- •1.1. Персональные данные
- •1.2. Категории персональных данных
- •2008 Года n 55/86/20 "Об утверждении Порядка проведения классификации информационных систем
- •2.3 Обеспечение безопасности персональных данных, обрабатываемых в информационных системах
- •17 Ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных
- •2. Для организации системы допуска и учета лиц, допущенных к работе с пд в испд, - Список лиц,
- •3. Частная модель угроз (если испд несколько, то модель угроз разрабатывается на каждую из них) –
- •6.2. Обязательные требования по обеспечению безопасности пд от нсд
- •7.3. Регистрация профиля защиты
- •1. Стадия проектирования. На данном этапе разрабатывается задание и проект проведения работ в
- •2. Ввод в действие сзпд. Данный этап включает в себя:
- •8.3. Уведомление Роскомнадзора об обработке персональных данных
- •9.3. Требования законодательства к испд
- •10.3. Подсистема обнаружения вторжений
- •10.4. Межсетевые экраны
- •1 Класса – мэ не ниже третьего уровня защищенности.
7.3. Регистрация профиля защиты
После составления профиля защиты и его оценки (сертификации) он должен быть зарегистрирован в
соответствии с Руководящим документом Гостехкомиссии России "Безопасность информационных
технологий. Руководство по регистрации профилей защиты". Данный документ определяет процедуру
регистрации не только ПЗ, но и пакетов. Пакет - многократно используемая совокупность
функциональных компонентов или компонентов доверия, объединенных для достижения определенных
целей безопасности. В результате регистрации ПЗ (или пакет) получает регистрационную метку, которая
уникально его идентифицирует в специальном реестре. Реестр - совокупность записей (в электронном или
электронном и бумажном виде), включающих в себя регистрационные метки, а также связанную с ними
дополнительную информацию. Каждая запись в реестре состоит из трех частей, разделенных дефисом:
тип элемента реестра;
год регистрации;
регистрационный номер.
Тип элемента реестра может иметь три значения:
"ПЗ" – для профиля защиты;
"ПД" для пакета требований доверия;
"ФП" – для функционального пакета.
Год регистрации — год внесения элемента в реестр (четыре цифры).
Регистрационный номер — порядковый номер в текущем году (три цифры).
Пример: ПЗ-2010-005.
Для регистрации ПЗ заявителю необходимо отправить в регистрационный орган (ОР) заявку. Заявка
обязательно должна содержать следующую информацию:
Название организации (если заявитель юридическое лицо) или ФИО (если заявитель физическое
лицо) и контактную информацию. Контактная информация должна включать почтовый адрес и/или
адрес E-mail, номер телефона и/или факса. Тип объекта, который заявитель хочет зарегистрировать.
Определение представленного объекта как нового или заменяющего уже существующий элемент в
реестре. Если объект заменяющий, необходимо указать регистрационные метки элементов,
подлежащих удалению или замене.
Подтверждение от заявителей заменяемых элементов, что при принятии заменяющих элементов
они согласны на удаление своих элементов.
Определение объекта как завершенного или в качестве проекта.
Описание нового ПЗ или пакета
Аннотацию ПЗ или пакета.
Декларацию, что описание ПЗ или пакета, представленного для регистрации, удовлетворяет
требованиям руководящего документа по регистрации.
ОР в свою очередь либо отклоняет заявку(если в ней не полный перечень информации), либо присваивает
регистрационную метку и вводит в реестр со статусом "проходящий подтверждение соответствия". Затем о
результате этой процедуры сообщается заявителю. Начальная обработка занимает не более 14 дней после
получения заявки. После этого ОР выполняет проверку описания, представленного в заявке. Если
выявляются какие-то недостатки или несоответствия, ОР уведомляет заявителя и тот в свою очередь
должен внести коррективы в течение 14 дней. Процедура подтверждения соответствия должна быть
завершена в течение 3 месяцев с момента получения заявки на регистрацию. 8.1. Основные этапы при построении системы защиты персональных данных
Система защиты ПД может быть как отдельной системой, так и подсистемой в составе системы защиты
информации организации в целом. Как правило, выполнение работ по построению СЗПД происходит
поэтапно и включает в себя следующие стадии:
1. предпроектная стадия или оценка обстановки;
2. стадия проектирования;
3. ввод в действие СЗПД.
Предпроектная стадия или оценка обстановки. В самом начале построения СЗПД производится оценка
обстановки. На данном этапе производятся следующие работы:
1. разрабатывается перечень информационных систем организации, которые работают с ПД;
2. определение состава ПД и необходимость их обработки;
3. определение перечня ПД, которые необходимо защищать;
4. определение контролируемой зоны и расположения компонентов ИСПД относительно границ этой
зоны;
5. строится модель корпоративной сети;
6. определение топологии и конфигурации ИСПД, программ и технических средств, которые
используются или предполагаются к использованию для обработки ПД;
7. установление связей ИСПД с другими системами организации;
8. определение режимов обработки ПД;
9. определение угроз безопасности;
10. определение класса ИСПД;
11. уточняется степень участия персонала в обработке ПД.
Важным пунктом данного этапа является построение частной модели угроз и предварительная
классификация ИСПД данной организации. Классификация ИСПД производится в соответствии с
приказом " Об утверждении Порядка проведения классификации информационных систем
персональных данных" от 13 февраля 2008 года. Результатом данного этапа является формирование
частного технического задания (ТЗ) к СЗПД .
Техническое задание должно содержать:
обоснование разработки СЗПД;
исходные данные создаваемой (модернизируемой) ИСПД в техническом, программном,
информационном и организационном аспектах;
класс ИСПД;
ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПД и приниматься
в эксплуатацию ИСПД;
конкретизацию мероприятий и требований к СЗПД;
перечень предполагаемых к использованию сертифицированных средств защиты информации;
обоснование проведения разработок собственных средств защиты информации при невозможности
или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты
информации;
состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПД.