключен к двум коммутаторам, то
требуемый для него состав функций защиты определяется исходя из функций
заданных в областях, в которые входят данные коммутаторы
Порядок задания
Формирование акта производится в следующем порядке:
1.
В окне программы выберите пункт «Документы и отчеты/Акт о проверке
эффективности мер по обеспечению безопасности».
2.
Осуществляется выбор средств защиты, для
сформировано заключение в следующем порядке:
которых
должно
быть
a) в верхней части окна производится нажатие кнопки «Добавить»;
b) в появившемся окне выбираются классы средств защиты, к которым
принадлежат средства защиты, которые были проверены, нажимается
кнопка «Ок»;
c) появляется окно выбора средств защиты по филиалам, зданиям,
помещениям активов, где они установлены. При нажатии кнопки «Отмена»
выводятся для выбора все доступные данному пользователю средства
защиты,
d) появляется окно выбора конкретных, установленных средств защиты
выбранных классов, в котором производится простановка отметок у нужных
средств защиты, далее нажимается кнопка «Ок»;
e) в основном окне интерфейса (при необходимости) удаляются, не требуемые
для подготовки заключения средства, по нажатию кнопки «Удалить»;
f) производится генерация акта при нажатии кнопки «Сформировать акт»;
g) появляется окно с запросом о сохранении акта. Сохранение производится
при нажатии кнопки «Да»;
h) по выбранным средствам защиты появляется окно с запросом на
необходимость простановки для данных средств защиты отметок о
проведенной проверке эффективности, задаваемых в разделе 4.5.7.
Простановка отметок производится при нажатии кнопки «Да».
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 165
Рисунок 4.82 - Интерфейс «Акт о проверке эффективности мер по обеспечению
безопасности»
4.9.5 Акт оператора о пропуске на территорию посетителей и ведении
журнала
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.53).
Таблица 4.53 - Зависимости процесса
№
п/п
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
Функция, от которой зависит процесс
Задание области системы защиты (варианта построения
системы защиты)
Ввод, актуализация полного и краткого наименования
организации
Задание утверждающих и согласующих документы лиц
Ввод состава и иерархии структурных подразделений
организации
Ввод, актуализация данных о составе ИСПДн организации
Ввод, актуализация технологических процессов обработки
ПДн
Учет наименований, принадлежности
автоматизированных информационных массивов к
филиалам, типов массивов
Учет наименований, принадлежности не
автоматизированных информационных массивов к
филиалам, типа массивов
Учет категорий лиц и составов ПДн содержащихся в
массивах
Учет лиц допущенных к информационным массивам
Ввод, актуализация дат характеризующих начало отчета
до срока окончания обработки ПДн по целям обработки
ПДн (характерных дат)
Privacy-SPS v.1.1
Раздел
4.5.12
4.2.1
4.6.4
4.2.3
4.3.11
4.3.9
4.4.3
4.4.3
4.4.3
4.6.2
4.3.15
Руководство пользователя (020314-1.1.4.0-34)
Стр. 166
№
п/п
12.
Функция, от которой зависит процесс
Учет лиц ответственных за ведение и сохранность
журнала пропуска посетителей в подразделениях
Раздел
4.6.7
Интерфейс формирования акта оператора о пропуске на территорию посетителей и
ведении журнала имеет своей целью:
 определить порядок ведения акта оператора, ответственных за ведение
журнала лиц;
 выполнить требования по наличию акта в Постановлении Правительства РФ
от 15 сентября 2008 г №687 «Об утверждении Положения об особенностях
обработки персональных данных, осуществляемой без использования
средств автоматизации».
Порядок задания
Формирование акта производится в следующем порядке:
1.
В окне программы выберите пункт «Документы и отчеты/Акт о пропуске».
2.
В появившемся окне (см. Рисунок 4.83) производится генерация акта в
следующем порядке:
a) в верхней части окна выбирается структурное подразделение, для которого
будет сделан акт, либо акт будет сделан в целом по организации;
b) вводится наименование акта;
c) производится добавление информационных массивов, которые описывают
состав и содержание журналов пропуска посетителей, при нажатие кнопки
«Добавить»;
d) осуществляется генерация документа при нажатии кнопки «Сформировать
акт»;
e) завершается генерация документа, после чего выдается запрос о
необходимости сохранения документа в качестве официального.
Сохранение производится при нажатии кнопки «Да».
Рисунок 4.83 - Интерфейс «Акт о пропуске»
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 167
4.9.6 Акт определения уровня защищенности ИСПДн
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.50).
Таблица 4.54 - Зависимости процесса
№
п/п
1.
2.
3.
4.
5.
6.
7.
8.
Функция, от которой зависит процесс
Ввод, актуализация полного и краткого наименования
организации
Задание утверждающих и согласующих документы лиц
Ввод, актуализация данных о составе ИСПДн организации
Ввод, актуализация данных по категориям ПДн
обрабатываемых в информационных массивах
Генерация модели угроз
Учет наименований, принадлежности
автоматизированных информационных массивов к
филиалам, типов массивов
Учет ИСПДн, к которым принадлежат массивы
Учет категорий лиц и составов ПДн содержащихся в
массивах
Определение уровня защищенности ИСПДн
автоматизированной или смешанной обработкой.
проводится
Раздел
4.2.1
4.6.4
4.3.11
4.3.13
4.9.11
4.4.3
4.4.3
4.4.3
для
ИСПДн
с
Если после определения уровня защищенности появились новые информационные
массивы, изменилась актуальность угроз и т.п. то проводится анализ необходимости
нового определения уровня защищенности в соответствии с разделом 4.7.2.
При определении уровня защищенности ИСПДн также применяются следующие
общие правила определения характеристик ИСПДн:
 тип актуальных угроз определяется как:
-
1 тип, если для ИСПДн актуальна угроза «преднамеренное внесение
уязвимостей при проектировании и разработке системного ПО,
недекларированные возможности системного ПО»,
-
2 тип, если ИСПДн не является ИСПДн 1 типа и для ИСПДн
актуальна угроза «преднамеренное внесение уязвимостей при
проектировании
и
разработке
ППО,
недекларированные
возможности ППО»,
-
3 тип в остальных случаях;
 количество субъектов ПДн обрабатываемых в ИСПДн определяется из
формы
«Ввод
данных/Характеристики
процессов
обработки
информации/Учет ИСПДн»;
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 168
 наличие в ИСПДн персональных данных только сотрудников определяется
по наличию в информационных массивах обрабатываемых ПДн, по
категории лиц - «Сотрудники»;
 категория ПДн обрабатываемых в информационном массиве определяется
из формы «Ввод данных/Характеристики процессов обработки
информации/Категории ПДн и массивов» по следующим правилам:
-
указывается «Специальные», если в ИСПДн содержится хоть один
массив, в котором содержатся данные 1-й категории,
-
указывается «Биометрические», если в ИСПДн нет массивов с
категорией «Специальные» и содержится хоть один массив с
отметкой «Принадлежность к биометрическим ПДн»,
-
указывается «Общедоступные», если всем составам ПДн и по всем
информационным массивам входящим в ИСПДн присвоена метка
«Общедоступность данного состава ПДн,
-
указывается «Иные» в остальных случаях.
