Законодательная база Российской Федерации

ПИСЬМО Рособразования от 22.10.2009 N 17-187 "ОБ ОБЕСПЕЧЕНИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ"

На этапе обследования информационных систем ПДн выполняются следующие работы:

- формируется перечень ПДн, информационных систем и технических средств, используемых для их обработки;

- определяются подразделения и сотрудники, обрабатывающие ПДн;

- определяются категории ПДн;

- разрабатывается описание объекта защиты, включая состав и характеристики средств обработки данных

- проводится предварительная классификация информационных систем ПДн;

- в соответствии с рекомендациями ФСТЭК России и (или) ФСБ России определяются и уточняются типовые модели угроз и соответствующие им типовые требования к системам защиты ПДн;

- осуществляется оценка необходимых мероприятий и затрат по приведению информационных систем ПДн в соответствие с предъявляемыми требованиями.

Результатами работ на этапе обследования являются:

- перечень и категории ПДн,

- перечни информационных систем и технических средств используемых для обработки ПДн и анализ их состояния,

- состав имеющихся в наличии мер и средств защиты ПДн;

- подразделения и сотрудники, обрабатывающие ПДн;

- предварительная классификация информационных систем, обрабатывающих ПДн на типовые (1 - 4 классов) и специальные;

- описание объектов защиты

- уточненные типовые модели угроз и требования к системам защиты ПДн;

- оценка необходимых мероприятий и затрат по приведению информационных систем ПДн в соответствие с предъявляемыми требованиями.

Если затраты времени и средств на приведение информационных систем персональных данных (ИСПДн) в соответствие с предъявляемыми требованиями окажутся слишком высокими, то следует оценить возможность обезличивания или понижения классов информационных систем и провести необходимые работы повторно.

Наиболее эффективным способом приведению ИСПДн в соответствие с предъявляемыми требованиями является их обезличивание. Оно позволяет классифицировать ИСПДн по низшему классу К4 и самостоятельно определить необходимость и способы их защиты.

Если обезличивание невозможно, то понизить требования по защите персональных данных можно путем сегментирования ИСПДн, отключения от сетей общего пользования, обеспечения обмена между ИСПДн с помощью сменных носителей, создания автономных ИСПДн на выделенных АРМ.

После определения способов понижения требований по защите персональных данных и необходимого повторного обследования оформляются акты классификации ИСПДн, осуществляются определение и анализ типовых моделей угроз и требований, определение необходимых мер и средств защиты ПДн, а также внутренних нормативных документов, регламентирующих порядок обработки и защиты ПДн.

Завершается предпроектная стадия формированием Плана выполнения работ по обеспечению защиты персональных данных.

Предпроектная стадия является важнейшим этапом работ по обеспечению защиты персональных данных, во многом определяющим состав и эффективность реализации мероприятий и необходимые затраты. Поэтому на данном этапе целесообразно привлекать для анализа результатов обследования и консультаций специалистов в области защиты персональных данных.