Организационное и правовое обеспечение информационной безопасности. Для студентов и специалистов - Иван Андреевич Трещев 8 стр.


В связи с тем что ИСПДн по своим характеристикам и номенклатуре угроз безопасности ПДн близки к наиболее распространенным информационным системам, целесообразно при их защите максимально использовать традиционные подходы к технической защите информации.

8.6. Создание системы защиты информации объекта информатизации осуществляется по следующим стадиям:

 предпроектная стадия, включающая в себя предпроектное обследование объекта информатизации (ИСПДн), разработку аналитического обоснования необходимости создания системы защиты персональных данных (далее СЗПДн) и технического задания на ее создание;

 стадия проектирования (разработки проектов) и реализации ИСПДн, включающая в себя разработку СЗПДн в составе объекта информатизации (ИСПДн);

 стадия ввода в действие СЗПДн, включающая в себя опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации

(далее СрЗИ), а также оценку соответствия ИСПДн требованиям безопасности информации.

8.6.1. Предпроектная стадия обследования объекта информатизации (ИСПДн) включает в себя:

 установление необходимости обработки ПДн в ИСПДн;

 определение ПДн, подлежащих защите от НСД;

 определение условий расположения ИСПДн относительно границ КЗ;

 определение конфигурации и топологии ИСПДн в целом и ее отдельных компонентов, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;

 определение технических средств и систем, предполагаемых к использованию в разрабатываемой ИСПДн, условий их расположения, общесистемных и прикладных программных средств, имеющихся и предлагаемых к разработке;

 определение режимов обработки ПДн в ИСПДн в целом и в отдельных ее компонентах;

 определение класса ИСПДн;

 уточнение степени участия должностных лиц в обработке ПДн, характер их взаимодействия между собой;

 определение (уточнение) угроз безопасности ПДн применительно к конкретным условиям функционирования ИСПДн (разработка частной модели угроз).

8.6.2. По результатам предпроектного обследования на основе документов ФСТЭК России, с учетом установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности ПДн, включаемые в техническое (частное техническое) задание на разработку СЗПДн.

8.6.3. Предпроектное обследование может быть поручено специализированной организации, имеющей соответствующую лицензию. Порядок ознакомления (при необходимости) специалистов подрядной организации с защищаемыми сведениями определяется Организацией.

8.6.4. Аналитическое обоснование необходимости создания СЗПДн должно содержать:

 информационную характеристику и организационную структуру объекта информатизации;

 характеристику комплекса ТСИСПДн и ВТСС, программного обеспечения, режимов работы, технологического процесса обработки информации;

 возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;

 перечень предлагаемых к использованию сертифицированных СрЗИ;

 обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации;

 оценку материальных, трудовых и финансовых затрат на разработку и внедрение СЗПДн;

 ориентировочные сроки разработки и внедрения СЗПДн;

 перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации.

Аналитическое обоснование подписывается руководителем организации, проводившей предпроектное обследование, согласовывается с отделом безопасности или ответственным лицом и утверждается начальником Организации.

8.6.5. Техническое (частное техническое) задание на разработку СЗПДн должно содержать:

 обоснование разработки СЗПДн;

 исходные данные создаваемой (модернизируемой) ИСПДн в техническом, программном, информационном и организационном аспектах;

 класс ИСПДн;

 ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;

 конкретизацию мероприятий и требований к СЗПДн;

 перечень предполагаемых к использованию сертифицированных СрЗИ;

 обоснование проведения разработок собственных СрЗИ при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных СрЗИ;

 конкретизацию мероприятий и требований к СЗПДн;

 перечень предполагаемых к использованию сертифицированных СрЗИ;

 обоснование проведения разработок собственных СрЗИ при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных СрЗИ;

 состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.

8.6.6. В целях дифференцированного подхода к обеспечению безопасности ПДн в зависимости от объема обрабатываемых ПДн и угроз безопасности жизненно важным интересам личности, общества и государства ИСПДн подразделяются на классы.

Класс АС (ИСПДн) устанавливается в соответствии с «Порядком проведения классификации ИСНДн», утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 55/86/20, и оформляется актом.

Пересмотр класса защищенности АС (ИСПДНн) производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен.

8.6.7. На стадии проектирования и создания АС (ИСПДн, СЗПДн) проводятся следующие мероприятия:

 разработка задания и проекта проведения работ (в том числе строительных и строительно-монтажных) по созданию (реконструкции) ИСПДн в соответствии с требованиями технического (частного технического) задания на разработку СЗПДн;

 выполнение работ в соответствии с проектной документацией;

 обоснование и закупка совокупности используемых в ИСПДн серийно выпускаемых технических средств обработки, передачи и хранения информации;

 разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;

 обоснование и закупка совокупности используемых в ИСПДн сертифицированных технических, программных и программно-технических СрЗИ и их установка;

 проведение сертификации по требованиям безопасности информации технических, программных и программно-технических СрЗИ, в случае когда на рынке отсутствуют требуемые сертифицированные СрЗИ;

 разработка и реализация разрешительной системы доступа пользователей к обрабатываемой на ИСПДн информации;

 определение подразделений и назначение лиц, ответственных за эксплуатацию СрЗИ, с их обучением по направлению обеспечения безопасности ПДн;

 разработка эксплуатационной документации на ИСПДн и СрЗИ, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);

 выполнение других мероприятий, характерных для конкретных ИСПДн и направлений обеспечения безопасности ПДн.

8.6.8. На стадии ввода в действие АС (ИСПДн, СЗПДн) осуществляются:

 выполнение генерации пакета прикладных программ в комплексе с программными СрЗИ;

 опытная эксплуатация СрЗИ в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн;

 приемо-сдаточные испытания СрЗИ по результатам опытной эксплуатации;

 организация охраны и физической защиты помещений ИСПДн, исключающих несанкционированный доступ к техническим средствам ИСПДн, их хищение и нарушение работоспособности, хищение носителей информации;

 оценка соответствия ИСПДн требованиям безопасности ПДн.

9. Ответственность должностных лиц организации за обеспечение защиты информации, содержащей ПДн, на объекте информатизации

9.1. Лицами, ответственными за организацию, обеспечение и выполнение мероприятий по защите ПДн в Организации, являются:

 начальник Организации;

 начальник отдела безопасности;

 начальник отдела информационных технологий;

 системный администратор;

 администратор информационной безопасности;

 начальники отделов Организации;

 работники, допущенные к обработке ПДн в ИСПДн.

Они обязаны:

 не допускать проведения в Организации работ и мероприятий, связанных с использованием ПДн без принятия необходимых мер по защите ПДн;

 определять объекты информатизации, предназначенные для работы с ПДн, организовывать их защиту;

 контролировать работу структурных подразделений Организации и должностных лиц при обработке ПДн.

9.2. Начальник Организации несет ответственность за общую организацию работ по защите информации на объекте информатизации и созданию эффективной СЗПДн этих объектов.

9.3. Начальник отдела безопасности или администратор информационной безопасности несет ответственность за:

Назад Дальше