Приведение в соответствие требованиям Федерального закона №152-ФЗ «О персональных данных»

Компании, которые в соответствии с федеральным законом №152-ФЗ «О персональных данных» относятся к «операторам персональных данных», обязаны выполнить комплекс мероприятий по обеспечению безопасности персональных данных при их автоматизированной и неавтоматизированной обработке.

Лаборатория ВС осуществляет работы по приведению в соответствие требованиям законодательства процессов организации обработки и защиты персональных данных. В качестве исходных данных для проведения работ могут использоваться как результаты внешней оценки соответствия, проводимой специалистами Лаборатория ВС, так и результаты работ, проводимых ранее иными организациями, специализирующими в области защиты информации (однако, в этом случае необходимо провести экспресс оценку отчётных документов).

Лаборатория ВС реализует комплексные проекты по приведению в соответствие требованиям Федерального закона №152-ФЗ «О персональных данных» и Регуляторов по двум направлениям, связанным как с выполнением требований к организации обработки персональных данных (в том числе при их неавтоматизированной обработке), так и с защитой персональных данных, обрабатываемых в информационных системах персональных данных, в соответствии с требованиями ФСТЭК и ФСБ России. Подобный подход обеспечивает полноценную подготовку организации-оператора персональных данных к плановым и внеплановым проверкам регулирующих органов.

Работы в области организации обработки персональных данных

1. Реструктуризация обработки ПДн

Данный этап осуществляется при необходимости и по согласованию с Заказчиком, в случае, если на этапе оценки соответствия порядка обработки и защиты персональных данных выявлены возможности по существенному снижению последующих затрат на формирование системы защиты персональных данных, за счет внесения несущественных изменений в отдельные технологические процессы Заказчика, связанные с обработкой ПДн.

2. Разработка нормативной и организационно-распорядительной документации

На данном этапе осуществляется разработка проектов нормативных и организационно-распорядительных документов. Комплект разрабатываемых документов формируется с учетом структуры и особенностей Заказчика и в полной мере соответствует требованиям законодательства.

Работы в области организации защиты персональных данных

1. Моделирование угроз, определение необходимого уровня защищенности и необходимых организационных и технических мер по защите персональных данных при их обработке в ИСПДн

На данном этапе осуществляется разработка модели угроз безопасности персональных данных и определение необходимого уровня защищенности персональных данных. На основе разрабатываемой модели и в зависимости от необходимого уровня защищенности формируется перечень организационных и технических мер, необходимых к реализации в информационной системе персональных данных.

Определение необходимых к реализации мер осуществляется с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы — в том числе осуществляется исключение мер непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе. Также при невозможности технической реализации отдельных мер, а также с учетом экономической нецелесообразности их реализации по согласованию с Заказчиком разрабатываются иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных.

На основе разработанного перечня организационных и технических мер формируется техническое задание на систему защиты персональных данных, в котором определяются и конкретизируются отдельные требования к реализации каждой из подсистем защиты информации (подсистеме управления доступом, подсистеме межсетевого экранирования и т. д.).

2. Разработка технического проекта на СЗПДн

На этапе технического проектирования осуществляется проработка функциональной и системной архитектуры системы защиты персональных данных, формируются варианты построения подсистем системы защиты с использованием средств различных разработчиков, проводится оценка прорабатываемых вариантов по стоимости, трудоемкости и удобству дальнейшей эксплуатации.

Порядок оформления и предъявления Заказчику результатов работ по созданию системы защиты персональных данных соответствует требованиям комплекса стандартов и руководящих документов на автоматизированные системы и представляется в виде пояснительной записки.

По согласованию с Заказчиком, на стадии технического проектирования могут быть организованы стендовые испытания системы защиты персональных данных (ее отдельных компонентов) по разрабатываемой и согласовываемой для этих целей программе.

3. Реализация технических и организационных мероприятий по приведению процессов защиты ПДн в соответствие требованиям действующего законодательства

На данном этапе осуществляется реализация проектных решений, включающая:

  • Подготовку ИТ-инфраструктуры Заказчика к реализации проектных решений по защите информационных систем персональных данных.
  • Поставку, пуско-наладку и конфигурирование средств защиты информации.
  • Реализацию необходимых организационно-технических мероприятий по защите персональных данных и технических средств информационных систем персональных данных.
  • Реализацию разрешительной системы доступа к информационным системам персональных данных.

Специалистами Лаборатория ВС организуется опытная эксплуатация внедренных средств и систем защиты информации, а так же производится обучение администраторов и работников Заказчика правилам их эксплуатации.

4. Оценка эффективности реализованных технических и организационных мероприятий

В настоящий момент легитимны две формы оценки эффективности реализованных технических и организационных мероприятий:

  • Оценка эффективности реализованных мер по защите персональных данных при их обработке в ИСПДн в ходе проведения аттестационных испытаний, неоспоримыми преимуществами которой являются, во-первых, максимальное обеспечение соответствия СЗПДн и соответствующей документации в части защиты ПДн требованиям Регуляторов, во-вторых – комплексный подход к проверке защищаемого объекта информатизации в реальных условиях эксплуатации, позволяющий оценить соответствие применяемого комплекса мер и средств защиты требуемому уровню ИБ. Компания Лаборатория ВС обладает лицензией ФСТЭК, позволяющей проводить необходимые работы по аттестации информационных систем персональных данных. Выданный Нашей компанией Аттестат соответствия закрепляет ответственность Лаборатории ВС за качество реализации всего комплекса работ по защите персональных данных при их обработке в ИСПДн перед Регуляторами в ходе проведения проверочных мероприятий.
  • Декларирование соответствия ИСПДн требованиям по безопасности информации – форма самостоятельного подтверждения (оценки эффективности) оператором ПДн соответствия реализованных мероприятий по защите ПДн в ИСПДн, которая, по сути, подразумевает выполнение фактических тех же действий что и в ходе «аттестации». В ходе декларирования оператор ПДн может самостоятельно сформировать доказательственные материалы для подтверждения соответствия ИСПДн требованиям по защите ПДн.

Следует учитывать, что в настоящий момент практика «Декларирования соответствия» не получила широкого распространения и не всегда воспринимается Регуляторами, в первую очередь, по причине неспособности операторов самостоятельно реализовать необходимый перечень организационно-технических мероприятий в соответствии с требованиями по защите ПДн и подготовить необходимые доказательные материалы.

Подробное описание порядка проведения работ по защите ПДн Скачать описание работ в pdf