Защита ИСПДн
Во исполнение требований закона № 152-ФЗ "О персональных данных", компании, оперирующие в своих системах персональными данными, в срок до 1 июля 2011 года обязаны предпринять мероприятия, обеспечивающие безопасность обрабатываемых персональных данных. В соответствие с требованиями законодательства все информационные системы обработки персональных данных (ИСПДн) должны быть соответствующим образом обследованы и для них определен соответствующий уровень защищенности. В дальнейшем, исходя из результатов определения уровня защищенности, будут проводиться необходимые мероприятия по приведению систем защиты персональных данных в соответствии с требованиями законодательства, подготовка ИСПДн к аттестации.
Необходимость обеспечения безопасности персональных данных в наше время объективная реальность. Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый дорогой товар. Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника – в средство мщения, в руках инсайдера – товар для продажи конкуренту. Именно поэтому персональные данные нуждаются в самой серьезной защите.
Поэтапный перечень работ по созданию комплексной защиты ИСПДн можно представить следующим образом:
- Предпроектное обследование объекта информатизации:
- предварительный сбор сведений об ИСПДн;
- обследование ИСПДн для определения состава и функциональных возможностей основных и вспомогательных технических средств;
- изучение имеющихся режимных мероприятий на объекте информатизации;
- изучение имеющейся технологии обработки информации в ИСПДн;
- обследование системы защиты информации в ИСПДн;
- определение мероприятий по обеспечению конфиденциальности информации на этапе проектирования Системы информационной безопасности ИСПДн.
- Разработка технологии обработки информации:
- разработка Перечня сведений конфиденциального характера в организации;
- разработка Акта классификации ИСПДн;
- разработка Модели угроз безопасности и модели нарушителя ИСПДн;
- разработка Технологического процесса обработки информации в ИСПДн.
- Разработка Технического (Частного технического) задания на Систему защиты персональных данных (СПДн).
- Написание Технического проекта на создание Системы информационной безопасности ИСПДн в соответствии с требованиями ТЗ (ЧТЗ).
- Определение перечня и состава средств защиты информации в ИСПДн.
- Разработка Рабочей документации на Систему информационной безопасности ИСПДн.
- Внедрение Системы информационной безопасности в ИСПДн.
- Разработка Эксплуатационной документации на Систему информационной безопасности ИСПДн.
- Разработка комплекта ОРД на ИСПДн.
- Проведение опытной эксплуатации Системы информационной безопасности в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации.
- Проведение приемо-сдаточных испытаний Системы информационной безопасности по результатам опытной эксплуатации с оформлением приемо-сдаточного акта.
- Работы по аттестации (декларированию) ИСПДн:
- разработка Программы проведения аттестационных испытаний;
- разработка Методики проведения аттестационных испытаний;
- проведение аттестационных испытаний с оформлением Протокола аттестационных испытаний;
- разработка и выдача Заключения (Декларации) по результатам аттестационных испытаний или Аттестата соответствия для ИСПДн.
- Поддержание Системы информационной безопасности ИСПДн в работоспособном состоянии (техническая поддержка).
- Проведение периодической проверки аттестованной ИСПДн в объеме аттестационных испытаний.
Сроки и стоимость выполнения работ по Защите ИСПДн зависят от многих факторов, в том числе от:
- объема работ, который предстоит выполнить в ходе создания системы;
- организационной структуры Компании, количества филиалов и удаленных офисов, их географического расположения;
- количества информационных систем, в которых обрабатываются персональные данные, количества площадок, серверов и рабочих мест пользователей, а также способов информационного обмена между ними (локальная сеть, интернет, выделенный канал и т.п.);
- категорий персональных данных, их объема, характеристик информационных потоков ПДн, включая трансграничную передачу и передачу третьим лицам.
Полезные материалы: ИБ