2
ЭТАПЫ АТТЕСТАЦИИ ИСПДн



    Для выполнения требований закона №152 ФЗ «О персональных данных» необходимо провести  следующие организационные и технические мероприятия:

 

- произвести предпроектное обследование

 

- разработать техническое задание на создание системы защиты персональных данных (СЗПДн)

 

- создать и ввести в действие систему защиты персональных данных

 

- произвести оценку соответствия ИСПДн требованиям безопасности ПДн (аттестация).

 


Перечень нормативных и методических документов, в соответствии с которыми ведется разработка системы защиты ИСПДн

 

- Федеральный Закон РФ от 27 июля 2006 года №152-ФЗ «О персональных данных»;

 

- Постановление Правительства РФ от 15 сентября 2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

 

- Приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;

 

- Приказ ФСТЭК России от 5 февраля 2010 года №58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных»;

 

- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных заместителем директора ФСТЭК России 15 февраля 2008 года;

 

- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных заместителем директора ФСТЭК России 14 февраля 2008 года;

 

- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденных руководством 8 Центра ФСБ России 21 февраля 2008 года;

 

- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных руководством 8 Центра ФСБ России 21 февраля 2008 года.

 


Этапы выполнения работ

1. Этап предпроектного обследования:

 

- выявление и анализ процессов обработки ПДн в организации;

 

- определение перечня ПДн подлежащих защите;

 

- определение режимов обработки ПДн в ИСПДн в целом и в отдельных компонентах;

 

- определение конфигурации и топологии ИСПДн, внутренних связей, связей с другими системами;

 

- определение технических средств и систем в ИСПДн, условий их расположения общесистемных и прикладных программных средств;

 

- классификация ИСПДн;

 

- определение угроз безопасности ПДн к конкретным условиям функционирования (разработка частной модели угроз);

 

- разработка Технического задания на создание системы защиты ПДн;

 

- разработка проектов приказов, инструкций, методических рекомендаций, относящихся к вводу Системы защиты ПДн в ИСПДн в эксплуатацию, в том числе должностных инструкций лиц, ответственных за эксплуатацию и использование Системы.

 


2. Этап создания и ввода в действие СЗПДн:

 

 установка и наладка  сертифицированных технических, программных и программно-технических средств защиты информации;

 

- разработка и реализация разрешительной системы доступа пользователей;

 

- определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации;

 

- разработка проектов эксплуатационной документации на ИСПДн и средства защиты информации;

 

- генерация пакета прикладных программ в комплексе с программными средствами защиты информации;

 

- опытная эксплуатация средств защиты информации;

 

- приемно-сдаточные испытания средств защиты информации по результатам опытной эксплуатации.

 


3. Этап оценки соответствия ИСПДн требованиям безопасности ПДн:

 

- разработка программы и методики испытаний системы защиты ПДн в ИСПД;

 

- оценка мероприятий по защите от НСД к ПДн при их обработке в ИСПДн;

 

- оценка мероприятий по защите информации от утечки по техническим каналам;

 

- подготовка Заключения по результатам испытаний и Аттестата соответствия.

 

- подготовка Заключения по результатам испытаний и Аттестата соответствия.