Как защищать

Работы по созданию системы защиты персональных данных (СЗПДН) можно разделить на три основных этапа:

Первый этап

Оценка соответствия компании требованиям законодательства РФ в области защиты персональных данных, разработка плана работ по устранению выявленных недостатков.

По результатам этого этапа проводятся все последующие работы. Первый этап включает в себя создание рабочей группы и решение всех организационных вопросов, связанных с работами. Также на этом этапе проводятся классификация ИСПДн по категории обрабатываемых ПДн, установление уровней защищенности персональных данных и оценка существующих мер по их защите.

По итогам работ по первому этапу составляются:

  • Отчет об обследовании ИСПДн;
  • Отчет о текущем состоянии процессов, связанных с обработкой персональных данных, содержащий рекомендации по защите персональных данных.

Второй этап

Приведение компании в соответствие с требованиями законодательства.

Проводятся изменения бизнес-процессов, разработка необходимой организационно-распорядительной документации в области защиты и обработки персональных данных в компании. Далее осуществляется разработка и утверждение модели угроз, технического задания и технического проекта для СЗПДн. Согласно разработанному техническому проекту реализуются проектные решения по защите персональных данных (внедрение и пуско-наладка необходимых средств защиты информации) и проводится опытная эксплуатация СЗПДн. В завершение этапа направляется уведомление об обработке персональных данных в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Итогами работ по второму этапу являются:

  • Комплект организационно-распорядительных документов по обработке и защите персональных данных в Компании;
  • Техническое задание на создание СЗПДн;
  • Технический проект СЗПДн;
  • Акты установки СЗИ в составе СЗПДн;
  • Комплект эксплуатационной документации для СЗПДн;
  • Уведомление об обработке персональных данных в Роскомнадзор.

Третий этап

Аттестация информационной системы персональных данных по требованиям безопасности информации.

На этом этапе проводится аттестация ИСПДн. Целью аттестационных испытаний является проверка соответствия ИСПДн требованиям по защите персональных данных.

Проведение аттестационных испытаний ИСПДн предусматривает:

  • Проверку выполнения организационных требований по защите персональных данных;
  • Анализ и оценку исходных данных и документации по защите персональных данных, обрабатываемых в ИСПДн (правильность классификации и определения уровня защищенности, корректность технической документации);
  • Проверку соответствия представленных исходных данных и документации реальным условиям эксплуатации и размещения компонентов ИСПДн;
  • Проверку наличия и корректности настроек СЗИ в составе СЗПДн;
  • Проверку выполнения требований Технического задания для СЗПДн;
  • Анализ защищенности ИСПДн;
  • Проверку уровня подготовки кадров и распределение ответственности персонала;
  • Подготовку отчетной документации – протоколов испытаний и заключения по результатам аттестационных испытаний с выводами комиссии о соответствии ИСПДн требованиям по защите персональных данных.

Результатом проведенных аттестационных испытаний ИСПДн являются:

  • Программа-методика проведения аттестационных испытаний;
  • Протокол аттестационных испытаний;
  • Заключение по результатам аттестационных испытаний;
  • Аттестат соответствия ИСПДн требованиям по защите персональных данных (в случае положительного результата аттестационных испытаний).