В связи с тем что ИСПДн по своим характеристикам и номенклатуре угроз безопасности ПДн близки к наиболее распространенным информационным системам, целесообразно при их защите максимально использовать традиционные подходы к технической защите информации.
8.6. Создание системы защиты информации объекта информатизации осуществляется по следующим стадиям:
предпроектная стадия, включающая в себя предпроектное обследование объекта информатизации (ИСПДн), разработку аналитического обоснования необходимости создания системы защиты персональных данных (далее СЗПДн) и технического задания на ее создание;
стадия проектирования (разработки проектов) и реализации ИСПДн, включающая в себя разработку СЗПДн в составе объекта информатизации (ИСПДн);
стадия ввода в действие СЗПДн, включающая в себя опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации
(далее СрЗИ), а также оценку соответствия ИСПДн требованиям безопасности информации.
8.6.1. Предпроектная стадия обследования объекта информатизации (ИСПДн) включает в себя:
установление необходимости обработки ПДн в ИСПДн;
определение ПДн, подлежащих защите от НСД;
определение условий расположения ИСПДн относительно границ КЗ;
определение конфигурации и топологии ИСПДн в целом и ее отдельных компонентов, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;
определение технических средств и систем, предполагаемых к использованию в разрабатываемой ИСПДн, условий их расположения, общесистемных и прикладных программных средств, имеющихся и предлагаемых к разработке;
определение режимов обработки ПДн в ИСПДн в целом и в отдельных ее компонентах;
определение класса ИСПДн;
уточнение степени участия должностных лиц в обработке ПДн, характер их взаимодействия между собой;
определение (уточнение) угроз безопасности ПДн применительно к конкретным условиям функционирования ИСПДн (разработка частной модели угроз).
8.6.2. По результатам предпроектного обследования на основе документов ФСТЭК России, с учетом установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности ПДн, включаемые в техническое (частное техническое) задание на разработку СЗПДн.
8.6.3. Предпроектное обследование может быть поручено специализированной организации, имеющей соответствующую лицензию. Порядок ознакомления (при необходимости) специалистов подрядной организации с защищаемыми сведениями определяется Организацией.
8.6.4. Аналитическое обоснование необходимости создания СЗПДн должно содержать:
информационную характеристику и организационную структуру объекта информатизации;
характеристику комплекса ТСИСПДн и ВТСС, программного обеспечения, режимов работы, технологического процесса обработки информации;
возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;
перечень предлагаемых к использованию сертифицированных СрЗИ;
обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации;
оценку материальных, трудовых и финансовых затрат на разработку и внедрение СЗПДн;
ориентировочные сроки разработки и внедрения СЗПДн;
перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации.
Аналитическое обоснование подписывается руководителем организации, проводившей предпроектное обследование, согласовывается с отделом безопасности или ответственным лицом и утверждается начальником Организации.
8.6.5. Техническое (частное техническое) задание на разработку СЗПДн должно содержать:
обоснование разработки СЗПДн;
исходные данные создаваемой (модернизируемой) ИСПДн в техническом, программном, информационном и организационном аспектах;
класс ИСПДн;
ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;
конкретизацию мероприятий и требований к СЗПДн;
перечень предполагаемых к использованию сертифицированных СрЗИ;
обоснование проведения разработок собственных СрЗИ при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных СрЗИ;