Защита персональных данных

Для выполнения требований законодательства по персональным данным и устранения возможных угроз безопасности персональных данных нужно реализовать комплекс организационных и технических мероприятий, трудоемкость которых зависит от специфики бизнеса оператора персональных данных. Как правило, осуществляется поэтапное выполнение работ, заканчивающееся оценкой соответствия ИСПДн (ранее – аттестацией ИСПДн), список которых приведен ниже.

Основные этапы работ по обеспечению безопасности персональных данных

Обследование информационных систем

В ходе предпроектного обследования информационных ресурсов Заказчика осуществляется получение исходной информации об особенностях обработки персональных данных путем анализа представленных документов и результатов интервьюирования сотрудников Заказчика.

Перечень проводимых работ:

разрабатывается перечень информационных систем обработки персональных данных;
определяется состав и местонахождение персональных данных, обрабатываемых в каждой информационной системе;
описывается состав и структура информационных систем (состав программного и аппаратного обеспечения, топология, применяемые средства защиты информации);
на основе предоставленных Заказчиком исходных данных относительно архитектуры сети (схемы сети физической и логической) разрабатывается схема корпоративной информационной системы (далее - КИС), соответствующая требованиям Регуляторов. Схема КИС должна отражать:
- структуру сети (топологию);
- уровни сетевой структуры;
- подсистему рабочих групп;
- подсистему оборудования;
- подсистему защиты сети;
- подсистему подключения региональных сетей;
обосновывается необходимость использования средств криптографической защиты информации в целях обеспечения безопасности персональных данных;
проводится предварительная классификация систем обработки персональных данных;
по результатам предварительной классификации составляется полный перечень организационно-технических мероприятий по защите персональных данных для каждой информационной системы. В дальнейшем, при разработке Модели угроз персональных данных, этот перечень корректируется (уточняется);
осуществляется сбор и анализ документов по обеспечению безопасности информации (положения, руководства, инструкции, парольные политики, правила разграничения доступа, приказы о назначении ответственных по защите ПДн и т.д.).

Результаты работ этапа обследования:

отчет об обследовании информационных систем персональных данных;
модель угроз персональных данных и модель нарушителя их безопасности (для «специальных» систем);
проекты актов классификации ИСПДн.

Проектирование системы защиты персональных данных

На основе разработанной модели угроз персональных данных формируются организационно-технические требования, предъявляемые к информационным системам персональных данных. В зависимости от них определяется класс защиты персональных данных, осуществляется выбор средств защиты (с учетом уже имеющихся в распоряжении) и разработка технического задания и (или) технических условий на создание системы защиты конфиденциальной информации.

Техническое задание согласовывается и утверждается Заказчиком.

На основе технического задания разрабатываются варианты проектных решений по системе защиты информации и ее частям (подсистемам).

Разработка организационно-распорядительных документов

Основной целью данного этапа работ является разработка комплекта шаблонов документации, необходимого для прохождения государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области обеспечения безопасности персональных данных.

Примерный перечень разрабатываемых документов

ПОЛОЖЕНИЯ:

о порядке обработки персональных данных;
о подразделении, осуществляющем функции по организации защиты персональных данных;
по организации режима и контроля доступа в помещения, в которых установлены аппаратные средства информационных систем персональных данных.

ПРИКАЗЫ:

о создании комиссии по классификации информационных систем персональных данных;
о назначении структурных подразделений, осуществляющих функции по обеспечению безопасности персональных данных;
об утверждении мест хранения материальных носителей персональных данных.

ПЛАНЫ:

план мероприятий по защите персональных данных;
план внутренних проверок состояния защиты персональных данных.

ДРУГИЕ ДОКУМЕНТЫ:

