Меры по обеспечению защиты ПДн
Порядок проведения работ
Этап 1. Обследование информационных систем персональных данных.
На этом этапе готовятся документы:
1. Описание информационных систем, в которых обрабатываются персональные данные.В нем содержится:
- перечень ПДн, информационных систем и технических средств, используемых для их обработки;
- подразделения и сотрудники, обрабатывающие ПДн;
- категории ПДн;
- описание объекта защиты, включая состав и характеристики средств обработки данных;
- предварительная оценка необходимых мероприятий и затрат по приведению информационных систем ПДн в соответствие предъявляемым требованиям.
2. Модель угроз и модель нарушителя для каждой ИСПДн;
3. Акты классификации.
Этап 2. Проектирование и внедрение системы защиты персональных данных.
По результатам обследования информационных систем персональных данных с учетом категории ПДн и установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности ПДн, включаемые в техническое (частное техническое) задание (далее ТЗ) на разработку системы защиты персональных данных (далее СЗПДн). Техническое задание согласовывается и утверждается Заказчиком.
На основе Технического задания разрабатывается и оформляется в соответствии с ГОСТ эскизный и/или технический (технорабочий) проект системы защиты персональных данных.
Внедрение системы защиты ИСПДн
На основании технического проекта, разработанного на этапе проектирования СЗПДн, осуществляется установка и настройка средств защиты информации, внедрение регламентирующих документов.
Этап внедрения предполагает встраивание компонентов системы защиты информации в существующую IT инфраструктуру компании.
Рисунок 1. Построение системы защиты ИСПДн. |
Этап 3. Разработка организационно-распорядительных документов.
Основной целью данного этапа работ является разработка комплекта документации, регламентирующих обработку персональных данных.
Примерный перечень документов следующий:
Положения:
|
Регламенты:
- Инструкция администратора ИСПДн;
- Инструкция администратора безопасности ИСПДн;
- Инструкция администратора ИСПДн;
- Регламент взаимодействия с субъектами и третьими лицами по вопросам обработки и защиты ПДн;
Другие документы:
- Перечень сведений конфиденциального характера;
- Типовые формы документов, используемых при обработке персональных данных:
- типовая форма согласия субъекта на обработку его персональных данных;
- типовая форма уведомления об уничтожении персональных данных;
- типовая форма акта о выделении к уничтожению документов, не подлежащих хранению;
- типовая форма журнала учета обращений субъектов персональных данных;
- типовая форма журнала учета носителей персональных данных;
- типовая форма журнала учета посетителей защищаемых объектов.
Этап 4. Оценка соответствия ИСПДн.
Наша компания проводит оценку соответствия по методикам ЦБ РФ и ФСТЭК России.
Оценка соответствия объектов информатизации по требованиям безопасности информации включает в себя следующие работы:
1. Разработка пакета аттестационных документов.
2. Проведение аттестационных испытаний.
3. Оформление «Аттестата соответствия», регистрация его в органе по контролю и надзору и выдача Заказчику.
(Подробнее о лицензировании отдельных видов работ в разделе Получение лицензий)