Техническое обслуживание и сопровождение СЗИ

  1. Организационно-распорядительная документация по защите.
  2. ПДн Помимо технических решений создаваемой системы защиты персональных данных, оператор должен обеспечить разработку организационно-распорядительных документов, которые будут регулировать все возникающие вопросы по обеспечению безопасности ПДн при их обработке в ИСПДн и эксплуатации СЗПДн.

Таких документов достаточно много, основные из них:

  • Положение по обеспечению безопасности ПДн — в начале статьи мы уже касались назначения и состава этого документа. На всякий случай повторим — в нем должно быть указано:

    – цель и задачи в области защиты персональных данных;
    – понятие и состав персональных данных;
    – в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
    – как происходит сбор и хранение персональных данных;
    – как они обрабатываются и используются;
    – кто (по должностям) в пределах фирмы имеет к ним доступ;
    – принципы защиты ПДн, в том числе от несанкционированного доступа;
    – права работника в целях обеспечения защиты своих персональных данных;
    – ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.

  • Для организации системы допуска и учета лиц, допущенных к работе с ПДн в ИСПДн, — Список лиц, допущенных к обработке ПДн (перечень по должностям тех, кому доступ к ПДн необходим для выполнения служебных обязанностей) Документ утверждается руководителем.
  • Частная модель угроз (если ИСПДн несколько, то модель угроз разрабатывается на каждую из них) — разрабатывается по результатам предварительного обследования. ФСТЭК России предлагает Базовую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, согласно которой при создании частной модели должны быть рассмотрены:

    1. угрозы утечки информации по техническим каналам;
    2. угрозы несанкционированного доступа, связанные с действиями нарушителей, имеющих доступ к ИСПДн, реализующих угрозы непосредственно в ИСПДн. При этом необходимо в качестве потенциальных нарушителей рассматривать легальных пользователей ИСПДн;
    3. угрозы несанкционированного доступа, связанные с действиями нарушителей, не имеющих доступа к ИСПДн, реализующих угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена.Разработанная модель угроз утверждается руководителем. На основании утвержденной модели угроз ИСПДн необходимо разработать требования по обеспечению безопасности ПДн при их обработке в ИСПДн. Требования, как и модель угроз, — это самостоятельный документ, который должен быть утвержден руководителем организации. Для разработки модели угроз и требований оператору целесообразно привлекать специалистов организаций-лицензиатов ФСТЭК и ФСБ.

  • Инструкции в части обеспечения безопасности ПДн при их обработке в ИСПДн.
  • Рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации.

Кроме того, до проведения всех мероприятий по защите ПДн оператор должен назначить должностное лицо или (если ИСПДн достаточно велика) структурное подразделение, ответственные за обеспечение безопасности ПДн. Решение о назначении оформляется приказом руководителя. Задачи, функции и полномочия должностного лица (подразделения), ответственного за обеспечение безопасности ПДн, определяются внутренними организационно-распорядительными документами (должностными инструкциями, регламентами).

Хочется отметить, что цель работы для нашей компании — не просто обеспечить защищенность обрабатываемых ПДн, но и сделать это с минимальными временными и материальными затратами для Заказчика, что возможно благодаря отработанным нашими специалистами методам, механизмам и подходам к проведению работ.