Порядок задания
Определение уровня защищенности ИСПДн производится в следующем порядке:
1.
В окне программы выберите пункт «Документы и отчеты/Акт определения
уровня защищенности ИСПДн».
2.
В появившемся окне (см. Рисунок 4.84) осуществляется выбор ИСПДн для
определения уровня защищенности.
3.
Производится нажатие кнопки «Определить УЗ» в строке меню.
4.
После генерации акта, при необходимости, производится сохранения данного
акта как официального для выбранных ИСПДн.
Рисунок 4.84 - Интерфейс «Определение уровня защищенности ИСПДн»
4.9.7 Журнал учета ключевых документов
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.55).
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 169
Таблица 4.55 - Зависимости процесса
№
п/п
1.
Функция, от которой зависит процесс
Учет ключевых документов к СКЗИ
Раздел
4.5.18
Интерфейс генерации Журнала учета ключевых документов имеет своей целью
формирование журнала в печатной форме на основе данных об учтенных ключевых
документах.
Порядок задания
Генерация Журнала учета ключевых документов к СКЗИ производится в
следующем порядке:
1.
В окне программы выберите пункт «Документы и отчеты/Журнал учета
ключевых документов».
2.
Производится автоматическая генерация журнала в формате MS Word.
4.9.8 Журнал учета применяемых средств защиты
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.56).
Таблица 4.56 - Зависимости процесса
№
п/п
1.
Функция, от которой зависит процесс
Учет установленных средств защиты
Раздел
4.5.6
Генерация Журнала учета применяемых средств защиты имеет своей целью
формирование журнала в печатной форме на основе данных об установленных на
текущий момент средствах защиты.
Порядок задания
Генерация Журнала учета ключевых документов к СКЗИ производится в
следующем порядке:
1.
В окне программы выберите пункт «Документы и отчеты/Журнал учета
применяемых средств защиты».
2.
Производится автоматическая генерация журнала в формате MS Word.
4.9.9 Журнал учета состава технических средств
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.57).
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 170
Таблица 4.57 - Зависимости процесса
№
п/п
1.
2.
3.
4.
Функция, от которой зависит процесс
Учет наименований, принадлежности активов к филиалам
Учет зданий и помещений для размещения активов
Учет категорий информации обрабатываемых на активе
Учет ИСПДн, к которым принадлежат актив
Раздел
4.4.2
4.4.2
4.4.2
4.4.2
Интерфейс генерации Журнала учета технических средств имеет своей целью:
 формирование перечня активов, участвующих в процессах обработки ПДн, в
формате пригодном для просмотра, анализа, печати.
Порядок задания
Генерация Журнала учета технических средств производится в следующем
порядке:
1.
В окне программы выберите пункт «Документы и отчеты/Журнал учета
состава технических средств ИСПДн».
2.
Производится автоматическая генерация журнала в формате MS Word.
4.9.10 Журнал учета установки (снятия) средств защиты
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.58).
Таблица 4.58 - Зависимости процесса
№
п/п
1.
2.
Функция, от которой зависит процесс
Учет, актуализация состава и иерархии филиалов
организации
Учет установленных средств защиты
Раздел
4.2.1
4.5.6
Генерация Журнала учета установки (снятия) средств защиты имеет своей целью
формирование журнала в печатной форме на основе данных об истории установок и
снятий средств защиты на конкретных активах.
Порядок задания
Генерация Журнала производится в следующем порядке:
1.
В окне программы выберите пункт «Документы и отчеты/Журнал учета
установки (снятия) средств защиты».
2.
Производится автоматическая генерация журнала в формате MS Excel.
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 171
4.9.11 Модель угроз
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.59).
Таблица 4.59 - Зависимости процесса
№
п/п
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
Функция, от которой зависит процесс
Задание утверждающих и согласующих документы лиц
Ввод, актуализация полного и краткого наименования
организации
Ввод, актуализация данных о составе ИСПДн организации
Ввод, актуализация технологических процессов обработки
ПДн
Ввод, актуализация данных по категориям ПДн
обрабатываемых в информационных массивах
Учет наименований офисов и помещений, адресов офисов
Учет наличия в помещениях окон имеющих выход за
границы КЗ
Учет наличия в помещениях посторонних лиц на
постоянной основе
Учет активов
Учет наименований, принадлежности активов к филиалам
Учет категорий информации обрабатываемых на активе
Учет зданий и помещений для размещения активов
Учет наличия связей с другими активами
Учет информационных массивов, к которым обращается
актив
Учет информационных массивов, которые хранятся на
активе
Учет принадлежности актива сторонним организациям,
количества локальных пользователей, доступа к активу
сторонних организаций
Учет ИСПДн, к которым принадлежат актив
Учет режима обработки информации на активе
(многопользовательский или однопользовательский)
Учет использования съемных носителей
Учет акустического озвучивания обрабатываемой на
активе информации
Учет информационных массивов
Учет наименований, принадлежности
автоматизированных информационных массивов к
филиалам, типов массивов
Учет активов, на которых размещены информационные
массивы, наличия доступа к массивам сторонних
организаций
Учет категорий информации содержащихся в массивах
Privacy-SPS v.1.1
Раздел
4.6.4
4.2.1
4.3.11
4.3.9
4.3.13
4.4.4
4.4.4
4.4.4
4.4.2
4.4.2
4.4.2
4.4.2
4.4.2
4.4.2
4.4.2
4.4.2
4.4.2
4.4.2
4.4.2
4.4.3
4.4.3
4.4.3
Руководство пользователя (020314-1.1.4.0-34)
Стр. 172
№
п/п
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
Функция, от которой зависит процесс
Учет информационных массивов, с которыми имеется
связь, состава ПДн передаваемых между массивами
Учет характера разграничения доступа в массивах,
количества пользователей, характера доступа к массиву
Учет операций осуществляемых с массивами
Учет количества субъектов ПДн, данные о которых
обрабатываются в массивах
Учет ИСПДн, к которым принадлежат массивы
Учет категорий лиц и составов ПДн содержащихся в
массивах
Учет общедоступности массивов
Учет акустического озвучивания содержащихся в
массивах ПДн
Описание системы защиты
Учет угроз и их характеристик
Ввод категорий лиц допущенных к ИСПДн
Раздел
4.4.3
4.4.3
4.4.3
4.4.3
4.4.3
4.4.3
4.4.3
4.4.3
4.5.2
4.5.11
Генерация модели угроз осуществляется по рекомендациям ФСТЭК России.

