Мнение эксперта ИБ

Обсуждение новостей в сфере информационной безопасности

  • Аудит информационной безопасности
  • Защита ИСПДн

Защита ИСПДн

 

Во исполнение требований закона № 152-ФЗ "О персональных данных", компании, оперирующие в своих системах персональными данными, в срок до 1 июля 2011 года обязаны предпринять мероприятия, обеспечивающие безопасность обрабатываемых персональных данных. В соответствие с требованиями законодательства все информационные системы обработки персональных данных (ИСПДн) должны быть соответствующим образом обследованы и для них определен соответствующий уровень защищенности. В дальнейшем, исходя из результатов определения уровня защищенности, будут проводиться необходимые мероприятия по приведению систем защиты персональных данных в соответствии с требованиями законодательства, подготовка ИСПДн к аттестации.

Необходимость обеспечения безопасности персональных данных в наше время объективная реальность. Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый дорогой товар. Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника – в средство мщения, в руках инсайдера – товар для продажи конкуренту. Именно поэтому персональные данные нуждаются в самой серьезной защите.

Поэтапный перечень работ по созданию комплексной защиты ИСПДн можно представить следующим образом:

  1. Предпроектное обследование объекта информатизации:
    • предварительный сбор сведений об ИСПДн;
    • обследование ИСПДн для определения состава и функциональных возможностей основных и вспомогательных технических средств;
    • изучение имеющихся режимных мероприятий на объекте информатизации;
    • изучение имеющейся технологии обработки информации в ИСПДн;
    • обследование системы защиты информации в ИСПДн;
    • определение мероприятий по обеспечению конфиденциальности информации на этапе проектирования Системы информационной безопасности ИСПДн.
  2. Разработка технологии обработки информации:
  3. Разработка Технического (Частного технического) задания на Систему защиты персональных данных (СПДн).
  4. Написание Технического проекта на создание Системы информационной безопасности ИСПДн в соответствии с требованиями ТЗ (ЧТЗ).
  5. Определение перечня и состава средств защиты информации в ИСПДн.
  6. Разработка Рабочей документации на Систему информационной безопасности ИСПДн.
  7. Внедрение Системы информационной безопасности в ИСПДн.
  8. Разработка Эксплуатационной документации на Систему информационной безопасности ИСПДн.
  9. Разработка комплекта ОРД на ИСПДн.
  10. Проведение опытной эксплуатации Системы информационной безопасности в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации.
  11. Проведение приемо-сдаточных испытаний Системы информационной безопасности по результатам опытной эксплуатации с оформлением приемо-сдаточного акта.
  12. Работы по аттестации (декларированию) ИСПДн:
    • разработка Программы проведения аттестационных испытаний;
    • разработка Методики проведения аттестационных испытаний;
    • проведение аттестационных испытаний с оформлением Протокола аттестационных испытаний;
    • разработка и выдача Заключения (Декларации) по результатам аттестационных испытаний или Аттестата соответствия для ИСПДн.
  13. Поддержание Системы информационной безопасности ИСПДн в работоспособном состоянии (техническая поддержка).
  14. Проведение периодической проверки аттестованной ИСПДн в объеме аттестационных испытаний.

Сроки и стоимость выполнения работ по Защите ИСПДн зависят от многих факторов, в том числе от:

  • объема работ, который предстоит выполнить в ходе создания системы;
  • организационной структуры Компании, количества филиалов и удаленных офисов, их географического расположения;
  • количества информационных систем, в которых обрабатываются персональные данные, количества площадок, серверов и рабочих мест пользователей, а также способов информационного обмена между ними (локальная сеть, интернет, выделенный канал и т.п.);
  • категорий персональных данных, их объема, характеристик информационных потоков ПДн, включая трансграничную передачу и передачу третьим лицам.