При создании информационной системы обработки персональных данных (далее ИСПДн), я обратил внимание на то, что вопрос «основных мероприятий по обеспечению безопасности персональных данных» мало освещен. Может причина тому «неумение юзать google», может еще что, в таком случае специально для тех, кто столкнулся с подобной проблемой я написал эту статью.
Для обеспечения безопасности сбора, обработки и хранения персональных данных, обрабатываемых в ИСПДн, в нормативно-методических документами ФСТЭК и ФСБ определен следующий перечень обязательных мероприятий:
- Определение угроз и формирование модели угроз;
- Разработка системы защиты персональных данных;
- Проверка готовности средств защиты информации;
- Установка и ввод в эксплуатацию средств защиты информации;
- Обучение лиц, использующих средства защиты информации;
- Учет применяемых средств защиты информации(СЗИ), эксплуатационной и технической документации к ним, носителей персональных данных;
- Учет лиц, допущенных к работе с персональными данными;
- Контроль за соблюдением условий использования СЗИ;
- Разбирательство и составление заключений по фактам нарушений;
- Описание системы защиты персональных данных.
Определение угроз и формирование модели угроз осуществляется на основе документов с названиями: «Базовая модель угроз безопасности информационной системы персональных данных (ФСТЭК)» и «Методика определения актуальных угроз (ФСТЭК)».
Кроме того, об организации и проведении данных мероприятий можно почитать в документах «Рекомендации по обеспечению безопасности персональных данных при их обработке в ИСПДн (ФСТЭК)», «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в ИСПДн (ФСТЭК)», «Методические рекомендации по обеспечению безопасности ИСПДн с помощью криптосредств (ФСБ)», «Типовые требования организации криптозащиты (ФСБ)».
В ближайшее время выложу типовой шаблон частной модели угроз персональных данных.