Генерация модели угроз осуществляется в режиме поддержки
принятия решений, т.е. пользователю предлагается оптимальный вариант
актуальных угроз, предположений и т.п., но конечное решение о содержании
модели угроз принимает пользователь
В целях упрощения процедур составления модели угроз, при наличии множества
ИСПДн, осуществляется типизация ИСПДн. Определение актуальных угроз
осуществляется для обобщенных типов ИСПДн.
Типизация ИСПДн производится на основе сравнения следующих характеристик
ИСПДн:
 территориального размещения ИСПДн
локальные, распределенные системы);
(различаются
автономные,
«автономная» ИСПДн - ИСПДн, активы которой не подключены к
какому-либо другому активу, «локальная» – ИСПДн, активы которой
расположены по одному адресу и подключены к какому-либо активу,
«распределенная» - активы, которые подключены к другим активам и
расположены по разным адресам

При определении территориального размещения важно наличие
указанных зданий, адресов зданий и помещений для заданных компонентов
ИСПДн
 количества выходов в сеть Интернет (нет, один или более);
Определение производится подсчетом общего количества связей с
объектом с именем «Интернет» со стороны активов входящих в
ИСПДн
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 173

При определении для ИСПДн наличия связей с Интернет,
проверяется наличие непосредственной связи между каждым активом, входящим в
данную ИСПДн, и активом с именем «Интернет»
 операций, производимых с ПДн в ИСПДн (чтение, поиск или запись,
удаление, сортировка или модификация, передача);
Определение производится поиском по всем информационным
массивам, входящим в состав ИСПДн, наиболее жесткого ограничения
в следующем приоритете в порядке возрастания 1. «чтение, поиск», 2.
«запись, удаление, сортировка», 3. «модификация, передача»
 характера доступа к ПДн (открытый доступ, доступ ограниченного
количества сотрудников, доступ всех сотрудников);
Определение производится поиском по всем информационным
массивам (см. интерфейс «Информационные массивы», раздел 4.4.3),
входящим в состав ИСПДн, наиболее жесткого ограничения в
следующем приоритете в порядке возрастания 1. «доступ
ограниченного количества сотрудников», 2. «доступ всех
сотрудников», 3. «открытый доступ»
 количества и права владения на массивы с ПДн (один массив и его владелец
организация, несколько массивов и их владелец организация, остальные
случаи);
Определение производится поиском и подсчетом по всем
информационным массивам (см. интерфейс «Информационные
массивы», раздел 4.4.3), входящим в состав ИСПДн, отметок, что
«Владелец массива сторонняя организация»
 уровень обезличенности (не обезличены, обезличены, не обезличены, но
предоставляются сторонним организация в обезличенном виде);
Определение
производится
поиском
по
всем
категориям
информационных массивов, входящих в состав ИСПДн (см. интерфейс
«Категории ПДн и массивов», раздел 4.3.13) наиболее жесткого
ограничения в следующем приоритете в порядке возрастания: 1. Все
информационные массивы содержат обезличенные ПДн; 2. ПДн в
каком-либо информационном массиве не обезличены
 объема
ПДн
предоставляемых
сторонним
пользователям
(не
предоставляющие никакой информации, предоставляющие часть БД с ПДн);
Определение производится поиском по всем информационным
массивам, входящим в состав ИСПДн отметки, что «К массиву имеют
доступ сторонние пользователи (не из организации)». В случае
наличия, процессы ИСПДн признаются как «предоставляющие часть
БД с ПДн»
 объема обрабатываемых ПДн (до 1000, от 1000 до 100 000, более 100 000);
Определение производится из интерфейса «Учет ИСПДн», см. раздел
4.3.11
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 174
 категории обрабатываемых ПДн (Специальные, Биометрические, Иные,
Общедоступные);
Определение производится поиском по всем категориям
информационных массивов, входящих в состав ИСПДн (см. интерфейс
«Категории ПДн и массивов», раздел 4.3.13) наиболее жесткой
категории массивов в следующем приоритете в порядке возрастания: 1.
Иные; 2. Общедоступные; 3. Биометрические; 4. Специальные
 режима
обработки
многопользовательский);
ПДн
(однопользовательский
или
Определение производится поиском по всем активам отметки
«Многопользовательский режим обработки» (см. интерфейс «Учет
активов», раздел 4.4.2) и сведений о количестве удаленных
пользователей (1 или более) для информационных массивов в составе
ИСПДн (см. интерфейс «Информационные массивы», раздел 4.4.3)
 режима разграничения доступа к ПДн (с разграничением или без);
Определение производится поиском отметки для информационных
массивов, что «Локальные пользователи имеют разные права» или
«Удаленные пользователи имеют разные права» (см. интерфейс
«Информационные массивы», раздел 4.4.3)
 наличии компонентов ИСПДн за пределами РФ (есть или нет).
Определение производится поиском активов (см. интерфейс «Учет
активов», раздел 4.4.2) расположенных в здании, которое находится по
адресу за пределами РФ
К одному типу относятся ИСПДн обладающие полностью одинаковыми
характеристиками из представленных выше.
При генерации модели угроз для определения актуальных угроз используется
«Методика определения актуальных угроз безопасности персональных данных при их
обработке в информационных системах персональных данных» (утверждена заместителем
директора ФСТЭК России 14 февраля 2008 г.).
Значения по умолчанию для вероятностей и опасностей угроз задаются в
интерфейсе задания угроз (см. раздел 4.5.2).
Порядок задания
Генерация модели угроз производится в следующем порядке:
1.
В окне программы выберите пункт «Документы и отчеты/Модель угроз».
2.
