Защита персональных данных

Безопасность персональных данных при их обработке в информационной системе персональных данных (ИСПДн) может быть обеспечена путем создания системы защиты персональных данных (СЗПДн), включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в ИСПДн информационные технологии.

Целью проведения работ является  разработка и осуществление мероприятий по организации и обеспечению безопасности персональных данных  при их обработке, хранении и передаче в ИСПДн Заказчика в соответствии с требованиями действующего законодательства Российской Федерации.

Общая схема реализации процесса защиты персональных данных

Требования к СЗПДн могут быть определены по результатам обследования ИСПДн, моделирования угроз и на основании присвоенного класса ИСПДн.

Стадии создания системы защиты персональных данных:

Предпроектная стадия:

  • - проведение предпроектного обследования;
  • - анализ и классификация существующей ИСПДн;
  • - разработка частной модели угроз;
  • - формирование ТЗ на ИСПДн (СЗПДн).

Проектирование ИСПДн (СЗПДн):

  • - разработка проекта на создание ИСПДн (СЗПДн);
  • - разработка мероприятий по защите ПДн;
  • - сертификация СЗИ;
  • - определение подразделений и назначение лиц, ответственных за эксплуатацию СЗИ;
  • - разработка эксплуатационной документации.

Ввод в действие ИСПДн (СЗПДн):

  • - опытная эксплуатация СЗИ;
  • - строительно-монтажные работы;
  • - приемо-сдаточные испытания ИСПДн (СЗПДн);
  • - организация физической охраны помещений ИСПДн;
  • - обучение персонала.

Аттестация ИСПДн (по требованию Заказчика):

  • - проведение всего комплекса мероприятий с выдачей аттестата соответствия;
  • - оказание методической помощи в получении необходимых лицензий ФСТЭК России и ФСБ России.

Дальнейшее сопровождение ИСПДн (СЗПДн):

  • - сопровождение технических средств ИСПДн;
  • - сопровождение средств защиты информации в составе СЗПДн.

Для  разработки  системы защиты информационной системы персональных данных предлагается:

На предпроектной стадии:

Выполнение предпроектного обследования объектов защиты, анализ условий обработки персональных данных и предварительная классификация ИСПДн.

На стадии проектирования:

  • - разработка модели угроз персональным данным при их обработке в ИСПДн;
  • - уточнение класса ИСПДн на основе оценки актуальных угроз персональным данным;
  • - разработка технического проекта системы защиты персональных данных;
  • - разработка пакета организационно-распорядительных документов по защите персональных данных.

Перечень дорабатываемых и разрабатываемых документов может быть определен по результатам предпроектного обследования ИСПДн.

На стадии внедрения:

  • - реализация проектных решений по СЗПДн, включая работы по монтажу оборудования, установке программного обеспечения, выполнению пуско-наладочных работ СЗПДн;
  • - опытная эксплуатация ИСПДн;
  • - аттестация ИСПДн по требованиям безопасности информации (по требованию Заказчика);
  • - обучение персонала правилам эксплуатации СЗПДн.

На стадии эксплуатации:

  • - аутсорсинг СЗПДн.

Сроки и стоимость работ

Стоимость и сроки разработки  системы защиты информационной системы персональных данных могут быть определены  по результатам предпроектного обследования ИСПДн.