Обзор законодательства

Ты не пройдешь: как создать систему защиты персональных данных

Каждый оператор персональных данных заинтересован, чтобы его деятельность была безопасной. Построение систем защиты персональных данных  в равной степени актуально и для госструктур, и для коммерческих организаций.

Система защиты ПДн служит своего рода средством поддержания непрерывной работы компании, позволяющим работать, не боясь претензий регулирующих органов, сотрудников и клиентов.

Создание систем защиты персональных данных (СЗПДн) — это разработка технических и организационных мер, которые должны защитить персональные данные в соответствии с 152-ФЗ «О персональных данных».

Условно создание СЗПДн можно разделить на три стадии, которые реализуются в несколько этапов.

Первая стадия: предпроектнный период

На этом этапе проходит разработка всех необходимых документов и нормативных актов.

Обследование информационных систем персональных данных. Перед созданием проекта проводится обследование ИСПДн, которая позволяет понять, как в компании обрабатываются и защищаются данные. Также из обследования становится понятно, соответствуют ли документы организации нормативной базе в области защиты ПДн.

Разработка концепции защиты персональных данных и выработка рекомендаций по оптимизации процессов обработки и защиты информации. Документ создается для  оценки вариантов реализации проекта. С его помощью устанавливаются отправные точки, выявляются вопросы и ограничения, описываются решения, перечень и стоимость технических и программных средств защиты информации.

Определение уровня защищенности персональных данных. На этом этапе определяется типы угроз, выявляется состав и количество субъектов ПДн. Эта информация позволяет определить уровень защищенности персональных данных.

Разработка модели угроз и нарушителя. Составляется документ, который содержит перечень угроз безопасности ПДн при их обработке. Угрозы могут исходить от физлиц, криминальных группировок, зарубежных спецслужб или организаций, действия которых могут нарушить безопасность ПДн и привести к ущербу интересов общества, страны и людей.

Разработка технического задания на создание системы защиты персональных данных. В документе указываются назначение системы, цели ее создания, требования к организационному и техническому обеспечению, порядок разработки и внедрения системы.

Проектирование системы защиты персональных данных. На этом этапе выполняется разработка технического проекта на систему защиты, согласно всем требованиям нормативных актов по защите ПДн.

Разработка комплекта организационно-распорядительной документации. В этот период составляются несколько десятков документов, которые необходимы для организации работы в рамках действующего законодательства.

Вторая стадия: период активного проектирования средств защиты персональных данных

Поставка средств защиты информации. Происходит постановка средств защиты персональных данных, соответствующих требованиям законодательства РФ.

Установка и настройка средств защиты информации. Процесс установки и настройки СЗИ, проверка корректности ее работы и совместимости с техническими средствами и ПО информационной системы персональных данных.

Третья стадия: ввод в эксплуатацию

Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных. Эта процедура производится до ввода информационной системы персональных данных в эксплуатацию. Оценка проводится для коммерческих организаций раз в три года.

Аттестация информационных систем персональных данных по требованиям безопасности информации. Специалисты проверяют соответствие системы требованиям безопасности. Мероприятия проводятся для государственных организаций.

После успешного запуска работы системы защиты персональных данных происходит техническое обслуживание ее функционирования.