Как формируются системы защиты персональных данных?

Формирование системы защиты персональных данных включает несколько этапов: 1

1. Обследование информационных систем персональных данных. 1 Проводится для получения актуальной информации о процессах обработки и защиты данных в организации, а также для анализа соответствия документов компании нормативной базе. 1
2. Разработка концепции защиты персональных данных. 1 На этом этапе оцениваются варианты реализации проекта, устанавливаются сроки, выявляются проблемные вопросы и предлагаются варианты решений, устанавливается перечень и стоимость технических и программных средств, которые будут использоваться. 1
3. Определение уровня защищённости персональных данных. 1 Формируется состав персональных данных, количество субъектов персональных данных, определяются актуальные угрозы безопасности. 1
4. Разработка модели угроз безопасности персональных данных и модели нарушителя. 1 Формируется перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных. 1
5. Разработка технического задания на создание системы защиты персональных данных. 1 Документ определяет назначение системы, требования к техническому и программному обеспечению, а также порядок разработки и внедрения системы защиты персональных данных. 1
6. Проектирование системы защиты персональных данных. 1 Разрабатывается технический проект на систему защиты информационных систем, обрабатывающих персональные данные, с учётом требований нормативных документов по защите персональных данных. 1
7. Разработка комплекта организационно-распорядительной документации. 1 Для приведения процессов организации обработки и защиты персональных данных в соответствие с действующим законодательством разрабатывается комплект документов, которые регламентируют процесс обработки и защиты персональных данных. 1
8. Поставка средств защиты информации. 1 Поставка средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации. 1
9. Установка и настройка средств защиты информации. 1 Обеспечивается корректность функционирования информационной системы персональных данных и совместимость выбранных средств защиты информации с программным обеспечением и техническими средствами информационной системы персональных данных. 1
10. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных. 1 До ввода в эксплуатацию информационной системы персональных данных проводится оценка эффективности, которая позволяет определить, насколько продуктивно функционирует система, справляются ли меры защиты. 1
11. Аттестация информационных систем персональных данных по требованиям безопасности информации. 1 Проводится для подтверждения соответствия информационной системы защиты персональных данных требованиям безопасности информации. 1

Оператор может разрабатывать систему безопасности персональных данных и выбирать меры и средства самостоятельно или привлекать специализированную организацию. 2 Такая компания должна иметь лицензию, позволяющую ей заниматься разработкой и внедрением системы защиты персональных данных. 2