Техническое обслуживание и сопровождение СЗИ
Помимо технических решений создаваемой системы защиты персональных данных, оператор должен обеспечить разработку организационно-распорядительных документов, которые будут регулировать все возникающие вопросы по обеспечению безопасности ПДн при их обработке в ИСПДн и эксплуатации СЗПДн, поддерживать ее в актуальном состоянии, вести учет технической и эксплуатационной документации.
Таких документов достаточно много, основные из них:
- Положение по обеспечению безопасности ПДн (Политика в области защиты персональных данных) — в начале статьи мы уже касались назначения и состава этого документа. На всякий случай повторим — в нем должно быть указано:
– цель и задачи в области защиты персональных данных;
– понятие и состав персональных данных;
– в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
– как происходит сбор и хранение персональных данных;
– как они обрабатываются и используются;
– кто (по должностям) в пределах фирмы имеет к ним доступ;
– принципы защиты ПДн, в том числе от несанкционированного доступа;
– права работника в целях обеспечения защиты своих персональных данных;
– ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников. - Для организации системы допуска и учета лиц, допущенных к работе с ПДн в ИСПДн, — Список лиц, допущенных к обработке ПДн (перечень по должностям тех, кому доступ к ПДн необходим для выполнения служебных обязанностей) Документ утверждается руководителем.
- Частная модель угроз (если ИСПДн несколько, то модель угроз разрабатывается на каждую из них) — разрабатывается по результатам предварительного обследования. ФСТЭК России предлагает Базовую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, согласно которой при создании частной модели должны быть рассмотрены:
1. угрозы утечки информации по техническим каналам;
2. угрозы несанкционированного доступа, связанные с действиями нарушителей, имеющих доступ к ИСПДн, реализующих угрозы непосредственно в ИСПДн. При этом необходимо в качестве потенциальных нарушителей рассматривать легальных пользователей ИСПДн;
3. угрозы несанкционированного доступа, связанные с действиями нарушителей, не имеющих доступа к ИСПДн, реализующих угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена.Разработанная модель угроз утверждается руководителем. На основании утвержденной модели угроз ИСПДн необходимо разработать требования по обеспечению безопасности ПДн при их обработке в ИСПДн. Требования, как и модель угроз, — это самостоятельный документ, который должен быть утвержден руководителем организации. Для разработки модели угроз и требований оператору целесообразно привлекать специалистов организаций-лицензиатов ФСТЭК и ФСБ. - Инструкции в части обеспечения безопасности ПДн при их обработке в ИСПДн.
- Рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации.
- Акты определения уровня защищенности, акты установки, акт проверки готовности.
- Декларация (аттестат) соответствия.
Кроме того, до проведения всех мероприятий по защите ПДн оператор должен назначить должностное лицо или (если ИСПДн достаточно велика) структурное подразделение, ответственные за обеспечение безопасности ПДн. Решение о назначении оформляется приказом руководителя. Задачи, функции и полномочия должностного лица (подразделения), ответственного за обеспечение безопасности ПДн, определяются внутренними организационно-распорядительными документами (должностными инструкциями, регламентами).
Хочется отметить, что цель работы для нашей компании — не просто обеспечить защищенность обрабатываемых ПДн, но и сделать это с минимальными временными и материальными затратами для Заказчика, что возможно благодаря отработанным нашими специалистами методам, механизмам и подходам к проведению работ. Мы также, по согласованию с Заказчиком, берем на себя обязательство по дальнейшему сопровождению ИСПДн.