В соответствие с 152 – ФЗ «О персональных данных» ООО «Смолтелеком» Ковалева Надежда
Согласно СТР-К и ГОСТ Р создание СЗПДн должно включать следующие стадии: 1. Предпроектная стадия, включающая предпроектное обследование ИСПДн, разработку технического задания. 2. Стадия проектирования и реализации СЗПДн. 3. Стадия ввода в действие СЗПДн, включающая опытную эксплуатацию и приемо-сдаточные испытания, а также оценку соответствий ИСПДн требований безопасности информации.
Цель шага Основание проведения работ Выполняемые работы Итоги
1. ГОСТ Р «Порядок создания автоматизированных систем в защищенном исполнении» 2. РД «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР- К) 3. Федеральный закон 152-ФЗ от 27 июля 2006 г. «О персональных данных». 4. «Положения об обеспечении безопасности ПДн при их обработке в ИСПДн» (утв. Постановление Правительства РФ от 17 ноября 2007 года 781) 5. «Порядок проведения классификации информационных систем ПДн»(утв. Приказ ФСТЭК России. ФСБ России, Мининформсвязи России от 13 февраля 2008 года 55/86/20) 6. «Положение о методах и способах защиты информации в информационных системах персональных данных» (утв. приказом ФСТЭК России от 05 февраля 2010 года 58).
7. МД ФСБ России «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности ПДн при обработке в ИСПДн» от /6/ МД ФСБ России «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» от 21 февраля 2008 г., 149/ МД ФСТЭК России «Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн». 10. МД ФСТЭк «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. 15 февраля 2008 года). 11. «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (утв. постановлением Правительства Российской Федерации от 15 сентября 2008 года 687).
Выполняемые работы : В организации выделяют структурное подразделение или должностное лицо, которые будут ответственными за создание системы защиты ПДн. Результат: 1. Приказ руководителя организации о назначении ответственных лиц и структурных подразделений. 2. Приказ руководителя организации (с доведением его под подпись) о введении в действие следующих документов: А) Положение о подразделениях и должностных лицах. Б) Должностные инструкции. В) Дополнительные соглашения к трудовым договорам.
Выполняемые работы : В организации производится обследование на наличие обрабатываемых ПДн, оценивается необходимость их обработки, выделяются структурные подразделения, где производится обработка ПДн, у точняются цели, условия начала и прекращения сроков обработки для каждой установленной категории ПДн. Результат: Приказ о введении «Перечня ПДн». Данным приказом могут быть определены порядок и правила использования Перечня в тех или иных бизнес-процессах, требования по его доведению до сотрудников организации-оператора, клиентов, и прочих физических и юридических лиц. 2. Перечень ПДн. Перечень ПДн – подробный, четко структурированный документ, содержащий информацию обо всех категориях и видах персональных данных, обрабатываемых в организации с применением средств автоматизации или без такового.
Выполняемые работы : Анализируются договора и другие документы, в которых обрабатываются ПДн, на их соответствие ст.6. Федерального закона 152-ФЗ от 27 июля 2006 г. «О персональных данных». Разрабатываются типовые формы, формируется юридически значимая база согласий субъектов ПДн или правомерности обработки ПДн без согласия субъекта ПДн. Результат: 1. Дополнительные соглашения к трудовым договорам. 2. Получены юридически значимые согласия субъектов ПДн на их обработку. 3. Разработаны типовые формы согласия субъекта ПДн на их обработку, отзыва согласия на обработку ПДн. 4. Сформирована юридически значимая база правомерности обработки ПДн, осуществляемой без согласия субъекта.
Выполняемые работы : Разработка шаблонов документов и организационно- распорядительной документации для исполнения организацией ст. 20, 21 Федерального закона 152-ФЗ от 27 июля 2006 г. «О персональных данных». Результат: 1. Регламент реагирования на запросы субъектов ПДн. 2. Журнал учета обращений. 3. Инструкции по блокировки, уничтожению, внесению изменений и обработке запросов субъектов Пдн. 4. Приказ о введении разработанных ОРД в действие (с доведением его до персонала под роспись)
Выполняемые работы : Анализ собранной информации по обработке ПДн в организации, взависимости от результата подача уведомления о обработке ПДн в Управление Роскомнадзора по Смоленской области или правовое обоснование обработки ПДн без подачи уведомления, если все обрабатываемые ПДн попадают под исключения, предусмотренные часть 2 статьи 22 Федерального закона 152-ФЗ. Результат: Уведомление об обработке ПДн в Роскомнадзор. Или правовое обоснование отсутствия необходимости подачи уведомления, если ВСЕ обрабатываемые ПДн попадают под исключения, предусмотренные часть 2 статьи 22 ФЗ 152-ФЗ.
