Poryadok_vypolneniya_rabot_po_SZPDn

Общий порядок выполнения работ по защите персональных данных
1. Информационное и техническое обследование ИСПДн
Обследование информационных систем
Цели работ:
 сбор необходимых данных для проведения дальнейших работ.
Результат работ:
 заполненные анкеты, опросные листы, схемы, другие документы с исходными
данными.
2. Разработка «Отчет об обследовании ИСПДн»
Типизация и категорирование ПДн
Цель работ:
 унифицировать различные виды ПДн для обеспечения простоты их рассмотрения;
 определить категории обрабатываемых ПДн;
 выработать предложения по исключению избыточных сведений.
Результат работ:
 типы ПДн;
 выводы по категориям ПДн;
 предложения по исключению из обработки ПДн, не являющихся необходимыми
для функционирования бизнес-процессов.
Определение ИСПДн
Цель работ:
 определить существующие ИСПДн.
Результат работ:
 определение множества существующих ИСПДн;
 состав и структура определенных ИСПДн;
 предположения по оптимизации состава и структуры ИСПДн.
Построение моделей ИСПДн
Цель работ:
 зафиксировать структуру и состав информационных потоков в каждой из ИСПДн.
Результаты работы:
 модель информационных потоков.
3. Разработка «Аналитического обоснования создания СЗПДн»
Разработка аналитического обоснования создания СЗПДн
Цель работ:
 выполнить требования нормативных документов ФСБ России и ФСТЭК России;
 определить актуальные угрозы безопасности;
 определить требования к классам средств защиты информации.
Результаты работы:
 Модель угроз и нарушителей безопасности ПДн (в составе Аналитического
обоснования создания СЗПДн).
Классификация ИСПДн
Цель работ:
 определить классы ИСПДн.
Результат работ:
 определенные классы по каждой ИСПДн.
4. Разработка «Технического задания на модернизацию СЗПДн»
Цель работ:
 определить требования по защите ПДн.
Результат работ:
 ТЗ на создание типовой системы защиты информации на основании Моделей угроз
и нарушителя безопасности ПДн.
При составлении технического задания на СЗПДн, а так же на этапе выполнения
проектных работ, следует учитывать, что в общем случае СЗПДн должна состоять из
следующих подсистем:
 подсистема защиты от НСД;
 подсистема межсетевого экранирования (для ИСПДн, имеющих физическое
подключения к ССОП);
 подсистема обнаружения вторжений (для ИСПДн, имеющих физическое
подключения к ССОП);
 подсистема антивирусной защиты;
 подсистема криптографической защиты;
 подсистема контроля запросов к СУБД (для ИСПДн, имеющих в своем составе
СУБД).
Необходимость наличия/отсутствия каждой подсистемы, а так же необходимость
введения других подсистем должна быть обоснована Исполнителем при разработке
«Аналитического обоснования создания СЗПДн».
5. Разработка и внедрение СЗПДн
Работы выполняются в три этапа.
Первый этап – проектирование системы защиты информации
Последовательность работ:
 разработка внутренней нормативной документации.
Второй этап – внедрение СЗПДн.
Последовательность работ:
 поставка средств защиты информации;
 установка средств защиты информации;
 настройка средств защиты информации;
 проведение приемочных испытаний.
Результаты работы:
 акты внедрения средств защиты информации;
 акт о результатах приемочных испытаний.
Третий этап – аттестация ИСПДн класса К1, К2 и класса защищенности 1Г по
требованиям безопасности информации.
Последовательность работ:
 разработка необходимых документов, в том числе:
o программа аттестационных испытаний;
o технический паспорт объекта информатизации;
o технология эксплуатации задач при обработке информации на объекте
информатизации;
o перечень технических и программных средств разрешенных к эксплуатации
на объекте информатизации;
o перечень защищаемых информационных ресурсов объекта информатизации;
o матрица доступа пользователей к ресурсам объекта информатизации;
o приказ о назначении комиссии по подготовке к аттестации ИС;
o схема границ контролируемой зоны;
 проведение аттестационных испытаний объекта информатизации:
o оформление, регистрация и выдача «Аттестата соответствия» и комплекта
документов:
o акт обследования объекта информатизации на соответствие требованиям;
o протокол проведения испытаний объекта информатизации;
o заключение по результатам аттестационных испытаний.
Обязательные требования к исполнителю работ
Исполнитель должен иметь следующие лицензии:
 ФСТЭК России на деятельность по технической защите конфиденциальной
информации, которая позволяет выполнять работы и (или) оказывать услуги
по проведению аттестационных испытаний и аттестации на соответствие
требованиям по защите информации
 ФСБ России на разработку, производство, распространение шифровальных
(криптографических)
средств,
информационных
систем
и
телекоммуникационных
систем,
защищенных
с
использованием
шифровальных (криптографических) средств, выполнение работ, оказание
услуг в области шифрования информации, техническое обслуживание
шифровальных (криптографических) средств, информационных систем и
телекоммуникационных
систем,
защищенных
с
использованием
шифровальных (криптографических) средств (за исключением случая, если
техническое обслуживание шифровальных (криптографических) средств,
информационных систем и телекоммуникационных систем, защищенных с
использованием
шифровальных
(криптографических)
средств,
осуществляется для обеспечения собственных нужд юридического лица или
индивидуального предпринимателя), которая позволяет выполнять работы и
(или) оказывать услуги по разработке защищенных с использованием
шифровальных (криптографических) средств информационных систем.
Список используемых сокращений
ИСПДн
ПДн
СЗПДн
Информационная система персональных данных
Персональные данные
Система защиты персональных данных
ССОП
ТЗ
ФСБ
ФСТЭК
Системы связи общего пользования
Техническое задание
Федеральная служба безопасности
Федеральная служба по техническому и экспортному контролю