В появившемся окне (см. Рисунок 4.85) при нажатии кнопки «Добавить»,
осуществляется выбор ИСПДн, для которых будет сгенерирована модель угроз.
3.
В разделе «Общее наименование области действия модели» указывается
уникальное наименование модели угроз. Оно может быть сформировано
автоматически из названий ИСПДн при нажатии кнопки «Заполнить
наименованиями ИСПДн».
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 175
Рисунок 4.85 - Интерфейс «Модель угроз»
4.
После выбора ИСПДн, осуществляется нажатие кнопки «Типизировать
выбранные
ИСПДн».
После
чего,
автоматически,
определяются
характеристики ИСПДн, и осуществляется их типизация. В разделе «Типы
ИСПДн» и «Список ИСПДн выбранного типа» могут быть просмотрены
результаты типизации.
5.
В разделе «Типы ИСПДн» осуществляется последовательное выделение
ИСПДн каждого типа, после чего для каждого типа задаются (см. Рисунок 4.85)
значения вероятностей и опасностей угроз в разделе «Угрозы для выбранного
типа ИСПДн.
6.
В строке меню производится нажатие кнопки «Сформировать Модель».
7.
В процессе формирования документа будет осуществлена генерация схемы
организации связи по объектам входящим в состав ИСПДн. При этом будет
выдан запрос, в котором можно уточнить расположение элементов схемы, а по
завершению необходимо нажать кнопку «Сохранить».
8.
Завершается генерация документа, после чего выдается запрос о
необходимости сохранения документа в качестве официального. Сохранение
производится при нажатии кнопки «Да».

Документ может быть сохранен, только пока он открыт. В случае
закрытия документа, сохранение будет невозможно
4.9.12 Модель нарушителя
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.60).
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 176
Таблица 4.60 - Зависимости процесса
№
п/п
1.
2.
3.
4.
5.
Функция, от которой зависит процесс
Раздел
Задание утверждающих и согласующих документы лиц
Ввод, актуализация полного и краткого наименования
организации
Ввод, актуализация данных о составе ИСПДн организации
Генерация модели угроз
Генерация акта определения уровня защищенности
ИСПДн
4.6.4
4.2.1
4.3.11
4.9.11
4.9.6
Генерация модели нарушителя осуществляется по требованиям ФСБ России.

Генерация модели нарушителя осуществляется в режиме поддержки
принятия решений, т.е. пользователю предлагается оптимальный вариант
ограничений, предположений и т.п., но конечное решение о содержании модели
нарушителя принимает пользователь
Построение модели нарушителя осуществляется в соответствии с приказом ФСБ
России от 10.07.2014 N 378 «Об утверждении Состава и содержания организационных и
технических мер по обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных с использованием средств
криптографической защиты информации, необходимых для выполнения установленных
Правительством Российской Федерации требований к защите персональных данных для
каждого из уровней защищенности».
Порядок задания
Генерация модели нарушителя производится в следующем порядке:
1.
В окне программы
нарушителя».
2.
В появившемся окне (см. Рисунок 4.86) при нажатии кнопки «Добавить»,
осуществляется выбор ИСПДн, для которых будет сгенерирована модель.
3.
В разделе «Наименование модели» указывается уникальное наименование
модели нарушителя. Оно может быть сформировано автоматически из
названий ИСПДн при нажатии кнопки «Заполнить наименованиями ИСПДн».
Privacy-SPS v.1.1
выберите
пункт
«Документы
и
отчеты/Модель
Руководство пользователя (020314-1.1.4.0-34)
Стр. 177
Рисунок 4.86 - Интерфейс «Модель нарушителя»
4.
Производится выделение каждой из выбранных ИСПДн и по каждой ИСПДн:
 В разделе «Объекты атак» (см. Рисунок 4.86) указывается перечень
объектов, на которые могут осуществлять воздействие нарушители,
посредством простановки соответствующих галочек. При этом перечень
возможных видов объектов атак может быть уточнен в интерфейсе
справочника доступного по нажатию кнопки «Добавить».
 В разделе «Средства атак» указывается перечень средств атак, которые
имеют нарушители, посредством простановки соответствующих галочек.
При этом перечень возможных видов средств атак может быть уточнен в
интерфейсе справочника доступного по нажатию кнопки «Добавить».
 В разделе «Используемые возможности» указывается перечень
предположений о тактике действия нарушителей,. При этом полный
перечень возможностей может быть уточнен в интерфейсе справочника
доступного по нажатию кнопки «Добавить».
 В разделе «Каналы атак» указывается полный перечень каналов атак,
которые могут использовать нарушители. Добавление нового канала
производится при нажатии кнопки «Добавить», удаление при нажатии
кнопки «Удалить». При необходимости полный перечень каналов может
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 178
быть уточнен в интерфейсе справочника доступного по нажатию кнопки
«Добавить».
 В разделе «Информация, которой владеет нарушитель» указывается
перечень видов информации, которые имеют нарушители, посредством
простановки соответствующих галочек. При этом полный перечень
возможных видов информации может быть уточнен в интерфейсе
справочника доступного по нажатию кнопки «Добавить».
5.
Исходя из имеющейся у нарушителя информации, средств атак, каналов атак и
т.п. производится определение требуемого класса СКЗИ при нажатии кнопки
«Определить класс». При этом при нажатии кнопки «Правила» (см. Рисунок
4.87), осуществляется задание условий, по которым определяется, как влияют
характеристики на класс СКЗИ.
Например, в случае наличия у нарушителя всех аппаратных компонентов СКЗИ,
требуются СКЗИ не ниже класса КА1
Рисунок 4.87 - Интерфейс задания правил определения класса СКЗИ
6.
В строке меню производится нажатие кнопки «Сформировать Модель».
7.
Завершается генерация документа, после чего выдается запрос о
необходимости сохранения документа в качестве официального. Сохранение
производится при нажатии кнопки «Да».
4.9.13 Описание системы защиты ПДн
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.61).
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 179
Таблица 4.61 - Зависимости процесса
№
п/п
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
Функция, от которой зависит процесс
Задание области системы защиты (варианта построения
системы защиты)
Ввод, актуализация полного и краткого наименования
организации
Задание утверждающих и согласующих документы лиц
Учет установленных средств защиты
Учет наименований, принадлежности
автоматизированных информационных массивов к
филиалам, типов массивов
Учет активов, на которых размещены информационные
массивы, наличия доступа к массивам сторонних
организаций
Учет ИСПДн, к которым принадлежат массивы
Учет наименований, принадлежности активов к филиалам
Учет ИСПДн, к которым принадлежат актив
Генерация модели угроз
Определение состава функций защиты требуемых в
отношении активов
Раздел
4.5.12
4.2.1
4.6.4
4.5.6
4.4.3
4.4.3
4.4.3
4.4.2
4.4.2
4.9.11
4.5.12
Интерфейс формирования описаний систем защиты ПДн имеет своей целью
систематизировать информацию о составе и функциях системы защиты ПДн.
Порядок задания
Формирование описания производится в следующем порядке:
1.
В окне программы выберите пункт «Документы и отчеты/Описания систем
защиты ПДн».
2.
В появившемся окне (см. Рисунок 4.88) производится генерация описания в
следующем порядке:
a) производится нажатие кнопки
включить в описание;
и выбор областей, которые требуются
b) осуществляется генерация описания при нажатии кнопки «Сформировать
описание»;
c) завершается генерация документа, после чего выдается запрос о
необходимости сохранения документа в качестве официального.
Сохранение производится при нажатии кнопки «Да»;

Документ может быть сохранен, только пока он открыт. В случае
закрытия документа, сохранение будет невозможно
d) после сохранения документа выдается запрос о необходимости простановки
отметок о наличии официального описания для входящих в описание
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 180
областей системы защиты (учет наличия описаний ведется в разделе 4.5.13).
При нажатии «Да» отметки будут проставлены.
Рисунок 4.88 - Интерфейс «Описания системы защиты»
4.9.14 Отчет о степени соответствия процессов обработки ПДн нормативным
требованиям
Принципы использования
Результаты процесса зависят от выполнения всех остальных алгоритмов
программы.
Интерфейс формирования отчета имеет своей целью:
 дать ответственным лицам информацию об общей картине степени
выполнения требований к обработке и защите ПДн.
Порядок задания
Формирование отчета производится в следующем порядке:
1.
В окне программы выберите пункт «Документы и отчеты/Отчет по результатам
соответствия процессов обработки ПДн».
2.
В появившемся окне выбирается:
 «Выполнить проверку несоответствий сейчас»,
 или «Нет – загрузить сохраненные данные проверки».

В случае если выбран вариант «Да», следует иметь в виду, что на
проверку всех несоответствий при наличии больших баз данных может уйти
значительное количество времени
3.
Завершается генерация документа, после чего выдается запрос о
необходимости сохранения документа. Сохранение производится при нажатии
кнопки «Да».
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 181
4.9.15 Перечень ПДн
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.62).
Таблица 4.62 - Зависимости процесса
№
п/п
Функция, от которой зависит процесс
Ввод, актуализация полного и краткого наименования
организации
Задание утверждающих и согласующих документы лиц
Ввод, актуализация технологических процессов обработки
ПДн
Учет наименований, принадлежности
автоматизированных информационных массивов к
филиалам, типа массивов
Учет наименований, принадлежности не
автоматизированных информационных массивов к
филиалам, типа массивов
Учет категорий лиц и составов ПДн содержащихся в
массивах
1.
2.
3.
4.
5.
6.
Раздел
4.2.1
4.6.4
4.3.9
4.4.3
4.4.3
4.4.3
Интерфейс формирования Перечня ПДн имеет своей целью зафиксировать состав
ПДн обрабатываемых в организации.
При формировании Перечня ПДн учитываются ПДн заданные
информационных массивах, так и в технологических процессах обработки ПДн.
как
в
Порядок задания
Формирование Перечня производится в следующем порядке:
1.
В окне программы выберите пункт «Документы и отчеты/Перечень ПДн
обрабатываемых в организации».
2.
Производится генерация документа, после чего выдается запрос о
необходимости сохранения документа. Сохранение производится при нажатии
кнопки «Да».
4.9.16 Перечень процессов обработки ПДн
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.63).
Таблица 4.63 - Зависимости процесса
№
п/п
1.
Функция, от которой зависит процесс
Ввод, актуализация полного и краткого наименования
организации
Privacy-SPS v.1.1
Раздел
4.2.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 182
№
п/п
2.
3.
Функция, от которой зависит процесс
Раздел
Задание утверждающих и согласующих документы лиц
4.6.4
Ввод, актуализация технологических процессов обработки
4.3.9
ПДн
Интерфейс формирования Перечня процессов обработки ПДн имеет своей целью
зафиксировать состав процессов обработки ПДн существующих в организации.
Порядок задания
Формирование Перечня производится в следующем порядке:
1.
В окне программы выберите пункт «Документы и отчеты/Перечень процессов
обработки ПДн».
2.
Производится генерация документа, после чего выдается запрос о
необходимости сохранения документа. Сохранение производится при нажатии
кнопки «Да».
4.9.17 Приказ на допуск к работе с СКЗИ
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.64).
Таблица 4.64 - Зависимости процесса
№
п/п
1.
2.
3.
4.
Функция, от которой зависит процесс
Учет необходимости предоставления доступа к работе с
СКЗИ
Учет сотрудников
Ввод, актуализация полного и краткого наименования
организации
Задание утверждающих и согласующих документы лиц
Раздел
4.6.18
4.6.1
4.2.1
4.6.4
Интерфейс формирования приказа на допуск к работе с СКЗИ имеет своей целью:
 формальное определение лиц, которые допущены к работе с СКЗИ;
 выполнение «Типовых требований по организации и обеспечению
функционирования
шифровальных
(криптографических)
средств,
предназначенных для защиты информации, не содержащей сведений,
составляющих государственную тайну, в случае их использования для
обеспечения безопасности персональных данных при их обработке в
информационных системах персональных данных» (утверждены ФСБ
России, №149/6/6-622).
В состав приказа включается перечень допущенных лиц.
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 183
Порядок задания
Формирование приказа производится в следующем порядке:
1.
В окне программы выберите пункт «Документы и отчеты/Приказ на допуск к
работе с СКЗИ».
2.
В появившемся окне (см. Рисунок 4.89) производится выбор лиц, для которых
должен быть сделан приказ (из числа сотрудников учтенных в интерфейсе
«Учет сотрудников»), в следующем порядке:
a) в верхней части окна производится нажатие кнопки «Добавить»;
b) в появившемся окне выбираются подразделения, из числа сотрудников
которых должен быть сформирован приказ. При простановке отметки
«Включить вложенные подразделения», дается возможность выбора
сотрудников и из числа подчиненных подразделений для выбранных;
c) в появившемся окне выбираются лица, которые должны быть внесены в
приказ, нажимается кнопка «Ок»;
d) в основном окне интерфейса (при необходимости) удаляются, не требуемые
для внесения в приказ лица, по нажатию кнопки «Удалить»;
e) производится генерация приказа при нажатии кнопки «Сформировать
приказ»;
f) появляется окно с запросом о сохранении
производится при нажатии кнопки «Да»;
приказа.
Сохранение
g) далее, по выбранным лицам появляется окно с запросом на необходимость
простановки для данных лиц отметок о допуске их к СКЗИ, задаваемых в
разделе 4.6.18. Простановка отметок производится при нажатии кнопки
«Да».
Рисунок 4.89 - Интерфейс «Приказ на допуск к работе с СКЗИ»
4.9.18 Приказ о вводе средств защиты в эксплуатацию
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.65).
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 184
Таблица 4.65 - Зависимости процесса
№
п/п
1.
2.
3.
4.
Функция, от которой зависит процесс
Ввод, актуализация полного и краткого наименования
организации
Учет, актуализация состава и иерархии филиалов
организации
Учет проведенных проверок эффективности
установленных средств защиты
Задание утверждающих и согласующих документы лиц
Раздел
4.2.1
4.2.1
4.5.7
4.6.4
Интерфейс формирования приказа о вводе средств защиты в эксплуатацию имеет
своей целью формирование приказа, который является основанием для промышленной
эксплуатации средства защиты.

В интерфейсе отображаются только средства защиты прошедшие
процедуру оценки эффективности
Порядок задания
Формирование приказа производится в следующем порядке:
1.
В окне программы выберите пункт «Документы и отчеты/Приказ о вводе в
эксплуатацию средств защиты».
2.
Осуществляется выбор средств защиты прошедших процедуру проверки
эффективности (см. раздел 4.5.7), для которых должен быть сформирован
приказ, в следующем порядке:
a) в верхней части окна производится нажатие кнопки «Добавить» (см.
Рисунок 4.90);
b) в появившемся окне выбираются классы средств защиты, к которым
принадлежат средства защиты, которые должны быть введены в
эксплуатацию, нажимается кнопка «Ок»;
c) появляется окно выбора средств защиты по филиалам, зданиям,
помещениям активов, где они установлены. При нажатии кнопки «Отмена»
выводятся для выбора все доступные данному пользователю средства
защиты,
d) появляется окно выбора конкретных, прошедших процедуру оценки
эффективности средств защиты, выбранных классов, в котором
производится простановка отметок у нужных средств защиты, далее
нажимается кнопка «Ок»;
e) в основном окне интерфейса (при необходимости) удаляются, не требуемые
для подготовки приказа средства, по нажатию кнопки «Удалить»;
f) производится генерация приказа при нажатии кнопки «Сформировать
приказ»;
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 185
g) появляется окно с запросом о сохранении
производится при нажатии кнопки «Да»;
приказа.
Сохранение
h) далее, по выбранным средствам защиты появляется окно с запросом на
необходимость простановки для данных средств защиты отметок о вводе их
в эксплуатацию, задаваемых в разделе 4.5.8. Простановка отметок
производится при нажатии кнопки «Да».
Рисунок 4.90 - Интерфейс «Приказ о вводе в эксплуатацию средств защиты»
4.9.19 Приказ о назначении ответственных за безопасность ПДн
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.66).
Таблица 4.66 - Зависимости процесса
№
п/п
1.
2.
3.
Функция, от которой зависит процесс
Учет лиц ответственных за безопасность ИСПДн
Ввод, актуализация полного и краткого наименования
организации
Задание утверждающих и согласующих документы лиц
Раздел
4.6.6
4.2.1
4.6.4
Интерфейс формирования приказа о назначении ответственных за безопасность
ПДн имеет своей целью формирование приказа, который возлагает ответственность за
реализацию мероприятий по защите ПДн на конкретных лиц или структурные
подразделения.
В состав приказа включается перечень ответственных лиц (подразделений).
Порядок задания
Формирование приказа производится в следующем порядке:
1.
В окне программы выберите пункт «Документы и отчеты/Приказ о назначении
ответственных за безопасность ПДн».
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 186
В появившемся окне (см. Рисунок 4.91) производится выбор лиц, для которых
должен быть сделан приказ (из числа назначенных в 4.6.6), в следующем
порядке:
2.
a) в верхней части окна производится нажатие кнопки «Добавить»;
b) в появившемся окне выбираются лица, которые должны быть внесены в
приказ, нажимается кнопка «Ок»;
c) в основном окне интерфейса (при необходимости) удаляются, не требуемые
для внесения в приказ лица, по нажатию кнопки «Удалить»;
d) производится генерация приказа при нажатии кнопки «Сформировать
приказ»;
e) появляется окно с запросом о сохранении
производится при нажатии кнопки «Да».
приказа.
Сохранение
Рисунок 4.91 - Интерфейс «Приказ о назначении ответственных за безопасность
ПДн»
4.9.20 Приказ о предоставлении доступа к ПДн
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.67).
Таблица 4.67 - Зависимости процесса
№
п/п
1.
2.
3.
4.
5.
Функция, от которой зависит процесс
Учет сотрудников
Учет ФИО, паспортных данных субъектов ПДн
Учет лиц допущенных к информационным массивам
Ввод, актуализация полного и краткого наименования
организации
Задание утверждающих и согласующих документы лиц
Раздел
4.6.1
4.6.3
4.6.2
4.2.1
4.6.4
Интерфейс формирования приказа на предоставление доступа к ПДн имеет своей
целью формальное определение лиц или пар «должность - структурное подразделение»,
которые допущены к ПДн.
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 187
Порядок задания
Формирование приказа производится в следующем порядке:
1.
В окне программы выберите пункт «Документы и отчеты/Приказ о
предоставлении доступа к ПДн».
2.
В появившемся окне (см. Рисунок 4.92) производится выбор лиц, для которых
должен быть сделан приказ (из числа заданных в разделе 4.6.1), в следующем
порядке:
a) производится простановка отметки «Отобразить всех сотрудников», если
требуется выбрать допускаемых лиц из числа любых сотрудников, либо
выбор будет производиться из числа субъектов ПДн допущенных к ИМ
содержащих ПДн;

В случае простановки отметки «Отобразить всех сотрудников», в
приказ попадут все сотрудники и все ИМ, которые заданы для данных сотрудников
в интерфейсе «Учет лиц допущенных к информационным массивам» (раздел 4.6.2).