Выполняемые работы : Выделение и определение состава ИСПДн организации, их текстово-графическое описание с составлением карты сети, с указанием помещений, серверов, АРМ, прочих технических средств, используемых для обработки ПДн, мест прокладки линий, по которым передается защищаемая информация и на основании полученных данных классификация ИСПДн в соответствии с нормативно-правовыми актами Минкомсвязи, ФСТЭК России и ФСБ России. Результат 1. Приказ о назначении комиссий. 2. Текстово- графическое описание ИСПДн. 3. Акт классификации ИСПДн. 4. Приказ руководителя организации об утверждении перечня, защищаемых ИСПДн.
Выполняемые работы : Разработка модели угроз на основании « БАЗОВОЙ МОДЕЛИ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ » Результат: Документ «Модель угроз безопасности ПДн при их обработке в ИСПДн», который должен содержать следующую информацию: 1. описание объекта моделирования (анализируемой ИСПДн) и его характеристик; 2. перечни характерных для данной ИСПДн источников угроз безопасности ПДн, уязвимостей компонентов ИСПДн, способов реализации данных уязвимостей в рамках анализируемой ИСПДн, объектов реализации данных уязвимостей в рамках анализируемой ИСПДн, объектов воздействия и последствий реализации вышеуказанных способов; 3. перечни характерных для данной ИСПДн угроз безопасности ПДн; 4. оценку ущерба (опасности) для субъектов ПДн от реализации тех или иных угроз безопасности ПДн; 5. анализ рисков реализации вышеуказанных угроз; 6. выводы относительно класса криптосредств, обязательных к использованию в анализируемой системе.
Выполняемые работы : Разработка на основании модели угроз требований по обеспечению безопасности ПДн при обработке в ИСПДн, технического задания на создание СЗПДн, разработка и создание системы защиты ИСПДн Результат: Разработана и внедрена система защиты персональных данных. Разработаны и утверждены следующие документы: 1. Концепция информационной безопасности и/или план мероприятий по приведению процессов, связанных с обработкой ПДн, в соответствие с требованиями федерального законодательства и нормативно-правовыми актами федеральных органов исполнительной власти. 2. Техническое задание. 3. Акт внедрения средств защиты информации. 4. Акт классификации автоматизированной системы. 5. Инструкции пользователя, системного администратора. 6. Инструкция по антивирусной защите. 7. Регламент обработки информации ограниченного доступа. 8. Журналы, необходимые как средство контроля выполнения персоналом требований по обеспечению безопасности ПДн.
Выполняемые работы : Аттестация – комплекс организационно-технических мероприятий, в результате которых подтверждается, что объект информатизации соответствует требованиям стандартов или иных нормативных документов по безопасности информации. Декларирование соответствия – форма подтверждения соответствия продукции требованиям технических регламентов (ФЗ от 27 декабря 2002 года 184 –ФЗ «О техническом регулировании»). Применительно к ИСПДн декларирование соответствия означает подтверждение соответствия ИСПДн требованиям к безопасности обрабатываемых в ней персональных данных. Результат: 1. Материалы испытаний (акты установки средств защиты, протоколы, заключения). 2. Аттестаты соответствия требованиям безопасности информации или Декларация соответствия.
Выполняемые работы : 1. Провести инвентаризацию и определить места хранения носителей ПДн. 2. Уведомить персонал. 3. Разработать внутренние нормативные документы. 4. Принять меры по обеспечению безопасности ПДн. Результат: 1. Журнал учета носителей информации ограниченного доступа. 2. Типовая форма заполнения. 3. Инструкция по заполнению типовой формы. 4. Уведомление работников, обрабатывающих ПДн, без средств автоматизации.
Выполняемые работы : Регулярно (не реже одного раза в год) проводить в организации-операторе процедуры мониторинга и анализа управления и обеспечения безопасности персональных данных- внутренний аудит. Аудит – это систематический, независимый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита. Внутренний аудит проводится силами самой организации или от ее имени сторонними компаниями, имеющими соответствующие права и опыт на осуществление данной деятельности. Результат: Документальными подтверждениями корректности результатов аудита служат соответствующие отчеты, заключения о результатах аудита, протоколы контроля защищенности от НДС и другие материалы инструментального контроля, а при необходимости - документированные планы совершенствования системы защиты.