Положение по организации и проведению работ по обеспечению безопасности ПДн

3) Определяются условия расположения ИСПДн относительно границ контролируемой зоны.

4) Определяются конфигурация и топология ИСПДн в целом и ее отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения.

5) Определяются технические средства и системы, предполагаемые к использованию в разрабатываемой ИСПДн, условия их расположения, общесистемные и прикладные программные средства, имеющиеся и предлагаемые к разработке.

6) Определяются режимы обработки ПДн в ИСПДн в целом и в отдельных компонентах.

7) Уточняется степень участия персонала в обработке ПДн, характер их взаимодействия между собой.

8) Определяются (уточняются) угрозы безопасности ПДн к конкретным условиям функционирования (разработка Частной модели угроз ПДн).

9) Определяется класс ИСПДн. Классификация ИСПДн проводится в соответствии с порядком проведения классификации информационных систем персональных данных, утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20.

2.3.1.2 По результатам предпроектного обследования на основе методического документа «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утв. заместителем директора ФСТЭК России 15 февраля 2008 г.), с учетом установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности ПДн (оформляется документ «Требования по обеспечению безопасности ПДн, обрабатываемых в ИСПДн»), включаемые в техническое (частное техническое) задание на разработку СЗПДн.

2.3.1.3 Техническое (частное техническое) задание на разработку СЗПДн должно содержать:

- обоснование разработки СЗПДн;

- исходные данные создаваемой (модернизируемой) ИСПДн в техническом, программном, информационном и организационном аспектах;

- класс ИСПДн;

- ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн, и приниматься в эксплуатацию ИСПДн;

- конкретизацию мероприятий и требований к СЗПДн;

- перечень предполагаемых к использованию сертифицированных средств защиты информации;

- обоснование проведения разработок собственных средств защиты информации при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;

- состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.

2.3.2 Стадия проектирования На стадии проектирования и создания ИСПДн (СЗПДн) проводятся следующие мероприятия:

1) Разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) ИСПДн в соответствии с требованиями технического (частного технического) задания на разработку СЗПДн.

2) Разработка раздела технического проекта на ИСПДн в части защиты информации.

3) Строительно-монтажные работы в соответствии с проектной документацией.

4) Использование серийно выпускаемых технических средств обработки, передачи и хранения информации.

5) Разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями.

6) Использование сертифицированных технических, программных и программно-технических средств защиты информации и их установка.

7) Сертификация по требованиям безопасности информации программных средств защиты информации, в случае, когда на рынке отсутствуют требуемые сертифицированные средства защиты информации.

8) Разработка и реализация разрешительной системы доступа пользователей к обрабатываемой на ИСПДн информации.

9) Определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации с их обучением по направлению обеспечения безопасности ПДн.