ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ЗАЩИТЕ ПДН

До ввода системы-112 в постоянную эксплуатацию орган исполнительной власти субъекта российской Федерации, ответственный за создание системы-112 или учреждение, назначенное оператором системы-112, должно выполнить следующие действия:

1) Разработать и утвердить приказ о защите персональных данных, определив в нем подразделение по защите персональных данных и назначив ответственных лиц за обработку персональных данных.

2) Разработать и утвердить Концепцию информационной безопасности и Политику информационной безопасности.

3) Адаптировать Типовую модель угроз безопасности персональных данных при их обработке в системе обеспечения вызова экстренных оперативных служб по единому номеру "112" (размещенную на официальном сайте МЧС России в составе Методических материалов по адресу: http://www.mchs.gov.ru/activities/methodological_materials/Metodicheskie_rekomendacii/2014_god) к конкретной ИСПДн - системе-112. Результат оформить в виде Модели угроз верхнего уровня. С учетом использования в системе-112 СКЗИ также разрабатывается детализированная модель угроз и модель нарушителя.

4) Определить состав и категории обрабатываемых персональных данных. Осуществить классификацию систем-112, как обрабатывающей персональные данные. Результат оформить в виде акта классификации (согласно Постановлению Правительства Российской Федерации от 01.11.2012 N 1119).

Определение уровня защищенности ПДн для ИСПДн или класса защищенности ГИС ПДн осуществляется по результатам анализа исходных данных определенных в Постановлении Правительства Российской Федерации N 1119 и Приказа ФСТЭК России N 17. Определение уровня защищенности ПДн не может быть осуществлено без определения типа актуальных угроз. Таким образом, определение угроз безопасности информации (составление модели угроз безопасности информации) для ИСПДн предшествует ее классификации.

5) Разработать и утвердить техническое задание по защите ПДн. Требование к классу защищенности включается в техническое задание на разработку системы-112 и (или) техническое задание (частное техническое задание) на создание подсистемы информационной безопасности системы-112.

6) Разработать и утвердить положение о разграничении прав доступа к обрабатываемым персональным данным.

7) Разработать технический проект подсистемы обеспечения ИБ системы-112 в составе технического проекта системы-112.

8) Провести необходимые технические мероприятия для обеспечения защиты ПДн при их обработке в ИСПДн - система-112.

С учетом того, что система-112 является территориально распределенной в ходе обеспечения безопасности ПДн в ИСПДн - система-112 принципиально следует различать два подхода:

- защита каждого отдельного объекта ИСПДн - система-112;

- создание единой системы защиты информации в ИСПДн - система-112.

Каждый из подходов имеет свои достоинства и недостатки. Выбор подхода осуществляется субъектом Российской Федерации самостоятельно. В общем случае, для органа власти следует выбирать второй подход, который позволит унифицировать систему защиты, организовать централизованное управление в ней и уменьшить трудоемкость мероприятий.

Система защиты ПДн при их обработке в ИСПДн создается в соответствии с Постановлением Правительства Российской Федерации N 1119 и Приказом ФСТЭК России N 21 и должна быть направлена на нейтрализацию актуальных угроз безопасности информации. В соответствии с Приказом ФСТЭК России N 21, меры по обеспечению безопасности ПДн при их обработке ИСПДн принимаются в соответствии с Приказом ФСТЭК России N 17.

7) Зарегистрироваться в качестве оператора персональных данных - подготовить и направить уведомление в территориальный орган Россвязькомнадзора - уполномоченный орган по защите прав субъектов персональных данных.

8) Назначить ответственных за обеспечение безопасности персональных данных и подготовить должностные инструкции сотрудников, обрабатывающих ПДн.

9) Разработать и утвердить порядок резервирования и восстановления работоспособности КТС, ПО, баз данных и СЗИ.

10) Разработать и утвердить порядок выполнения работ по проведению аудита ИБ ИСПДн.

11) Разработать и утвердить (электронный) журнал учета обращений субъектов ПДн о выполнении их законных прав.

14) Декларировать соответствие или провести аттестационные (сертификационные) испытания ИСПДн.

15) При издании нормативного правового акта субъекта Российской Федерации о вводе системы-112 в постоянную эксплуатацию учитывать требования Методических рекомендаций по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности (утверждены руководством 8 Центра ФСБ России 31.03.2015 г. N 149/7/2/6-432).

16) организовывать обучение, повышение квалификации лиц, ответственных за руководство работами по защите информации и обеспечение требуемого уровня информационной безопасности, лиц, ответственных за организацию и контроль выполнения мероприятий по защите ПДн, работников структурных подразделений по защите информации (штатных специалистов, администраторов информационной безопасности) в области защиты ПДн в учебных заведениях программы которых, согласованы ФСТЭК России; согласованы ФСТЭК России.

17) При формировании бюджета субъекта Российской Федерации учитывать затраты на обеспечение безопасности функционирования ИСПДн - система-112, в части обеспечения бесперебойной работы сертифицированных технических СЗИ и планирования выполнения мероприятий по обязательной аттестации ИСПДн - система-112 по требованиям безопасности информации.