ЗАО «РАМЭК-ВС»

1) Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация;
2) Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
3) Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
Статья 25. п.3. с учетом принятых поправок «Информационные системы персональных данных, созданные до дня вступления настоящего Федерального закона, должны были быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года.»

Постановление правительства РФ от 17 ноября 2007 г. № 781
«Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

Приказ ФСТЭК, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. №55/86/20 г. Москва
«Об утверждении порядка проведения классификации информационных систем персональных данных»

«Базовая модель угроз безопасности ПДн при их обработке в информационных системах персональных данных»

«Методика определения актуальных угроз безопасности ПДн при их обработке в информационных системах персональных данных»

«Положение о методах и способах защиты в информационных системах защиты персональных данных»

«Методические рекомендации по обеспечению с помощью криптографических средств безопасности ПДн при обработке в информационных системах персональных данных с использованием автоматизации»

«Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств , предназначенных для защиты информации, не содержащих сведений составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных».

Документы ФСТЭК России

Документы ФСБ России

2 (от 1 000 до 100 000)

1
(более 100 000)

Типовые ИСПДн

По результатам анализа исходных данных класс специальной информационной системы определяется на основе
модели угроз безопасности персональных данных.

Специальные ИСПДн

Конфиденциальность

Целостность

Доступность

Государственный контроль достаточности принятых мер по обеспечению безопасности ПДн
Обеспечение безопасности ПДн при их обработке путем выполнения требований к системе защиты.
*Выполнение требований может быть поручено уполномоченному лицу, имеющему разрешительные документы на этот вид деятельности

Роскомнадзор

ФСТЭК РФ

ФСБ РФ

Физическая охрана в помещениях ИСПДн
Ведение журналов учета (допуска к работе, съемных носителей и др.)
Обучение сотрудников

Разовые

Периодические

Создание активных электромагнитных помех
Звукоизоляция ограждающих конструкций (при речевой обработке ПДн)
Исключение просмотра информации

Лицензии ФСБ России

Наличие специалистов имеющих профильное образование или прошедших обучение (повышение квалификации)

Наличие необходимой нормативно-методической и руководящей документации

Наличие необходимого материально-технического обеспечения

Постановление Правительства РФ № 504 от 15.08.2006г. «О лицензировании деятельности по технической защите конфиденциальной информации» (ПП №504) дает определение (п.2 Положения) ТЗКИ — под ТЗКИ «понимается комплекс мероприятий и(или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней».
п. 12 Постановления Правительства РФ № 781 от 17.11.2007 г. «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» указывает десять мероприятий, часть мероприятий (например, установка и ввод в эксплуатацию СЗИ) действительно являются деятельностью по ТЗКИ, и, в соответствии с ФЗ-128 эта деятельность лицензируется. 

Лицензии ФСТЭК России

Внедрение системы защиты персональных данных
Опытная эксплуатация
Приемо-сдаточные испытания
Оценка соответствия

Стадия ввода в действие

Стадия проектирования

Предпроектная стадия

Перечень ПДн
Архитектура ИСПДн
Перечень угроз безопасности ПДн
Класс ИСПДн
Техническое задание на СЗПДн

Этапы создания СЗПДн

1

2

Разработка системы защиты персональных данных

Классификация ИСПДн;
Формирование модели угроз безопасности;
Разработка требований по безопасности;
Проведение экспертизы в регулирующих органах (по желанию заказчика).

Проектирование системы защиты;
Разработка организационно-распорядительной документации;
Отработка процессов функционирования системы, проведение испытаний и доводка на макетах и стендах (по желанию заказчика).

Получение исходных качественных и количественных параметров для организации проектирования;
Оценка состояния системы по параметрам соответствия с требованиями руководящих документов ФСТЭК и ФСБ России.

Отчет об обследовании (концепция)

3

Техническое задание на проектирование

Технический проект

Сервисное обслуживание

Этапы создания СЗПДн

Разработка разрешительной документации системы доступа, организационно-распорядительной документации, технической документации на объект в части касающейся защиты ПДн;
Проведение испытаний на соответствие требований безопасности информации, включая экспертное обследование объекта информатизации, исследований на предмет утечки по техническим каналам, комплексные испытания защищенности.

4

6

5

Действующая система защиты информации

Заключение о соответствии

Оперативное восстановление системы, периодический контроль