Выбор мер по обеспечению безопасности ПДн и разработка ТЗ на проектирование СЗПДн

Состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн для каждого из уровней защищенности ПДн устанавливаются Приказом ФСТЭК от 18.02.2013 г. № 21.

НТЦ «Вулкан» в интересах заказчика выполняет разработку рекомендаций по выбору мер по обеспечению безопасности ПДн в соответствии с Приказом ФСТЭК России от 18.02.2013 г. № 21. (Для выполнения разработки рекомендаций в организации необходимо наличие обоснования уровня защищенности персональных данных).

Состав работ

  • Выбор базового состава мер по обеспечению безопасности ПДн согласно Приказа ФСТЭК России от 18.02.2013 г. № 21.
  • Адаптацию выбранного состава мер по обеспечению безопасности ПДн с учетом структурно-функциональных характеристик ИСПДн, применяемых информационных технологий, особенностей функционирования ИСПДн.
  • Уточнение выбранного состава мер по обеспечению безопасности ПДн с учетом актуальных угроз безопасности ПДн.
  • Дополнение адаптированного состава мер по обеспечению безопасности ПДн мерами, установленными иными нормативными актами в области обеспечения безопасности и защиты информации (если актуально для заказчика).
  • Формирование требований к защите ПДн, обрабатываемых в ИСПДн.
  • Формирование требований к СЗПДн предполагает разработку технического задания на ее создание, которое включает:
    • цель и задачи обеспечения защиты ПДн;
    • требуемый уровень защищенности ПДн;
    • требования к применяемым мерам и средствам защиты ПДн;
    • стадии (этапы работ) создания СЗПДн;
    • требования к поставляемым техническим средствам, программному обеспечению, средствам защиты ПДн;
    • требования к защите средств и систем, обеспечивающих функционирование ИСПДн;
    • требования к защите ПДн при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями.

Работы по выбору базового состава мер по обеспечению безопасности ПДн, реализуемых в рамках СЗПДн, выполняются в соответствии с рекомендациями ФСТЭК России. Требования к СЗПДн определяются в зависимости от выбранного уровня защищенности ПДн.

Полученный в результате работы базовый состав организационных и технических мер по обеспечению безопасности ПДн охватывает основные направления защиты ПДн, в том числе:

  • Идентификацию и аутентификацию субъектов доступа и объектов доступа.
  • Управление доступом субъектов доступа к объектам доступа.
  • Ограничение программной среды.
  • Защиту машинных носителей информации, на которых хранятся или обрабатываются ПДн.
  • Регистрацию событий безопасности.
  • Антивирусную защита.
  • Обнаружение (предотвращение) вторжений.
  • Контроль (анализ) защищенности ПДн.
  • Обеспечение целостности ИСПДн и ПДн.
  • Обеспечение доступности ПДн.
  • Защиту среды виртуализации.
  • Защиту технических средств.
  • Защиту ИСПДн, ее средств, систем связи и передачи данных.
  • Выявление инцидентов.
  • Управление конфигурацией ИСПДн и системы защиты ПДн.

Преимущества

Полученный состав мер по обеспечению безопасности ПДн позволяет сформировать Техническое задание на создание СЗПДн, с учетом требований ГОСТ и методических документов ФСТЭК России.