перечень сведений конфиденциального характера;
инструкция о порядке учета, хранения и уничтожения носителей персональных данных на магнитной, магнитооптической и бумажной основе;
проекты договоров с клиентами и партнерами;
набор типовых форм документов, используемых при обработке персональных данных:
- форма согласия субъекта на обработку его персональных данных;
- форма согласия субъекта на принятие решений, основанных исключительно на автоматизированной обработке персональных данных, порождающих юридические последствия;
- форма согласия субъекта на трансграничную передачу персональных данных;
- форма согласия субъекта на получение персональных данных у третьей стороны;
- форма согласия субъекта на передачу персональных данных третьей стороне;
- форма уведомления субъекта об обработке его персональных данных;
- форма уведомления субъекта о блокировании его персональных данных;
- форма уведомления субъекта о внесении изменений в его персональные данные;
- форма уведомления субъекта о прекращении обработки и уничтожении его персональных данных;
- форма отказа субъекту в предоставлении сведений;
- форма разъяснения субъекту порядка принятия решения на основании исключительно автоматизированной обработки персональных данных;
- форма уведомления об изменениях в реквизитах оператора персональных данных;
- форма уведомления об устранении нарушений в порядке обработки персональных данных;
- форма уведомления о внесении изменений в персональные данные;
- форма уведомления об уничтожении персональных данных;
- форма акта о выделении к уничтожению документов, не подлежащих хранению;
- форма заключения о готовности средства защиты информации к эксплуатации;
- форма журнала учета обращений субъектов персональных данных;
- форма журнала учета носителей персональных данных;
- форма журнала учета лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей;
- форма журнала учета применяемых средств защиты информации;
- форма журнала учета посетителей защищаемых объектов.

Внедрение системы защиты ПДн

На основании технического задания, разработанного на этапе проектирования СЗПДн, осуществляется установка и настройка средств защиты информации.

Этап внедрения предполагает встраивание компонентов системы защиты информации в существующую среду компании и должен осуществляться совместно с сотрудниками ИТ-подразделений компании-заказчика. Это обусловлено тем, что работы по интеграции могут влиять на текущую деятельность компании, а технические сбои в этом случае недопустимы.

Работы по внедрению делятся на несколько этапов:

подготовительный этап, в который входит разработка спецификации на требуемое оборудование и программное обеспечение, закупка и поставка технических средств защиты информации;
внедрение компонентов системы защиты ПДн, т.е. установка и настройка программно-аппаратных средств, а также их запуск в опытную эксплуатацию;
доработка СЗПДн по результатам опытной эксплуатации. На основании тестовых испытаний компонентов СЗПДн выявляются их недостатки, которые исправляются и система защиты ПДн запускается в промышленную эксплуатацию.

Оценка соответствия ИСПДн

При необходимости проводятся работы по оценке соответствия ИСПДн требованиям по безопасности информации, которые состоят из следующих основных этапов:

разработка программы и методики аттестационных испытаний:
- формируется перечень работ и их продолжительность, методика испытаний, определяется количественный и профессиональный состав аттестационной комиссии;
- определяются поpядок, содеpжание, условия и методы испытаний для оценки хаpактеpистик и показателей соответствия их установленным тpебованиям, проверяемых при аттестации, а контpольная аппаpатуpа и тестовые сpедства, применяемые в этих целях, опpеделяются в методиках испытаний pазличных видов объектов информатизации;
- согласование программы аттестационных испытаний с Заказчиком;
проведение специальных исследований, направленных на выявление каналов утечки защищаемой информации:
- осуществляется анализ оpганизационной стpуктуpы объекта информатизации, инфоpмационных потоков, состава и стpуктуpы комплекса технических сpедств и пpогpаммного обеспечения, системы защиты инфоpмации на объекте, pазpаботанной документации и ее соответствия тpебованиям ноpмативной документации по защите инфоpмации;
- проводятся комплексные аттестационные испытания объекта информатизации в pеальных условиях эксплуатации;
- офоpмляются пpотоколы испытаний и заключение по pезультатам аттестации;
оформление «Аттестата соответствия», регистрация его в органе по контролю и надзору и выдача Заказчику.

Сопровождение системы защиты персональных данных

После запуска в действие системы защиты персональных данных, по окончании гарантийного периода, наши специалисты готовы и в дальнейшем оказывать поддержку работы систем обеспечения информационной безопасности.

В рамках договора аутсорсинга компания ReignVox берет на себя функции по сопровождению установленных средств защиты информации, что дает Заказчику следующие преимущества:

отсутствие необходимости содержать в штате высокопрофессиональных специалистов;
отсутствие необходимости получения лицензий ФСТЭК на ТЗКИ и лицензий ФСБ на обслуживание криптографических средств защиты информации, при эксплуатации таких средств.

Консалтинг

При необходимости компания ReignVox может подключиться к проекту по обеспечению безопасности персональных данных на любом из его этапов и выполнить отдельные виды работ (например, аудит нормативной базы Заказчика, обследование инфраструктуры и разработка рекомендаций, аттестация ИСПДн и других объектов информатизации и т.д.).

Tweet
	Нравится

Кстати...

Скачайте нашу брошюру «Защита персональных данных», из которой вы сможете почерпнуть массу полезной информации

Скачать [PDF]