Создание СЗПДн в соответствии с требованиями Приказа ФСТЭК России от 18.02.2013 г. № 21

Построение СЗПДн основывается на предпосылке, что невозможно обеспечить требуемую безопасность информационных ресурсов (уровень защищенности ПДн) не только с помощью одного отдельного средства защиты ПДн (или меры по обеспечению безопасности ПДн), но и с помощью их простой совокупности. При построении СЗПДн требуется системное согласование средств и способов защиты ПДн и создание единой системы управления ими.

Создание СЗПДн направлено на достижение требуемого уровня доверия:

  • к окружению ИСПДн;
  • к субъектам отношений;
  • к правилам и процедурам;
  • к аппаратной и программной платформе ИСПДн;
  • к каналам передачи информации.

Поэтому создание СЗПДн невозможно без выполнения работ по:

  • Обследованию защищенности ПДн, обрабатываемых в ИСПДн.
  • Выбору уровня защищенности ПДн.
  • Выбору мер по обеспечению безопасности ПДн в соответствии с Приказом ФСТЭК России от 18.02.2013 г. № 21.

На основании результатов перечисленных работ НТЦ «Вулкан» готов в интересах заказчика выполнить проект по созданию СЗПДн для ИСПДн в соответствии с требованиями Приказа ФСТЭК России от 18.02.2013 г. № 21.

Состав работ

  • Техническое проектирование СЗПДн (разработку проектной документации).
  • Разработку эксплуатационной документации на СЗПДн.
  • Макетирование и тестирование СЗПДн (при необходимости).
  • Внедрение СЗПДн в соответствии с разработанной проектной и эксплуатационной документацией:
    • установку и настройку средств защиты ПДн;
    • внедрение организационных мер по обеспечению безопасности ПДн;
    • предварительные испытания СЗПДн;
    • опытную эксплуатацию СЗПДн;
    • анализ уязвимостей ИСПДн и принятие мер по их устранению;
    • приемочные испытания СЗПДн;
    • разработку документов, определяющих правила и процедуры, реализуемые для обеспечения безопасности информации.

Создание СЗПДн предусматривает принятие организационно-правовых мер, предусматривающих назначение лиц, ответственных за обеспечение безопасности ПДн, а также разработку и утверждение документа, определяющего политику обеспечения безопасности ПДн.

Разрабатываемые организационно-распорядительные документы по обеспечению безопасности информации определяют следующие правила правила и процедуры:

  • Обеспечения безопасности информации на объекте заказчика.
  • Управления (администрирования) СЗПДн.
  • Выявления инцидентов, которые могут привести к сбоям или нарушению функционирования ИСПДн или к возникновению угроз безопасности ПДн.
  • Реагирования на инциденты.
  • Управления конфигурацией ИСПДн.
  • Контроля (мониторинга) за обеспечением уровня защищенности ПДн.
  • Защиты информации при выводе из эксплуатации ИСПДн или после принятия решения об окончании обработки ПДн.
  • Архивирование информации, содержащейся в ИСПДн.
  • Уничтожение (стирание) ПДн и остаточной информации с машинных носителей информации.

Преимущества

При разработке СЗПДн учитывается информационное взаимодействие ИСПДн с иными ИС и информационно-телекоммуникационными сетями.

Внедрение СЗПДн позволит обеспечить заданной уровень защищенности ПДн путем концентрации усилий соответствующих должностных лиц, а также повышения их персональной ответственности за обеспечение безопасности ПДн.