Мы уже не раз говорили, что защита персональных данных (ПДн) в организации – одна из самых важных задач в информационной безопасности в целом.
Этот кейс был реализован для Региональной Службы по тарифам Ростовской области.
Цели проекта
Заказчиком было установлены 3 ключевые цели:
- исключение несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать хищение, утрата, утечка, уничтожение, изменение, блокирование, копирование, распространение персональных данных;
- обеспечение постоянного сотрудникам доступа к персональным данным и средствам их обработки;
- выполнение требований нормативных правовых актов Российской Федерации, руководящих и методических документов ФСТЭК России, ФСБ России, регламентирующих вопросы защиты персональных данных.
Также отдельной важной задачей было проведение аттестации информационной системы на соответствие требованиям законодательства по защите информации.
Об этапах работы
Общий порядок действий по созданию системы защиты ПДн включал в себя:
1. Предпроектные работы.
Под предпроектными работами подразумевается сбор данных о программных и технических средствах, о путях взаимодействия с данными, определение состава и типа обрабатываемых данных. На этом этапе также было разработано аналитическое обоснование модернизации системы защиты ПДн, в том числе согласно требованиям ФСТЭК.
2. Проектирование системы защиты персональных данных.
На этом этапе мы разработали:
- техническое задание на создание системы защиты ПДн на основании Модели угроз и нарушителя безопасности ПДн;
- эскизный проект системы защиты ПДн;
- проект организационно-распорядительных документов.
3. Поставка средств защиты информации и их пуско-наладка.
Решенная задача - закупка и передача заказчику программного обеспечения для построения системы защиты ПДн. Осуществили пуско-наладку системы защиты ПДн. Для проверки заданных функций проводились приемочные испытания.
4. Аттестация объектов информатизации.
Аттестация проводилась с применением следующих методов и испытаний:
- экспертно-документальный – проверка соответствия объектов установленным требованиям на основании экспертной оценки полноты и достаточности представленных документов по обеспечению мероприятий по защите информации;
- инструментальный – контроль с применением тестов, проводящийся с целью подтверждения реализации функций защиты информации от несанкционированного доступа, соответствующих установленному классу защищенности объектов информатизации.
По каждому этапу была обязательна разработка документации как отчетной по этапам, так и итоговой по приемочным испытаниям. Это было неотъемлемым требованием заказчика.
Если вы хотите провести анализ защищенности персональных данных или организация нуждается в построении системы защиты персональных данных – смело обращайтесь в ООО «Рубикон».
Предлагаем организации на соблюдение закона 152-ФЗ «О персональных данных».
