+7 (495) 980-67-76

Создание системы защиты персональных данных, приведение процессов обработки и обеспечения безопасности персональных данных в соответствие требованиям законодательства

Создание Системы защиты персональных данных (СЗПДн) и приведение процессов обработки и обеспечения безопасности персональных данных (ПДн) в соответствие с положениями Федерального закона № 152-ФЗ «О персональных данных» и требованиями нормативных документов позволяет минимизировать правовые и репутационные риски, связанные с потенциальными утечками ПДн и несоблюдением законодательства РФ. При проведении указанных работ учитываются процессы обработки и защиты ПДн как без использования средств автоматизации (на бумажных носителях), так и в информационных системах персональных данных (ИСПДн).

Для организации эффективной защиты персональных данных в Компании необходимо создать и внедрить комплекс организационных, программно-технических и нормативно-методических мер, которые включают в себя:

  • определение состава обрабатываемых ПДн, угроз безопасности ПДн и требуемого уровня защищенности ПДн (обычно осуществляется на этапе обследования);
  • установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета действий, совершаемых с персональными данными в информационной системе персональных данных;
  • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • применение мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для обеспечения требуемого уровня защищенности ПДн;
  • оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • контроль над принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных;
  • обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
  • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

Создание системы защиты персональных данных

Работы по построению системы защиты персональных данных начинаются с разработки «Технического задания на создание системы защиты ПДн» и внутренних организационно-распорядительных документов, регулирующих процессы обработки и защиты ПДн. Техническое задание на создание системы защиты персональных данных подготавливается с учетом «Модели нарушителя и угроз безопасности ПДн» и требуемого уровня защищенности ПДн, определенного на этапе обследования, и содержит следующие сведения:

  • обоснование необходимости разработки СЗПДн;
  • исходные данные об ИСПДн в техническом, программном, информационном и организационном аспектах;
  • сведения об актуальных угрозах безопасности ПДн и требуемом уровне защищенности ПДн при их обработке в ИСПДн;
  • ссылки на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;
  • перечень необходимых для реализации организационных и технических мер по обеспечению безопасности ПДн, определенный в соответствии с требованиями Приказа ФСТЭК России от 18.02.2013 № 21, путем адаптации, дополнения и уточнения базового набора мер;
  • перечень предполагаемых к использованию сертифицированных средств защиты информации;
  • состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн;
  • требования к составу и содержанию организационно-распорядительной документации и к эксплуатационной документации на СЗПДн.

Зафиксированные в Техническом задании меры по обеспечению безопасности должны обеспечивать как требуемый уровень защищенности персональных данных, так и нейтрализацию актуальных угроз безопасности.

До внедрения средств защиты информации по желанию Заказчика могут быть проведены их макетирование и стендовые испытания с учетом исходных данных, полученных на этапе обследования, а также требований, определенных Техническим заданием на СЗПДн. В рамках макетирования проводится анализ применимости, совместимости и внедряемости СЗИ в ИСПДн организации. В результате определяется состав технических средств защиты информации, удовлетворяющий требованиям по защите ПДн, а также позволяющий реализовать мероприятия по созданию СЗПДн. Проводятся стендовые испытания СЗИ. При необходимости производится уточнение Технического задания на создание СЗПДн.

Следующий рекомендуемый шаг – разработка Технического проекта системы защиты персональных данных, который содержит детальное описание конкретных программно-технических решений для создания СЗПДн, осуществляется на основе Технического задания и результатов стендовых испытаний средств защиты информации.

Более подробную информацию о проектировании систем защиты информации можно получить на странице «Разработка проектной документации на системы защиты информации».

Разработка организационно-распорядительных документов

Как правило, параллельно с разработкой Технического задания на создание СЗПДн осуществляется разработка комплекта внутренних нормативных актов, регулирующих процессы обработки и защиты ПДн. Разрабатываемый комплект документов направлен на реализацию мер по защите, предусмотренных Техническим заданием, а также на выполнение прочих обязанностей Операторов ПДн, предусмотренных законодательством РФ.

На основании опыта выполнения проектов экспертами ЗАО «ДиалогНаука» сформирован и поддерживается в актуальном состоянии типовой комплект организационно-распорядительной документации Операторов ПДн.

Рекомендуемый минимальный состав такого комплекта приведен в таблице (.pdf).

При разработке организационно-распорядительной документации эксперты нашей Компании рекомендуют придерживаться приведенной структуры с адаптацией под процессы обработки ПДн Заказчика. В то же время эта структура не является обязательной, возможно как увеличение, так и уменьшение перечня документов с учетом выполнения обязательных требований законодательства, а также внутренних требований Заказчика к построению системы защиты информации, к иерархии и составу организационно-распорядительных документов.

Внедрение средств защиты и оценка эффективности

Поставка и внедрение технических средств защиты информации осуществляется согласно результатам предыдущих этапов работ, в частности решений, определенных Техническим проектом СЗПДн. После завершения поставки производится установка и настройка СЗИ.

После внедрения СЗПДн целесообразно провести оценку эффективности реализованных мер защиты, подробное описание процедур приведено на странице.

Кроме того, ЗАО «ДиалогНаука» предлагает услуги по сопровождению систем защиты персональных данных и сопровождению при проверках со стороны регулирующих органов.



В случае появления вопросов или интереса к описанной услуге, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или через форму обратной связи, адресовав вопрос в «Коммерческий отдел».

Другие услуги раздела

Построение комплексной системы защиты информации ограниченного доступа, коммерческой тайны
Разработка системы документации по вопросам обеспечения информационной безопасности
Внедрение процессов обеспечения информационной безопасности данных индустрии платежных карт - PCI DSS
Разработка и внедрение отдельных процессов обеспечения информационной безопасности
Построение СОИБ в соответствии с требованиями стандарта Банка России СТО БР ИББС-1.0
Построение СУИБ в соответствии с требованиями стандарта ISO/IEC 27001
Построение системы обеспечения информационной безопасности в соответствии с требованиями Положения Банка России №382-П
Услуги
Новости
Мероприятия
Брошюры
Оценка соответствия требованиям Федерального закона «О персональных данных»
Разработка технических заданий и требований к системам защиты информации
Все услуги

Мы собираем пользовательские данные для улучшения работы сайта. Используя сайт, вы подтверждаете согласие на их обработку. Нажмите здесь, чтобы узнать больше.

;