Проектирование СЗПДн.
Защита персональных данных
Только учет данных факторов позволяет добиться того, что созданная в результате проектирования СЗПДн будет отвечать всем требованиям по защите и при этом не оказывать негативного влияния на работу модернизируемой (создаваемой) ИСПДн, а значит и на все бизнес-процессы организации Оценка соответствия ИСПДн требованиям безопасности персональных данных Оценка соответствия ИСПДн по требованиям… Читать ещё >
Проектирование СЗПДн. Защита персональных данных (реферат, курсовая, диплом, контрольная)
На стадии проектирования и создания ИСПДн (СЗПДн) проводятся следующие мероприятия:
- · разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) ИСПДн в соответствии с требованиями технического (частного технического) задания на разработку СЗПДн;
- · разработка раздела технического проекта на ИСПДн в части защиты информации;
- · строительно-монтажные работы в соответствии с проектной документацией;
- · использование серийно выпускаемых технических средств обработки, передачи и хранения информации;
- · разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;
- · использование сертифицированных технических, программных и программно-технических средств защиты информации и их установка;
- · сертификация программных средств защиты информации по требованиям безопасности данных в случае, когда на рынке отсутствуют требуемые сертифицированные средства защиты информации;
- · разработка и реализация разрешительной системы доступа пользователей к обрабатываемой в ИСПДн информации;
- · определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации, с их обучением по направлению обеспечения безопасности ПДн;
- · разработка эксплуатационной документации на ИСПДн и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);
- · выполнение других мероприятий, характерных для конкретных ИСПДн и направлений обеспечения безопасности персональных данных.
Проектирование СЗПДн является одним из самых трудоемких и ответственных этапов по созданию системы защиты. Понимая это и имея значительный опыт в этой области, специалисты компании «Инфосистемы Джет» проводят работы с учетом следующих факторов:
- · совместимости средств защиты со штатным программным обеспечением ИСПДн;
- · степени снижения производительности функционирования ИСПДн по основному назначению;
- · наличия подробной документации по эксплуатации средств защиты;
- · возможность осуществления периодического тестирования или самотестирования средств защиты ПДн;
- · возможность наращивания состава средств защиты новыми дополнительными средствами без осуществления ограничений работоспособности ИСПДн и «конфликта» с другими типами средств защиты;
- · гармонизации средств защиты информации с уже существующими в информационной системе;
- · масштабирование (распространение) применяемых решений по защите ПДн на остальные информационные системы.
Только учет данных факторов позволяет добиться того, что созданная в результате проектирования СЗПДн будет отвечать всем требованиям по защите и при этом не оказывать негативного влияния на работу модернизируемой (создаваемой) ИСПДн, а значит и на все бизнес-процессы организации Оценка соответствия ИСПДн требованиям безопасности персональных данных Оценка соответствия ИСПДн по требованиям безопасности ПДн проводится:
- · для ИСПДн 1 и 2 классов — обязательная сертификация (аттестация) по требованиям безопасности информации;
- · для ИСПДн 3 класса — декларирование соответствия или обязательная сертификация (аттестация) по требованиям безопасности информации (по решению оператора);
- · для ИСПДн 4 класса оценка соответствия проводится по решению оператора.
Аттестация ИСПДн заказчика по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых в ИСПДн мер и средств защиты данных.
Под аттестацией объекта информатизации понимается комплекс организационно-технических мероприятий, в результате которых специальным документом — «Аттестатом соответствия» подтверждается, что ИСПДн заказчика соответствуют требованиям стандартов и нормативно-технических документов по безопасности ПДн, утвержденных ФСТЭК России.
Оценка соответствия ИСПДн по требованиям безопасности информации включает в себя следующие работы:
- 1. Разработка пакета аттестационных документов. Формируется пакет организационно-распорядительной и технической документации на аттестуемую ИСПДн, содержащий:
- · программу и методику аттестационных испытаний;
- · проект документа «Перечень персональных данных, обрабатываемых в ИСПДн»;
- · проект документа «Перечень лиц, допущенных к обработке ПДн»;
- · проект документа «Перечень лиц, допущенных в помещения, в которых располагаются технические средства ИСПДн»;
- · проект документа «Акт классификации ИСПДн»;
- · проект документа «Акт внедрения СЗИ»;
- · технический паспорт на ИСПДн;
- · проекты приказов о назначении ответственных за обеспечение режима безопасности персональных данных;
- · инструкция по обеспечению безопасности персональных данных;
- · описание технологии обработки информации в ИСПДн.
- 2. Проведение аттестационных испытаний. Уровень безопасности информации, оцениваемый в процессе аттестационных испытаний, определяется классом ИСПДн (по классификации в соответствии нормативно-методическими документами ФСТЭК России). При этом выполнятся следующие работы:
- · проведение аттестационных испытаний ИСПДн;
- · разработка отчетных документов.
Аттестационные испытания ИСПДн осуществляются аттестационной комиссией, формируемой органом по аттестации, аккредитованным ФСТЭК России. Аттестационные испытания проводятся по программе и методике испытаний и в соответствии с Положением по аттестации объектов автоматизации.
Аттестационные испытания ИСПДн предполагают проведение следующих проверок:
- · проверка состояния технологического процесса автоматизированной обработки персональных данных в ИСПДн;
- · проверка ИСПДн на соответствие организационно-техническим требованиям по защите информации;
- · испытания ИСПДн на соответствие требованиям по защите информации от несанкционированного доступа.
Результатом работ на данном подэтапе является:
- · Протокол аттестационных испытаний;
- · Заключение по результатам аттестационных испытаний;
- · Аттестат соответствия на ИСПДн (выдается в случае положительного Заключения);
- · Акт о переводе СЗПДн в промышленную эксплуатацию (в случае наличия положительного заключения по результатам аттестационных испытаний ИСПДн).