Создание системы защиты персональных данных в соответствии с требованиями ФЗ «О персональных данных»

Дополнительная информация: Оценка соответствия требованиям Федерального закона «О персональных данных» Средства защиты персональных данных Комплект типовых организационно-распорядительных документов оператора персональных данных Законодательство по защите персональных данных Определения по теме защиты персональных данных Вопрос-Ответ

Создание системы защиты персональных данных в соответствии с положениями Федерального закона «О персональных данных» и требованиями нормативных документов по защите персональных данных позволяет минимизировать правовые и репутационные риски, связанные с несоблюдением законодательства России в области автоматизированной обработки персональных данных.

Для эффективной защиты персональных данных в организации необходимо создание и внедрение системы безопасности, представляющей собой комплекс организационных, программно-технических и нормативно-методических мер, который, как правило, включает в себя следующие основные этапы работ:

1. Обследование информационной системы, обрабатывающей персональные данные, и оценка ее соответствия требованиям нормативных документов по защите персональных данных.
2. Классификация информационной системы, обрабатывающей персональные данные.
3. Разработка модели угроз безопасности персональных данных и модели нарушителя.
4. Разработка Технического задания на создание системы защиты персональных данных.
5. Макетирование и стендовые испытания средств защиты информации.
6. Разработка Технического проекта на создание системы защиты персональных данных.
7. Поставка и внедрение технических средств защиты информации.
8. Разработка проектов организационно-распорядительной документации.
9. Аттестация информационной системы, обрабатывающей персональные данные.

Такой подход позволяет разделить комплексный проект на несколько этапов, для выполнения которых отводится определенный срок и устанавливаются моменты контрольной отчетности.

Все работы проводятся на основе требований нормативных документов по защите персональных данных Российской Федерации.

Обследование информационной системы, обрабатывающей персональные данные, и оценка ее соответствия требованиям нормативных документов по защите персональных данных, включают в себя:

• анализ внутренних нормативных документов, регламентирующих порядок обработки и защиты персональных данных;
• определение используемых средств защиты персональных данных и оценка их соответствия требованиям нормативных документов РФ;
• определение перечня персональных данных, подлежащих защите;
• определение перечня элементов информационной системы персональных данных, обрабатывающих персональные данные;
• определение степени участия персонала в обработке персональных данных и режима доступа к ним.

По результатам этапа формируется отчет, в котором содержится описание текущего состояния защиты персональных данных, а также рекомендации по устранению выявленных недостатков и нарушений.

Классификация информационной системы, обрабатывающей персональные данные, осуществляется в соответствии с порядком проведения классификации, описанным в приказе Федеральной службы по техническому и экспортному контролю (ФСТЭК), Федеральной службы безопасности (ФСБ) и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20. Результаты классификации информационной системы, обрабатывающей персональные данные, оформляются соответствующим актом подписываемым руководителем предприятия.

Информационные системы, обрабатывающие персональные данные, классифицируются по уровням защищенности в зависимости от важности обрабатываемых персональных данных. Информационная система, обрабатывающая персональные данные, может относиться к классу типовых или специальных. К типовым информационным системам относятся системы, в которых требуется обеспечение только конфиденциальности персональных данных. Специальные информационные системы - системы, в которых дополнительно требуется обеспечить целостность или доступность персональных данных (ПДн). Для типовых информационных систем, обрабатывающих персональные данные (ИСПДн), определёно четыре возможных класса: К1, К2, К3 и К4.

Разработка модели угроз безопасности персональных данных и модели нарушителя происходит на основе перечня угроз безопасности персональных данных при их обработке в ИСПДн, который содержится в «Базовой модели угроз безопасности ПДн при их обработке в ИСПДн», определённой ФСТЭК. При необходимости применения средств криптографических защиты разрабатывается Модель нарушителя в соответствии с нормативными документами ФСБ России. Именно модель угроз и модель нарушителя являются базовыми документами для дальнейшего проектирования системы защиты персональных данных (СЗПДн).

Разработка Технического задания на создание системы защиты персональных данных, как правило, определяет следующие разделы:

• обоснование разработки СЗПДн;
• исходные данные создаваемой ИСПДн в техническом, программном, информационном и организационном аспектах;
• класс ИСПДн;
• ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;
• мероприятия и требования к СЗПДн, которые определяются в соответствии с классом и типом ИСПДн на основе методических документов ФСТЭК России;
• перечень предполагаемых к использованию сертифицированных средств защиты информации;
• состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.

Макетирование и стендовые испытания средств защиты информации проводятся с учетом исходных данных, полученных на этапе обследования, а также требований, определенных Техническим заданием на СЗПДн. В рамках макетирования проводится анализ применимости, совместимости и внедряемости СЗИ в ИСПДн организации. В результате определяется состав технических средств защиты информации, удовлетворяющий требованиям по защите ПДн, а также позволяющий реализовать мероприятия по созданию СЗПДн. Проводятся стендовые испытания СЗИ. При необходимости производится уточнение Технического задания на СЗПДн.

Разработка Технического проекта на создание системы защиты персональных данных, который содержит детальное описание конкретных программно-технических решений для создания СЗПДн, осуществляется на основе технического задания и результатов стендовых испытаний средств защиты информации.

Поставка и внедрение технических средств защиты информации осуществляется согласно результатам предыдущих этапов работ, в частности требований и решений, определенных Техническим проектом на СЗПДн. После завершения поставки производится установка и настройка СЗИ.

Разработка проектов организационно-распорядительной документации осуществляется в целях регламентирования порядка обеспечения безопасности ПДн. Состав и структура проектов организационно-распорядительной документации определяется на основе требований, определенных на предыдущих этапах, и включают в том числе:

• требования к комплексу мер и средств обеспечения безопасности ПДн;
• требования к персоналу ИСПДн, степень ответственности, статус и должностные обязанности сотрудников.

Аттестация информационной системы, обрабатывающей персональные данные, согласно нормативным документам ФСТЭК России выполняется только для систем класса К1 и К2.

В этом случае на данном этапе проводится разработка проектов документов, необходимых для выполнения аттестационных испытаний, включающих технический паспорт, матрицу доступа к ресурсам и другие документы.

На основании имеющихся лицензий специалисты «ДиалогНауки» имеют право проводить сертификацию информационных систем и выдавать Аттестат соответствия ФСТЭК России. Поэтому в рамках этапа также осуществляется проведение аттестационных испытаний на основе разработанной и согласованной Программы и методик. По результатам аттестационных испытаний оформляются Протоколы и Заключения, а также выдается Аттестат соответствия.

В случае появления вопросов или интереса к созданию системы защиты персональных данных в соответствии с требованиями ФЗ «О персональных данных», пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или со страницы «Контакты», адресовав вопрос в «Коммерческий отдел».