Сокращения:
ИСПДн - информационная система персональных данных;
СЗПДн - система защиты персональных данных.
В соответствии с Приказом ФСТЭК №58 от 05.02.2010 все средства защиты информации, применяемые для защиты персональных данных, должны быть сертифицированы. Для производства всех работ требуется лицензия ФСТЭК «На деятельность по технической защите конфиденциальной информации».
Этап | Работы | Результат работ | Правовое обоснование |
1. Обследование ИСПДн | Инвентаризация ИСПДн | Отчет, содержащий: общее описание, территориальное расположения ИСПДн, физическое размещения объектов информатизации, схемы границ контролируемой зоны, перечень, состав и программно-аппаратную конфигурацию автоматизированных рабочих мест ИСПДн, состава обрабатываемых персональных данных, основания их обработки и т.д. | Постановление Правительства № 781 от 17.11.2007 |
Классификация ИСПДн | Приказ о назначении комиссии по классификации ИСПДн Акты классификации | Приказ ФСТЭК, ФСБ, Минсвязи № 55/86/20 от 13.02.2008 |
Подача уведомления в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) | Уведомление | Федеральный закон № 152-ФЗ от 27.07.2006 Приказ Россвязьком-надзора от «17» июля 2008 № 08 |
2. Организационные мероприятия | Разработка организационно-распорядительной документации | Проекты организационно-распорядительных документов Частная модель угроз персональным данным | Постановления Правительства № 781 от 17.11.2007 Постановление Правительства № 687 от 15.09.2008 Ведомственные рекомендации (например, Минздравсоц-развития) |
3. Проектирование, построение и ввод в действие СЗПДн | Проектирование СЗПДн | Техническое задание (Технический проект) на СЗПДн, содержащее требования к СЗПДн применительно к конкретной ИСПДн | Постановления Правительства № 781 от 17.11.2007 Приказ ФСТЭК №58 от 05.02.2010 |
Приобретение, установка и настройка СЗПДн | Сертификаты соответствия на средства защиты информации Установка на объекты информатизации средств защиты информации с настройкой под конкретные требования | Постановления Правительства № 781 от 17.11.2007 Приказ ФСТЭК №58 от 05.02.2010 |
Ввод в эксплуатацию | Акты о вводе в эксплуатацию средств защиты информации с фиксацией настроек | Постановления Правительства № 781 от 17.11.2007 |
Подтверждение соответствия (аттестация) - производится по желанию | Технический паспорт ИСПДн Программа испытаний Протоколы испытаний Аттестат соответствия | - |
Этап 4. Эксплуатация информационной системы персональных данных, защищенной в соответствии с требованиями законодательства:
- контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
- обучение ответственных за обработку персональных данных лиц;
- контроль за изменением состава ответственных лиц, поддержание в актуальном состоянии организационной документации;
- фиксация в журнале поступлений запросов от субъектов персональных данных;
- периодический контроль защищенности: тестирование средств защиты информации, обновление программных средств, устранение уязвимостей ПО и т.д.;
- учет применяемых средств защиты информации, а также сменных носителей информации, содержащих персональные данные;
- разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации.
