Техническое обслуживание и сопровождение СЗИ

Помимо технических решений создаваемой системы защиты персональных данных, оператор должен обеспечить разработку организационно-распорядительных документов, которые будут регулировать все возникающие вопросы по обеспечению безопасности ПДн при их обработке в ИСПДн и эксплуатации СЗПДн, поддерживать ее в актуальном состоянии, вести учет технической и эксплуатационной документации.

Таких документов достаточно много, основные из них:

  • Положение по обеспечению безопасности ПДн (Политика в области защиты персональных данных) — в начале статьи мы уже касались назначения и состава этого документа. На всякий случай повторим — в нем должно быть указано:
    – цель и задачи в области защиты персональных данных;
    – понятие и состав персональных данных;
    – в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
    – как происходит сбор и хранение персональных данных;
    – как они обрабатываются и используются;
    – кто (по должностям) в пределах фирмы имеет к ним доступ;
    – принципы защиты ПДн, в том числе от несанкционированного доступа;
    – права работника в целях обеспечения защиты своих персональных данных;
    – ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.
  • Для организации системы допуска и учета лиц, допущенных к работе с ПДн в ИСПДн, — Список лиц, допущенных к обработке ПДн (перечень по должностям тех, кому доступ к ПДн необходим для выполнения служебных обязанностей) Документ утверждается руководителем.
  • Частная модель угроз (если ИСПДн несколько, то модель угроз разрабатывается на каждую из них) — разрабатывается по результатам предварительного обследования. ФСТЭК России предлагает Базовую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, согласно которой при создании частной модели должны быть рассмотрены:

    1. угрозы утечки информации по техническим каналам;
    2. угрозы несанкционированного доступа, связанные с действиями нарушителей, имеющих доступ к ИСПДн, реализующих угрозы непосредственно в ИСПДн. При этом необходимо в качестве потенциальных нарушителей рассматривать легальных пользователей ИСПДн;
    3. угрозы несанкционированного доступа, связанные с действиями нарушителей, не имеющих доступа к ИСПДн, реализующих угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена.Разработанная модель угроз утверждается руководителем. На основании утвержденной модели угроз ИСПДн необходимо разработать требования по обеспечению безопасности ПДн при их обработке в ИСПДн. Требования, как и модель угроз, — это самостоятельный документ, который должен быть утвержден руководителем организации. Для разработки модели угроз и требований оператору целесообразно привлекать специалистов организаций-лицензиатов ФСТЭК и ФСБ.

  • Инструкции в части обеспечения безопасности ПДн при их обработке в ИСПДн.
  • Рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации.
  • Акты определения уровня защищенности, акты установки, акт проверки готовности.
  • Декларация (аттестат) соответствия.

Кроме того, до проведения всех мероприятий по защите ПДн оператор должен назначить должностное лицо или (если ИСПДн достаточно велика) структурное подразделение, ответственные за обеспечение безопасности ПДн. Решение о назначении оформляется приказом руководителя. Задачи, функции и полномочия должностного лица (подразделения), ответственного за обеспечение безопасности ПДн, определяются внутренними организационно-распорядительными документами (должностными инструкциями, регламентами).

Хочется отметить, что цель работы для нашей компании — не просто обеспечить защищенность обрабатываемых ПДн, но и сделать это с минимальными временными и материальными затратами для Заказчика, что возможно благодаря отработанным нашими специалистами методам, механизмам и подходам к проведению работ. Мы также, по согласованию с Заказчиком, берем на себя обязательство по дальнейшему сопровождению ИСПДн.