×
Мы перезвоним Вам
×
Напишите нам
Популярные услуги
×

Техническая подготовка по 152 ФЗ

Основным элементом в части исполнения федерального законодательства по защите персональных данных является обеспечение защищенности ПДн, при их обработке, передаче, хранении. Учитывая, что в 99% случаев работа с ПДн осуществляется автоматизированным способом (в электронном виде), основной задачей является защита ПДн при обработке в соответствующих информационных системах персональных данных (ИСПДн).

Мальков Вадим
Техническая подготовка по 152-ФЗ

Обеспечение правомерной работы с ПДн, сводится к двум основным направлениям:

Правовая (юридическая) организация работы с ПДн;

Техническая организация работы с ПДн;

Правовая сторона вопроса у нас рассмотрена в отдельной статье по Правовой подготовке.

Здесь рассмотрим вопросы организации технической обработки ПДн, в соответствии с требованиями законодательства.

Основными нормативно-правовыми актами, регулирующими именно технические вопросы обработки ПДн, являются:

  1. Постановление Правительства № 1119 от 1 ноября 2012 г.;
  2. Постановление Правительства №687 от 15 сентября 2008 г.;
  3. Приказ ФСТЭК России №21 от 18 февраля 2013 г.;
  4. Приказ ФСБ России №378 от 10 июля 2014 г.;

Указанный выше перечень не исчерпывающий, но он охватывает 90% вопросов, возникающих при организации технической обработки и защиты ПДн.

Пройдемся по основным моментам.

Что бы понять, как именно организовать работу с ПДн, что бы эта работа не противоречила требованиям законодательства, Оператору ПДн (ЮЛ осуществляющее обработку ПДн) нужно сделать несколько ключевых мероприятий:

  1. Определить какие именно ПДн (тип) он обрабатывает и в каком количестве;
  2. На основании типов ПДн и количества, провести классификацию своей ИСПДн и определить уровень защищенности (УЗ) ПДн, который необходимо обеспечить по требованиям регуляторов;
  3. Определив УЗ, можно сопоставить ключевые требования по обеспечению технической защищенности, с тем что имеется фактически.

Выполнив три этих пункта, вы получите примерное понимание масштабов предстоящих работ. А работы предстоят следующие:

  1. Провести подробное предварительное обследование, с уточнением где, как и в каком количестве обрабатываются ПДн, с определением какие именно типы ПДн тем или иным образом обрабатываются.
  2. На основании подробного отчета, разрабатывается ключевой документ – «Модель угроз и нарушителя…». От правильности моделирования угроз и определения потенциальных нарушителей, будет зависеть успешность всей предстоящей работы. Если угрозы будут приняты с «запасом», например, какая-то небольшая частная организация, обрабатывающая ПДн 1-2 тысяч субъектов, заложит в актуальные угрозы – угрозы использования недекларируемых возможностей в общесистемном ПО, а в потенциальные нарушители определит разведывательные службы иностранных государств, с неограниченным техническим и организационным потенциалом, то работа завершится тем, что на организацию обработки и защиты ПДн в соответствии с законодательством, этой организации придется потратить несколько своих годовых бюджетов. Что, естественно, нецелесообразно и организация от такого варианта в итоге откажется. Либо второй вариант, когда из потенциальных угроз и нарушителей исключаются все, даже актуальные в реальности угрозы и потенциальные нарушители. В итоге стоимость организации технической обработки и зашиты будет минимальна, но на деле она будет недостаточна, что грозит утечкой обрабатываемых ПДн и проблемами в случае проверок от регуляторов.

Учитывая все выше написанное, мы рекомендуем отнестись к процессу построения Модели угроз с максимальной ответственностью. В случае отсутствия необходимого опыта в данном вопросе, лучше привлечь профессионалов в сфере информационной безопасности, имеющих соответствующую лицензию ФСТЭК России, для оказания подобных услуг.

  1. На основании разработанной «Модели угроз и нарушителя» составляется техническое задание на разработку технического проекта системы защиты ПДн и, при необходимости, требования к доработке информационной системы в части технического и программного обеспечения.
  2. Правильно составленный Технической проект системы защиты ПДн, так же очень важен. Помимо задачи обеспечения работоспособности проектируемой системы, он формирует итоговый бюджет предстоящих работ. Именно по готовности Технического проекта Оператор ПДн узнает точный бюджет инициированных работ. Если Исполнитель называет «точную» стоимость до этого момента, то либо у Оператора ПДн элементарная ИСПДн (1 изолированный компьютер), либо исполнитель дилетант/мошенник.
  3. В соответствии с техническим проектом производится закупка и монтаж средств защиты. Производятся пуско-наладочные работы и приемочные испытания. Если все прошло успешно, можно переходить к заключительному этапу.
  4. Подтверждение соответствия реализованных мер, требованиям законодательства. Как правило, подтверждение соответствия проводится в форме Аттестационных испытаний. Но, законодательство предусматривает и другие формы оценки соответствия, например, в формате декларирования. Как правило, мы рекомендуем проводить именно Аттестацию, так как к такому формату не возникает вопросов ни у регуляторов, ни у контрагентов, ни у субъектов ПДн.
  5. Финишем является запуск системы в эксплуатацию.

Обращаем ваше внимание, что практически всё из вышеописанного Оператор ПДн может сделать для своих нужд своими силами же силами, а если заменить Аттестацию другой формой подтверждения соответствия, то и вовсе всю работу можно сделать самим. Но, стоит учитывать, что данная работа требует очень высокой компетенции в сфере ИБ, а также наличия огромного багажа знаний и опыта по аналогичным работам. Если такой персонал у вас имеется – то вам очень повезло! Если же такого персонала у вас нет, то разобраться самостоятельно в этом вопросе практически невозможно, настоятельно рекомендуем обращаться в профильные организации.

 

Как выбрать Исполнителя?

Всего несколько ключевых параметров:

  • Исполнитель не должен быть новичком на рынке, ищите организации, которые уже не первый год в сфере ИБ;
  • У Исполнителя должна быть лицензия ФСТЭК на ТЗКИ и ФСБ на криптографию с пунктами, позволяющими выполнить все поставленные задачи;
  • У Исполнителя должен быть опыт в исполнении аналогичных работ, желательно, подкрепленный благодарственными отзывами от Заказчиков;
  • У Исполнителя должен быть соответствующий кадровый потенциал. Именно от профессионализма непосредственного исполнителя работ, будет зависеть качество и успешность всего мероприятия.

Если у вас остались вопросы, оставляйте заявку на подробную консультацию, любым удобным для вас способом. Наши специалисты свяжутся с вами и дадут разъяснения по всем оставшимся вопросам.