Обеспечение соответствия требованиям ФЗ-152 "О персональных данных"

Цели и задачи

Основной целью выполнения работ является обеспечение соответствия организации Заказчика требованиям Федерального Закона РФ № 152 «О персональных данных».

В ходе выполнения работ должны быть решены следующие задачи:

• Разработка и внедрение системы защиты персональных данных (СЗПДн) в соответствии с требованиями ФЗ РФ № 152-ФЗ «О персональных данных», Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 17 ноября 2007 г. № 781), Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15 сентября 2008 г. № 687), а также требованиями нормативных документов ФСТЭК и ФСБ России по защите персональных данных
• Подготовка и проведение аттестационных испытаний информационных систем персональных данных (ИСПДн) по требованиям безопасности информации, в соответствии с  Положением по аттестации объектов информатизации по требованиям безопасности информации (утв. председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.), Специальными требованиями и рекомендациями по защите конфиденциальной информации (СТР-К) ФСТЭК России и другими нормативными документами.

Порядок выполнения работ

Этап 1. Предварительное обследование информационных систем персональных данных (ИСПДн) и разработка концепции обеспечения безопасности персональных данных (ПДн)

• Определение и документирование области и границ ИСПДн
• Сбор и документирование исходных данных по ИСПДн, включая физическое расположение, организационную структуру, состав и структуру программно-технических средств, процессы обработки ПДн и т.п.
• Классификация ИСПДн
• Идентификация и анализ применимых требований законодательства и нормативной базы по ПДн, а также проверка их выполнения
• Идентификация ПДн, используемых способов их получения, обработки и защиты
• Идентификация и анализ существующих процессов и средств обеспечения безопасности ПДн
• Разработка модели актуальных угроз в отношении ПДн и модели нарушителя
• Анализ защищенности ИСПДн, идентификация и анализ технических и организационных уязвимостей
• Подготовка отчета по результатам предварительного обследования
• Разработка концепции создания СЗПДн

Разрабатываемая документация:

• Описание ИСПДн
• Акт классификации ИСПДн
• Реестр требований безопасности
• Модель нарушителя и модель актуальных угроз ПДн
• Отчет по результатам предварительного обследования
• Концепция создания СЗПДн

Этап 2. Разработка и внедрение системы защиты персональных данных (СЗПДн)

• Разработка Технического задания на создание СЗПДн
• Техническое и рабочее проектирование СЗПДн
• Подготовка технического паспорта ИСПДн
• Разработка и внедрение документированных процедур сбора, хранения, обработки, передачи, предоставления и уничтожения ПДн
• Разработка положений об управлении доступом к ПДн, использовании внешних носителей ПДн, организации контроля эффективности и мониторинга СЗПДн и т.п.
• Подготовка перечней носителей ПДн, должностных лиц, допущенных к обработке ПДн, прав доступа и привилений пользователей в ИСПДн и т.п.
• Поставка, установка и настройка сертифицированных средств защиты информации (СЗИ)
• Разработка эксплуатационной документации СЗПДн
• Обучение пользователей и технического персонала ИСПДн

Разрабатываемая документация:

• ТЗ на создание СЗПДн
• Пояснительная записка к техническому проекту СЗПДн
• Спецификация программных и технических средств СЗПДн
• Документированные процедуры сбора, хранения, обработки, передачи, предоставления и уничтожения ПДн
• Положения об управлении доступом к ПДн, использовании внешних носителей ПДн, организации контроля эффективности и мониторинга СЗПДн и т.п.
• Перечни носителей ПДн, должностных лиц, допущенных к обработке ПДн, прав доступа и привилений пользователей в ИСПДн и т.п.
• Приказы о назначении администратора СЗПДн, утверждении списка лиц, допущенных к обработке ПДн
• Должностные инструкции администратора СЗПДн и ответственных лиц, имеющих доступ к ИСПДн
• Эксплуатационная документация СЗПДн
• Материалы учебных курсов и тренингов по защите ПДн

Этап 3. Аттестационные испытания информационных систем обработки персональных данных (ИСПДн) по требованиям безопасности информации

• Разработка программы и методики проведения аттестационных испытаний ИСПДн
• Проведение испытаний отдельных компонентов и подсистем ИСПДн и оформление соответствующих протоколов по результатам испытаний
• Проведение специсследований средств вычислительной техники на ПЭМИН и выдача предписаний на эксплуатацию
• Проведение аттестации серверной комнаты
• Подготовка заключения по результатам аттестационных испытаний объекта информатизации
• Оформление «Аттестата соответствия» ИСПДн требованиям по обеспечению безопасности ПДн

Разрабатываемая документация:

• Программа и методика аттестационных испытаний ИСПДн
• Протоколы аттестационных испытаний ИСПДн
• Предписания не эксплуатацию СВТ
• Заключение по результатам аттестационных испытаний ИСПДн
• Аттестат соответствия ИСПДн требованиям по обеспечению безопасности ПДн