Если отметка не проставлена, в приказ попадут лица (не только сотрудники)
допущенные к ИМ, для которых проставлена отметка «персональные данные»
b) в верхней части окна производится нажатие кнопки «Добавить»;
c) в появившемся окне выбираются лица или информационные массивы, для
которых должен быть сформирован приказ. Если фильтр не задан, то будут
отображены все лица допущенные к ИМ;

При простановке отметки «Включить вложенные подразделения»,
дается возможность выбора сотрудников и из числа подчиненных подразделений
для выбранных
d) выбираются лица, которые должны быть внесены в приказ, нажимается
кнопка «Ок»;
e) в основном окне интерфейса (при необходимости) удаляются, не требуемые
для внесения в приказ лица, по нажатию кнопки «Удалить»;
f) производится генерация приказа при нажатии кнопки «Сформировать
приказ»;
g) появляется окно с запросом о сохранении
производится при нажатии кнопки «Да».
Privacy-SPS v.1.1
приказа.
Сохранение
Руководство пользователя (020314-1.1.4.0-34)
Стр. 188
Рисунок 4.92 - Интерфейс «Приказ о предоставлении доступа к ПДн»
4.9.21 Приказ об исключении лиц из числа допущенных к ПДн
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.68).
Таблица 4.68 - Зависимости процесса
№
п/п
1.
2.
3.
4.
Функция, от которой зависит процесс
Учет сотрудников
Учет лиц допущенных к информационным массивам
Ввод, актуализация полного и краткого наименования
организации
Задание утверждающих и согласующих документы лиц
Раздел
4.6.1
4.6.2
4.2.1
4.6.4
Интерфейс формирования приказа об исключении лиц из числа допущенных к ПДн
имеет своей целью формальное определение лиц или структурные подразделения,
которых необходимо исключить из числа допущенных к ПДн.
Порядок задания
Формирование приказа производится в следующем порядке:
1.
В окне программы выберите пункт «Документы и отчеты/Приказ об
исключении лиц из числа допущенных к ПДн».
2.
В появившемся окне (см. Рисунок 4.93) производится выбор лиц, для которых
должен быть сделан приказ, в следующем порядке:
a) производится простановка отметки «Отобразить всех сотрудников», если
требуется выбрать исключаемых лиц из числа любых сотрудников, либо
выбор будет производиться только из числа допущенных к ИМ (см.
интерфейс «Учет лиц допущенных к информационным массивам», раздел
4.6.2);
b) в верхней части окна производится нажатие кнопки «Добавить»;
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 189
c) в появившемся окне выбираются подразделения, из числа сотрудников
которых должен быть сформирован приказ. При простановке отметки
«Включить вложенные подразделения», дается возможность выбора
сотрудников и из числа подчиненных подразделений для выбранных;
d) в появившемся окне выбираются лица, которые должны быть внесены в
приказ, нажимается кнопка «Ок»;
e) в основном окне интерфейса (при необходимости) удаляются, не требуемые
для внесения в приказ лица, по нажатию кнопки «Удалить»;
f) производится генерация приказа при нажатии кнопки «Сформировать
приказ»;
g) появляется окно с запросом о сохранении приказа и необходимости
удаления данных лиц из числа допущенных к ИМ, задаваемых в разделе
4.6.2. Сохранение приказа и удаление доступов производится при нажатии
кнопки «Да».
Рисунок 4.93 - Интерфейс «Приказ об исключении лиц из числа допущенных к
ПДн»
4.9.22 Приказ об определении мест хранения ПДн
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.69).
Таблица 4.69 - Зависимости процесса
№
п/п
1.
2.
3.
4.
Функция, от которой зависит процесс
Ввод, актуализация полного и краткого наименования
организации
Задание утверждающих и согласующих документы лиц
Учет наименований офисов и помещений, адресов офисов
Учет наименований, принадлежности не
автоматизированных информационных массивов к
филиалам, типа массивов
Privacy-SPS v.1.1
Раздел
4.2.1
4.6.4
4.4.4
4.4.3
Руководство пользователя (020314-1.1.4.0-34)
Стр. 190
№
п/п
5.
6.
Функция, от которой зависит процесс
Раздел
Учет зданий и помещений, в которых расположены не
автоматизированные информационные массивы
Ввод, актуализация данных по категориям ПДн
обрабатываемых в информационных массивах
4.4.3
4.3.13
Интерфейс формирования приказа об определении мест хранения ПДн имеет своей
целью:
 формальное определение помещений, в которых может осуществляться
неавтоматизированная обработка ПДн,
 определения категорий ПДн, которые могут обрабатываться в данных
помещениях.
В состав приказа включается перечень помещений.
Порядок задания
Формирование приказа производится в следующем порядке:
1.
В окне программы выберите пункт «Документы и отчеты/Приказ об
определении мест хранения ПДн».
2.
В появившемся окне (см. Рисунок 4.94) производится выбор помещений, для
которых должен быть сделан приказ, в следующем порядке:
a) производится простановка отметки «Выбрать любые помещения», если
требуется выбрать из любых учтенных помещений в интерфейсе «Учет
зданий и помещений», либо выбор будет производиться только из числа
помещений, в которых осуществляется неавтоматизированная обработка
ПДн (определяются по наличию расположенных в них ИМ содержащих
ПДн и с неавтоматизированной обработкой);
b) в верхней части окна производится нажатие кнопки «Добавить»;
c) в появившемся окне выбираются помещения, которые должны быть внесены
в приказ, нажимается кнопка «Ок». В случае выбора филиалов или зданий, в
приказ будут внесены все помещения в данном филиале или здании;
d) в основном окне интерфейса (при необходимости) удаляются, не требуемые
для внесения в приказ помещения, по нажатию кнопки «Удалить»;
e) производится генерация приказа при нажатии кнопки «Сформировать
приказ»;
f) появляется окно с запросом о сохранении
производится при нажатии кнопки «Да»;
приказа.
Сохранение
g) запрашивается официальность приказа. В случае ответа «Да», для
помещений указанных в приказе проставляется отметка, что в них
«Разрешена неавтоматизированная обработка ПДн» (см. интерфейс «Учет
зданий и помещений»).
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 191
Рисунок 4.94 - Интерфейс «Приказ об определении мест хранения ПДн»
4.9.23 Приказ об утверждении перечня ИСПДн
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.70).
Таблица 4.70 - Зависимости процесса
№
п/п
1.
2.
3.
Функция, от которой зависит процесс
Раздел
Ввод, актуализация полного и краткого наименования
4.2.1
организации
Задание утверждающих и согласующих документы лиц
4.6.4
Ввод, актуализация данных о составе ИСПДн организации
4.3.11
и операций с ПДн
Интерфейс формирования приказа об определении перечня ИСПДн имеет своей
целью:
 формальное определение состава ИСПДн, которые имеются в организации,
 выполнение требования Постановления Правительства РФ от 21 марта 2012
г. № 211 «Об утверждении перечня мер, направленных на обеспечение
выполнения обязанностей, предусмотренных Федеральным законом «О
персональных данных» и принятыми в соответствии с ним нормативными
правовыми актами, операторами, являющимися государственными или
муниципальными органами».
Порядок задания
Формирование приказа производится в следующем порядке:
1.
В окне программы выберите пункт «Документы и отчеты/Приказ об
утверждении перечня ИСПДн».
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 192
2.
В появившемся окне (см. Рисунок 4.95) производится выбор ИСПДн, для
которых должен быть сделан приказ, в следующем порядке:
a) в верхней части окна производится нажатие кнопки
;
b) в появившемся окне выбираются ИСПДн, которые должны быть внесены в
приказ, нажимается кнопка «Ок»;
c) в основном окне интерфейса (при необходимости) удаляются, не требуемые
для внесения в приказ ИСПДн;
d) производится генерация приказа при нажатии кнопки «Сформировать
приказ»;
e) появляется окно с запросом о сохранении
производится при нажатии кнопки «Да»;
приказа.
Сохранение
f) запрашивается официальность приказа. В случае ответа «Да», для ИСПДн
указанных в приказе проставляется отметка, что для них имеется
утвержденный приказ.
Рисунок 4.95 - Интерфейс «Приказ об утверждении перечня ИСПДн»
4.9.24 Уведомление об обработке ПДн
Принципы использования
Процесс зависит от выполнения функций указанных в таблице (см. Таблица 4.71).
Таблица 4.71 - Зависимости процесса
№
п/п
1.
2.
3.
4.
Функция, от которой зависит процесс
Ввод, актуализация полного и краткого наименования
организации
Ввод, актуализация юридического и фактического адреса
организации, филиалов
Учет, актуализация состава и иерархии филиалов
организации
Ввод, актуализация данных о составе ИСПДн организации
и операций с ПДн
Privacy-SPS v.1.1
Раздел
4.2.1
4.2.1
4.2.1
4.3.11
Руководство пользователя (020314-1.1.4.0-34)
Стр. 193
№
п/п
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
Функция, от которой зависит процесс
Ввод, актуализация нормативных оснований обработки
ПДн
Учет наименований, принадлежности
автоматизированных информационных массивов к
филиалам, типов массивов
Учет категорий лиц и составов ПДн содержащихся в
массивах
Учет активов, на которых размещены информационные
массивы, наличия доступа к массивам сторонних
организаций
Учет категорий информации содержащихся в массивах
Ввод, актуализация технологических процессов обработки
ПДн
Учет наименований, принадлежности активов к филиалам
Учет категорий информации обрабатываемых на активе
Учет наличия связей с другими активами
Задание области системы защиты (варианта построения
системы защиты)
Генерация описаний систем защиты ПДн
Генерация модели угроз
Генерация модели нарушителя
Ввод даты начала обработки ПДн
Ввод даты прекращения обработки ПДн или условий
прекращения обработки ПДн
Ввод данных об ответственном за организацию обработки
ПДн
Раздел
4.3.12
4.4.3
4.4.3
4.4.3
4.4.3
4.3.9
4.4.2
4.4.2
4.4.2
4.5.12
4.9.12
4.9.11
4.9.12
4.2.1
4.2.1
4.2.1
Интерфейс генерации Уведомления об обработке ПДн имеет своей целью:
 обеспечить возможность автоматической генерации Уведомления об
обработке ПДн, которое требуется в соответствии с ФЗ «О персональных
данных».
Порядок задания
Генерация Уведомления об обработке ПДн производится в следующем порядке:
1.
В окне программы выберите пункт «Документы и отчеты/Уведомление об
обработке ПДн».
2.
У пользователя запрашивается считать ли данный вариант Уведомления в
качестве официального (см. Рисунок 4.96). В случае утвердительного ответа
производится сохранение данных внесенных в Уведомление, и эти данные
используются при проведении контроля актуальности уведомления (см. раздел
4.7.2).
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 194
Рисунок 4.96 - Интерфейс «Уведомление об обработке ПДн»
3.
Производится автоматическая генерация документа в формате MS Word.
Privacy-SPS v.1.1
Руководство пользователя (020314-1.1.4.0-34)
Стр. 195
Термины и определения
Информационная
Информационная
система,
представляющая
собой
система персональных совокупность персональных данных, содержащихся в базе
данных
данных, а также информационных технологий и технических
средств, позволяющих осуществлять обработку таких
персональных
данных
с
использованием
средств
автоматизации или без использования таких средств
Информационный
массив
База данных, каталог, файл, документ на любом носителе
совокупность баз данных, каталогов, файлов, документов
имеющая общую цель обработки
Контрмера
Меры и средства позволяющие реализовать какую-либо
стратегию управления риском
Область системы
защиты
Произвольная
совокупность
активов,
для
которой
определены угрозы, а также средства и меры
противодействия этим угрозам
Персональные данные
Любая информация, относящаяся к определенному или
определяемому
на
основании
такой
информации
физическому лицу (субъекту персональных данных), в том
числе его фамилия, имя, отчество, год, месяц, дата и место
рождения, адрес, семейное, социальное, имущественное
положение, образование, профессия, доходы, другая
информация
Специальные категории Персональные
данные,
касающиеся
расовой
данных
принадлежности, политических взглядов или религиозных
или других убеждений, а также персональные данные,
касающиеся здоровья, половой жизни и судимости
Уведомление
об Обязательное уведомление оператором до начала обработки
обработке персональных персональных данных уполномоченного органа по защите
данных
прав субъектов персональных данных о своем намерении
осуществлять обработку персональных данных
Характерная дата
Privacy-SPS v.1.1
Дата, предусмотренная нормативным актом, соглашением с
субъектом ПДн, при наступлении которой начинается отсчет
до окончания срока обработки ПДн
Руководство пользователя (020314-1.1.4.0-34)