Как создать и внедрить проект защиты персональных данных согласно ФЗ–152

Экспертный материал
Алексей Залецкий | Эксперт в области информационной безопасности

Разработка и реализация проекта защиты согласно российскому законодательству предусматривает выполнение нескольких последовательных шагов.

Важно понимать, что закон не ограничивает организации в способах реализации проекта персональных данных. Полностью или частично работы можно отдать на аутсорсинг. Специализированные организации, с опытом разработки и реализации проектов защиты персональных данных могут создать проект быстрее и лучше и предложить наиболее эффективное решение, подходящее конкретной организации. А размещение системы защиты в аттестованном облаке ФЗ-152 публичного провайдера не только обеспечивает высочайший уровень безопасности, но и снижает нагрузку на персонал предприятия.

Требования и правила обработки персональных данных установлены законом ФЗ-152, а состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, утверждены в приказе ФСТЭК №21

Подготовка

Этот этап вкратце можно описать как сбор информации, анализ и планирование корпоративной системы защиты персональных данных. Главное на этом этапе собрать максимум информации для точной формулировки требований к системе защиты персональных данных.

Аудит существующей инфраструктуры

Прежде чем приступать к созданию системы, необходим аудит IT-инфраструктуры предприятия. Он позволяет получить объективные качественные и количественные оценки ее состояния и уровень ее защищенности. Главная задача аудита — анализ соответствия IT-инфраструктуры требованиям ФЗ-152. Аудит включает анализ документации и конфигурации IT-систем.  

Аудит может быть как внутренним, так и внешним. Внутренний аудит проводится силами самой организации, а для внешнего привлекается независимая организация с соответствующими компетенциями. Выбор способа аудита зависит от возможностей предприятия. Если собственных компетенций не хватает, то выбирают внешний аудит.

При любом способе аудита результатом становится оценка текущего состояния информационной безопасности. Он становится основой, на которой создается проект защиты персональных данных.

Детальнее об аудите информационной безопасности мы писали тут →

Определение категории обрабатываемых персональных данных

До разработки проекта защиты необходимо провести анализ всех персональных данных, обрабатываемых в компании, и определить, к какой категории они относятся.  

Все персональные данные подразделяются на 4 категории: общие, специальные, биометрические и иные — прочие данные о человеке, не относящиеся к первым трем.

Определение модели угроз безопасности персональных данных и модели нарушителя

После определения категории персональных данных разобраться с моделями угроз и моделями нарушителя. Они помогут определить требования к безопасности системы или процесса. Работа включает определение возможных негативных последствий (в отношении физического лица, юридического лица, государства), объектов воздействия, источников угроз (актуальных нарушителей), тактик и техник возможной реализации угроз. На выходе получается перечень актуальных угроз безопасности.

Также необходимо определить один из четырех уровней защищенности. На его выбор влияют тип персональных данных, количество субъектов данных и типы угроз.

У каждого уровня свои требования к защите данных. Большинство частных предприятий работают с угрозами УЗ-3 и УЗ-4, а УЗ-2 и УЗ-1, как правило, относятся к медицинским организациям и госучреждениям. Требования к первому и второму  уровню защищенности также потребуют дополнительных средств защиты информации, таких как средство анализа защищенности и средство обнаружения вторжений. 

Разработать модель угроз
Подробнее

Разработка технического задания на проектирование системы обработки персональных данных.

На основе аудита, определения категории обрабатываемых данных и модели угроз создается техническое задание на проектирование системы защиты персональных данных. В нем определяются цели и задача проекта, требования к системе защиты информации, перечень подсистем и детальные требования к каждой подсистеме. 

Проектирование системы защиты персональных данных

В проекте определяются основные технические решения по реализации требований из технического задания, описание основных функций, взаимодействия со смежными системами, требования к персоналу и необходимые курсы для успешного администрирования системы защиты, а также функциональная схема системы защиты персональных данных. Если будут устанавливаться дополнительные программно-аппаратные средства защиты информации, то необходимо дополнительно разработать рабочую документацию для последующего монтажа. 

Создание комплекта организационно-распорядительной документации

Цель документации — описать и задокументировать то, как будут обрабатываться и защищаться персональные данные, а также определить ответственность за нарушения принятых правил в рамках трудового кодекса. Она содержит политику обработки персональных данных, инструкции и перечень обрабатываемых данных, список должностей и сотрудников, у которых есть доступ к персональным данным и другие документы.

Реализация

На этом этапе происходит внедрение системы в IT-инфраструктуру предприятия в соответствии с проектной и рабочей документацией.

Установка, настройка и подготовка к введению в эксплуатацию средств защиты

Этот этап подразумевает развертывание системы, проведение предварительных испытаний, опытной эксплуатации, а затем приемочных испытаний. По результату составляется документы — протоколы испытаний и акт приёма системы защиты персональных данных в постоянную эксплуатацию.

Важно добавить, что с внедрением работа не заканчивается. Одна из важных мер поддержки работоспособности системы защиты — регулярные внутренние аудиты, а в идеале и учения. Их регламент и периодичность должны соответствовать законодательству в сфере обработки персональных данных.

Информационная система персональных данных (ИСПДн) в облаке Coprsoft24

Это комплексная услуга по размещению системы в защищенном облаке и обеспечению выполнения требований законодательства к обработке и защите персональных данных.

У услуги модульная структура. Она легко настраивается и масштабируется в зависимости от категории, количества и принадлежности обрабатываемых персональных данных и требуемого уровня защищенности.

Рис. 1. Построение систем защиты ПДн с использованием облачных услуг.