Этапы создания системы защиты персональных данных
Компания «Инфолайн» проводит полный цикл работ по созданию системы защиты персональных данных.
1. Предпроектный этап
Проведение обследования информационной системы персональных данных.
Разработка документов:
1. Отчет об обследовании информационной системы персональных данных.
2. Акт классификации ИСПДн.
3. Приказ о назначении администратора защиты.
4. Приказ о назначении ответственного за защиту ПДн лица.
5. Приказ о назначении ответственных за эксплуатацию ИСПДн и СЗИ.
6. Приказ о назначении ответственных за эксплуатацию СКЗИ.
7. Приказ о перечне ПДн.
8. Приказ о списке лиц допущенных к ПДн.
9. Приказ об обеспечении безопасности ПДн, в т.ч. типовые формы журналов для учета:
- криптосредств, ключевых носителей;
- средств защиты информации;
- носителей защищаемой информации;
- хранилищ;
- нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн;
- пользователей, допущенных к информационным системам персональных данных;
- периодического тестирования средств защиты;
- проверок электронных журналов.
10. Приказ об обработке ПДн.
11. Модель угроз ИСПДн (по методическим документам ФСТЭК).
12. Модель нарушителя ИСПДн (по методическим документам ФСБ).
13. Техническое задание на разработку СЗ ИСПДн.
2. Проектный этап
- Проектирование системы защиты персональных данных;
- Поставка средств защиты информации;
- Внедрение средств защиты информации;
- Обучение пользователей;
- Разработка нормативно-распорядительных документов (около 40 документов)
3. Опытная и промышленная эксплуатация
- Разработка методики приемо-сдаточных испытаний средств защиты информации;
- Проведение испытаний;
- Протоколирование;
- Ввод в эксплуатацию системы защиты.
4. Аттестация или декларирование
- Анализ организационной структуры объекта, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и её соответствие требованиям нормативной документации по защите информации.
- Определение правильности категорирования объекта (технических средств) и классификации автоматизированной системы по требованиям безопасности информации, выбора и применения сертифицированных средств и систем защиты информации.
- Проверка уровня подготовки кадров и распределения ответственности персонала за обеспечение выполнения требований по безопасности информации.
- Комплексные аттестационные испытания объектов в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации, объектовые специальные исследования ОТСС на соответствие требованиям по защите информации от утечки по каналам ПЭМИН.
- Испытание автоматизированной системы на соответствие требованиям по защите информации от несанкционированного доступа.
- Проверка эффективности применяемых на объекте средств и систем защиты информации.
- Оформление протокола испытаний и заключений по результатам аттестационных испытаний в соответствии с установленными требованиями.
- Оформление «Аттестата соответствия требованиям безопасности информации».