3) Определяются условия расположения ИСПДн относительно границ контролируемой зоны. 4) Определяются конфигурация и топология ИСПДн в целом и ее отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения. 5) Определяются технические средства и системы, предполагаемые к использованию в разрабатываемой ИСПДн, условия их расположения, общесистемные и прикладные программные средства, имеющиеся и предлагаемые к разработке. 6) Определяются режимы обработки ПДн в ИСПДн в целом и в отдельных компонентах. 7) Уточняется степень участия персонала в обработке ПДн, характер их взаимодействия между собой. 8) Определяются (уточняются) угрозы безопасности ПДн к конкретным условиям функционирования (разработка Частной модели угроз ПДн). 9) Определяется класс ИСПДн. Классификация ИСПДн проводится в соответствии с порядком проведения классификации информационных систем персональных данных, утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20. 2.3.1.2 По результатам предпроектного обследования на основе методического документа «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утв. заместителем директора ФСТЭК России 15 февраля 2008 г.), с учетом установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности ПДн (оформляется документ «Требования по обеспечению безопасности ПДн, обрабатываемых в ИСПДн»), включаемые в техническое (частное техническое) задание на разработку СЗПДн. 2.3.1.3 Техническое (частное техническое) задание на разработку СЗПДн должно содержать: - обоснование разработки СЗПДн; - исходные данные создаваемой (модернизируемой) ИСПДн в техническом, программном, информационном и организационном аспектах; - класс ИСПДн; - ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн, и приниматься в эксплуатацию ИСПДн; - конкретизацию мероприятий и требований к СЗПДн; - перечень предполагаемых к использованию сертифицированных средств защиты информации; - обоснование проведения разработок собственных средств защиты информации при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации; - состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн. 2.3.2 Стадия проектирования На стадии проектирования и создания ИСПДн (СЗПДн) проводятся следующие мероприятия: 1) Разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) ИСПДн в соответствии с требованиями технического (частного технического) задания на разработку СЗПДн. 2) Разработка раздела технического проекта на ИСПДн в части защиты информации. 3) Строительно-монтажные работы в соответствии с проектной документацией. 4) Использование серийно выпускаемых технических средств обработки, передачи и хранения информации. 5) Разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями. 6) Использование сертифицированных технических, программных и программно-технических средств защиты информации и их установка. 7) Сертификация по требованиям безопасности информации программных средств защиты информации, в случае, когда на рынке отсутствуют требуемые сертифицированные средства защиты информации. 8) Разработка и реализация разрешительной системы доступа пользователей к обрабатываемой на ИСПДн информации. 9) Определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации с их обучением по направлению обеспечения безопасности ПДн. Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе
|
Вопрос специалисту
На нашем сайте Вы можете бесплатно задать вопрос специалисту
Видео Документы для скачивания |