Проектирование СЗПДн. 
Защита персональных данных

На стадии проектирования и создания ИСПДн (СЗПДн) проводятся следующие мероприятия:

• · разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) ИСПДн в соответствии с требованиями технического (частного технического) задания на разработку СЗПДн;
• · разработка раздела технического проекта на ИСПДн в части защиты информации;
• · строительно-монтажные работы в соответствии с проектной документацией;
• · использование серийно выпускаемых технических средств обработки, передачи и хранения информации;
• · разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;
• · использование сертифицированных технических, программных и программно-технических средств защиты информации и их установка;
• · сертификация программных средств защиты информации по требованиям безопасности данных в случае, когда на рынке отсутствуют требуемые сертифицированные средства защиты информации;
• · разработка и реализация разрешительной системы доступа пользователей к обрабатываемой в ИСПДн информации;
• · определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации, с их обучением по направлению обеспечения безопасности ПДн;
• · разработка эксплуатационной документации на ИСПДн и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);
• · выполнение других мероприятий, характерных для конкретных ИСПДн и направлений обеспечения безопасности персональных данных.

Проектирование СЗПДн является одним из самых трудоемких и ответственных этапов по созданию системы защиты. Понимая это и имея значительный опыт в этой области, специалисты компании «Инфосистемы Джет» проводят работы с учетом следующих факторов:

• · совместимости средств защиты со штатным программным обеспечением ИСПДн;
• · степени снижения производительности функционирования ИСПДн по основному назначению;
• · наличия подробной документации по эксплуатации средств защиты;
• · возможность осуществления периодического тестирования или самотестирования средств защиты ПДн;
• · возможность наращивания состава средств защиты новыми дополнительными средствами без осуществления ограничений работоспособности ИСПДн и «конфликта» с другими типами средств защиты;
• · гармонизации средств защиты информации с уже существующими в информационной системе;
• · масштабирование (распространение) применяемых решений по защите ПДн на остальные информационные системы.

Только учет данных факторов позволяет добиться того, что созданная в результате проектирования СЗПДн будет отвечать всем требованиям по защите и при этом не оказывать негативного влияния на работу модернизируемой (создаваемой) ИСПДн, а значит и на все бизнес-процессы организации Оценка соответствия ИСПДн требованиям безопасности персональных данных Оценка соответствия ИСПДн по требованиям безопасности ПДн проводится:

• · для ИСПДн 1 и 2 классов — обязательная сертификация (аттестация) по требованиям безопасности информации;
• · для ИСПДн 3 класса — декларирование соответствия или обязательная сертификация (аттестация) по требованиям безопасности информации (по решению оператора);
• · для ИСПДн 4 класса оценка соответствия проводится по решению оператора.

Аттестация ИСПДн заказчика по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых в ИСПДн мер и средств защиты данных.

Под аттестацией объекта информатизации понимается комплекс организационно-технических мероприятий, в результате которых специальным документом — «Аттестатом соответствия» подтверждается, что ИСПДн заказчика соответствуют требованиям стандартов и нормативно-технических документов по безопасности ПДн, утвержденных ФСТЭК России.

Оценка соответствия ИСПДн по требованиям безопасности информации включает в себя следующие работы:

• 1. Разработка пакета аттестационных документов. Формируется пакет организационно-распорядительной и технической документации на аттестуемую ИСПДн, содержащий:
  • · программу и методику аттестационных испытаний;
  • · проект документа «Перечень персональных данных, обрабатываемых в ИСПДн»;
  • · проект документа «Перечень лиц, допущенных к обработке ПДн»;
  • · проект документа «Перечень лиц, допущенных в помещения, в которых располагаются технические средства ИСПДн»;
  • · проект документа «Акт классификации ИСПДн»;
  • · проект документа «Акт внедрения СЗИ»;
  • · технический паспорт на ИСПДн;
  • · проекты приказов о назначении ответственных за обеспечение режима безопасности персональных данных;
  • · инструкция по обеспечению безопасности персональных данных;
  • · описание технологии обработки информации в ИСПДн.
• 2. Проведение аттестационных испытаний. Уровень безопасности информации, оцениваемый в процессе аттестационных испытаний, определяется классом ИСПДн (по классификации в соответствии нормативно-методическими документами ФСТЭК России). При этом выполнятся следующие работы:
  • · проведение аттестационных испытаний ИСПДн;
  • · разработка отчетных документов.

Аттестационные испытания ИСПДн осуществляются аттестационной комиссией, формируемой органом по аттестации, аккредитованным ФСТЭК России. Аттестационные испытания проводятся по программе и методике испытаний и в соответствии с Положением по аттестации объектов автоматизации.

Аттестационные испытания ИСПДн предполагают проведение следующих проверок:

• · проверка состояния технологического процесса автоматизированной обработки персональных данных в ИСПДн;
• · проверка ИСПДн на соответствие организационно-техническим требованиям по защите информации;
• · испытания ИСПДн на соответствие требованиям по защите информации от несанкционированного доступа.

Результатом работ на данном подэтапе является:

• · Протокол аттестационных испытаний;
• · Заключение по результатам аттестационных испытаний;
• · Аттестат соответствия на ИСПДн (выдается в случае положительного Заключения);
• · Акт о переводе СЗПДн в промышленную эксплуатацию (в случае наличия положительного заключения по результатам аттестационных испытаний ИСПДн).