В
Организации до начала проведения работ по обеспечению безопасности ПДн должна
быть проведена инвентаризация ИСПДн путем опроса владельцев ИСПДн на предмет
наличия обработки в них ПДн.
После инвентаризации ИС выявляются ИСПДн, в
которых осуществляется автоматизированная обработка ПДн, и ИСПДн, в которых
осуществляется неавтоматизированная обработка ПДн.
Все эксплуатируемые ИСПДн с автоматизированной
обработкой ПДн должны классифицироваться в соответствии с Приказом ФСТЭК
России, ФСБ России и Мининформсвязи России от 13 февраля 2008г. N55/86/20 «Об
утверждении Порядка проведения классификации информационных систем персональных
данных». Классификация ИСПДн проводится в следующей последовательности:
создается Комиссия по
проведению классификации ИСПДн приказом Генерального директора Организации;
комиссия в определенный
приказом срок устанавливает категории и объем обрабатываемых ПДн в ИСПДн, а
также определяет необходимость обеспечения целостности и доступности ПДн,
наличие при обработке сведений о состоянии здоровья субъектов, принятия
решений, порождающих юридические последствия на основании исключительно
автоматизированной обработки ПДн;
комиссия формирует акты
классификаций для каждой ИСПДн, в которых указывается перечень обрабатываемых
ПДн.
В Организации должны быть разработаны Модели
угроз для всех ИСПДн, класс которых выше 4. Модель угроз разрабатывается на
основе методических документов, утвержденных в соответствии с пунктом 2
Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781.
Выбор и реализация методов и способов защиты
информации в ИСПДн осуществляются на основе модели угроз и в зависимости от
класса ИСПДн.
Выбранные и реализованные методы и способы
защиты ПДн в ИСПДн, должны обеспечивать нейтрализацию предполагаемых угроз
безопасности ПДн при их обработке в ИСПДн в составе создаваемой системы защиты
ПДн.
Для проведения работ по выбору и реализации
методов и способов защиты ПДн (включая техническое проектирование системы
защиты ПДн, внедрение средств защиты ПДн, сопровождение средств защиты ПДн и
т.д.) могут привлекаться подрядные организации, имеющие лицензию на
осуществление деятельности по технической защите конфиденциальной информации.
|