Документ без названия
 Документ без названия

Меры по обеспечению защиты ПДн

 

Порядок проведения работ

Этап 1. Обследование информационных систем персональных данных.

На этом этапе готовятся документы:

1. Описание информационных систем, в которых обрабатываются персональные данные.

В нем содержится:

2. Модель угроз и модель нарушителя для каждой ИСПДн;

3. Акты классификации.

Этап 2.  Проектирование и внедрение системы защиты персональных данных.

По результатам обследования информационных систем персональных данных с учетом категории ПДн и установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности ПДн, включаемые в техническое (частное техническое) задание (далее ТЗ) на разработку системы защиты персональных данных (далее СЗПДн). Техническое задание согласовывается и утверждается Заказчиком.

На основе Технического задания разрабатывается и оформляется в соответствии с ГОСТ эскизный и/или технический (технорабочий)  проект системы защиты персональных данных.

Внедрение системы защиты ИСПДн

На основании технического проекта, разработанного на этапе проектирования СЗПДн, осуществляется установка и настройка средств защиты информации, внедрение регламентирующих документов.
Этап внедрения предполагает встраивание компонентов системы защиты информации в существующую IT инфраструктуру компании.

 

 

 
  Рисунок 1. Построение системы защиты ИСПДн.

Этап 3. Разработка организационно-распорядительных документов.

 

Основной целью данного этапа работ является разработка комплекта документации, регламентирующих обработку персональных данных.

Примерный перечень документов следующий:

Положения:

  • О порядке обработки персональных данных;
  • О защите персональных данных;
Приказы:
  • О создании комиссии по классификации информационных систем персональных данных;
  • Приказ о назначении структурного подразделения или  сотрудника, ответственного за обработку персональных данных
  • Приказ о назначении администратора ИСПДн;
  • Приказ о назначении администратора безопасноси ИСПДн

Регламенты:

Другие документы:

   - типовая форма согласия субъекта на обработку его персональных данных;

   - типовая форма уведомления об уничтожении персональных данных;

   - типовая форма акта о выделении к уничтожению документов, не подлежащих хранению;

   - типовая форма журнала учета обращений субъектов персональных данных;

   - типовая форма журнала учета носителей персональных данных;

   - типовая форма журнала учета посетителей защищаемых объектов.

Этап 4. Оценка соответствия ИСПДн.

Наша компания проводит оценку соответствия по методикам ЦБ РФ и ФСТЭК России.

Оценка соответствия объектов информатизации по требованиям безопасности информации включает в себя следующие работы:

1. Разработка пакета аттестационных документов.

2. Проведение аттестационных испытаний.

3. Оформление «Аттестата соответствия», регистрация его в органе по контролю и надзору и выдача Заказчику.

 

(Подробнее о лицензировании отдельных видов работ в разделе Получение лицензий)

 
 Документ без названия