• 
• О компании
• Пресс-центр
• Услуги
• Решения
• Онлайн-конференции
• Защита персональных данных
• Новости законодательства
• Путеводитель по персональным данным
• Нормативно-правовая база
• Меры по обеспечению защиты ПДн
• Получение лицензий
• Кто попадает под действие закона
• Отраслевым ассоциациям и союзам
• Термины и сокращения
• Календарь событий
• Скачать брошюру о Защите персональных данных
• Комментарии экспертов
• Классификатор ИСПДн
• Сформировать уведомление об обработке ПДн
• Задать вопрос специалисту
• Форум

Меры по обеспечению защиты ПДн

Действия оператора персональных данных

В соответствии с требованиями законодательства оператор персональных данных проводит комплекс мероприятий по созданию системы защиты персональных данных, которые состоят из организационных и технических мер защиты информации и включают в себя следующие действия:

• Уведомление уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных (предварительно определяются цели и содержание обработки персональных данных). Образец уведомления 
• Проведение работ по созданию системы защиты персональных данных (ПДн)
  • Проведение обследования информационных ресурсов предприятия в части обработки персональных данных,
  • Разработка документов, регламентирующих обработку персональных данных в организации (положение по обработке персональных данных, регламенты, положения по защите персональных данных).
  • Создание системы защиты персональных данных (СЗПДн), в том числе выполнение требований по инженерно-технической защите помещений.
  • Аттестация или декларирование соответствия информационных систем ПДн (ИСПДн) по требованиям безопасности информации.
• Повышение квалификации сотрудников в области защиты персональных данных.

  Порядок проведения работ

  Порядок работ по подготовке информационных систем персональных данных (ИСПДн) к проведению оценки соответствия ИСПДн требованиям безопасности персональных данных (ПДн) и созданию системы защиты ПДн (СЗПДн):

  1. Проведение обследования автоматизированных систем (АС) Заказчика в части обработки в АС ПДн:
     • анализ информационных ресурсов:
       • определение перечня всех существующих ИСПДн в составе АС Заказчика;
       • определение состава и структуры каждой ИСПДн и технических особенностей ее/их построения (состав и структура ПО, топология ИСПДн);
       • определение перечня и местонахождения ПДн, подлежащих защите;
       • категорирование персональных данных;
       • определение режима обработки ПДн в целом и отдельных компонентах.
     • анализ уязвимых звеньев и возможных угроз безопасности ПДн:
       • оценка возможности физического доступа к ИСПДн;
       • выявление возможных каналов утечки информации, в т.ч. технических;
       • анализ возможностей программно-математического воздействия на ИСПДн;
       • анализ возможностей электромагнитного воздействия на ИСПДн.
     • оценка ущерба от реализации угроз безопасности ПДн:
       • оценка непосредственного ущерба от реализации угроз безопасности ПДн;
       • оценка опосредованного ущерба от реализации угроз безопасности ПДн.
     • анализ имеющихся в распоряжении мер и средств защиты ПДн:
       • от физического доступа;
       • от утечки по техническим каналам;
       • от несанкционированного доступа (НСД);
       • от программно-математического воздействия;
       • от электромагнитных воздействий.
  2. Обоснование требований по обеспечению безопасности ПДн, обрабатываемых в ИСПДн:
     • разработка модели угроз безопасности ПДн;
     • разработка модели нарушителя безопасности ПДн;
     • составление перечня и проведение оценки актуальных угроз безопасности ПДн;
     • определение класса ИСПДн.
  3. Обоснование требований по обеспечению безопасности ПДн с использованием криптосредств:
     • разработка модели угроз безопасности ПДн с использованием криптосредств;
     • разработка модели нарушителя безопасности ПДн с использованием криптосредств;
     • определение требуемого уровня криптографической защиты ПДн;
     • определение требуемого уровня специальной защиты от утечки по каналам побочных излучений и наводок при защите ПДн с использованием криптосредств.
  4. Проведение работ по организации обеспечения безопасности ПДн при их обработке в ИСПДн:
     • разработка и согласование с уполномоченными службами Заказчика требований к системе защиты персональных данных (СЗПДн) и формулирование задач по защите ПДн (разработка перечня мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн);
     • разработка и согласование с уполномоченными службами Заказчика замысла обеспечения безопасности ПДн;
     • выбор способов, мер и средств защиты ПДн в соответствии с мероприятиями по защите;
     • разработка технического задания (ТЗ) на СЗПДн.
  5. Разработка документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн.
  6. Развертывание и ввод в опытную эксплуатацию СЗПДн в ИСПДн.
  7. Доработка СЗПДн по результатам опытной эксплуатации.
  8. Проведение работ по оценке соответствия ИСПДн по требованиям безопасности ПДн (сертификация (аттестация) по требованиям безопасности информации для ИСПДн 1 и 2 классов, декларирование соответствия требованиям безопасности информации для ИСПДн 3 класса, оценка соответствия для ИСПДн 4 класса).

  Примерный перечень организационно-распорядительных документов

  • Положение об обработке персональных данных;
  • Положение по защите персональных данных;
  • Регламент взаимодействия с субъектами персональных данных;
  • Регламент взаимодействия с уполномоченными органами;
  • Регламент взаимодействия при передаче персональных данных третьим лицам;
  • Регламент контроля режима обработки персональных данных;
  • Регламент обеспечения режима обработки персональных данных;
  • Инструкции администраторов безопасности персональных данных;
  • Инструкции пользователей по работе с персональными данными;
  • Должностные инструкции персонала в части обеспечения безопасности ПДн при их обработке;
  • Типовая форма согласия субъекта на обработку персональных данных и др.

  В каждой организации перечень документов может варьироваться в зависимости от специфики обработки ПДн, организационной структуры и других особенностей конкретного предприятия.

  Аттестация (сертификация) ИСПДн

  Информационные системы персональных данных (ИСПДн) 1-го, 2-го классов обязательно должны пройти процедуру аттестации (сертификации).

  • Аттестация ИСПДн требованиям информационной безопасности.
  • Сертификация средств защиты информации в ИСПДн на соответствие требованиям информационной безопасности.

  Комплекс работ по защите ПДн регламентирован нормативно-методическими документами, отдельные виды которых реализуются при наличии соответствующих лицензий, а их результат зависит от квалификации специалистов в сфере информационной безопасности.

  (Подробнее о лицензировании отдельных видов работ в разделе Получение лицензий)