Создание системы защиты персональных данных

16. В ИС объектами защиты являются информация, содержащаяся в ИС, технические средства (в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно-цифровой, графической, речевой информации и видеоинформации), общесистемное, прикладное, специальное программное обеспечение, информационные технологии, а также СрЗИ.

17. Для проведения работ по защите информации в ходе создания и эксплуатации ИС в соответствии с законодательством Российской Федерации при необходимости привлекаются организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности".

18. Для обеспечения защиты информации, содержащейся в ИС, применяются СрЗИ, прошедшие оценку соответствия в форме обязательной сертификации соответствия требованиям по безопасности информации, предусмотренным статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании".

19. Защита информации, содержащейся в ИС, является составной частью работ по созданию и эксплуатации ИС и обеспечивается на всех стадиях (этапах) создания ИС и в ходе ее эксплуатации путем принятия организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в ИС, в рамках СЗИ.

20. Организационные и технические меры защиты информации, реализуемые в рамках СЗИ, в зависимости от информации, содержащейся в ИС, целей создания ИС и задач, решаемых этой ИС, должны быть направлены на исключение:

неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);

неправомерных уничтожения, модифицирования информации (обеспечение целостности информации);

неправомерного блокирования информации (обеспечение доступности информации).

21. Для обеспечения защиты информации, содержащейся в ИС, проводятся следующие мероприятия:

формирование требований к защите информации, содержащейся в ИС;

разработка СЗИ;

внедрение СЗИ;

аттестация ИС по требованиям безопасности информации и ввод ее в действие;

обеспечение защиты информации в ходе эксплуатации ИС, аттестованной по требованиям безопасности информации;

обеспечение защиты информации при выводе из эксплуатации ИС, аттестованной по требованиям безопасности информации, или после принятия решения об окончании обработки информации.

22. Формирование требований к защите информации, содержащейся в ИС, осуществляется с учетом ГОСТ Р 51583 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения" и ГОСТ Р 51624 "Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования" и включает:

принятие решения о необходимости защиты информации, содержащейся в ИС;

определение уровня защищенности персональных данных в ИС;

определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в ИС, и разработку на их основе модели угроз безопасности информации;

определение требований к СЗИ.

23. При принятии решения о необходимости защиты информации, содержащейся в ИС, осуществляется:

анализ целей создания ИС и задач, решаемых этой ИС;

определение информации, подлежащей обработке в ИС;

анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать ИС;

принятие решения о необходимости создания СЗИ, а также определение целей и задач защиты информации в ИС, основных этапов создания СЗИ и функций по обеспечению защиты информации, содержащейся в ИС.

24. Уровень защищенности персональных данных подлежит пересмотру при изменении масштаба ИС, категории обрабатываемой в ней информации или типа актуальных угроз безопасности персональных данных.

25. Результаты определения уровня защищенности персональных данных оформляются актом классификации.

26. Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей, анализа возможных уязвимостей ИС, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

27. При определении угроз безопасности информации учитываются структурно-функциональные характеристики ИС, включающие структуру и состав ИС, физические, логические, функциональные и технологические взаимосвязи между сегментами ИС, связи с иными ИС и информационно-телекоммуникационными сетями, режимы обработки информации в ИС и в ее отдельных сегментах, а также иные характеристики ИС, применяемые информационные технологии и особенности ее функционирования.

28. По результатам определения угроз безопасности информации при необходимости разрабатываются рекомендации по корректировке структурно-функциональных характеристик ИС, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.

29. Модель угроз безопасности информации должна содержать описание ИС и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей ИС, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.

30. Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации.

31. Требования к СЗИ определяются в зависимости от уровня защищенности персональных данных и угроз безопасности информации, включенных в модель угроз безопасности информации.