Разработка технического задания и технического проекта на создание СЗПДн
Одним из важных этапов создания системы защиты персональных данных (СЗПДн) является разработка технического задания и технического проекта. Техническое задание на создание системы защиты персональных данных подготавливается с учетом «Модели нарушителя и угроз безопасности ПДн» и требуемого уровня защищенности ПДн, определенного на этапе обследования, и содержит в том числе следующие сведения:
- обоснование необходимости разработки СЗПДн;
- исходные данные об ИСПДн в техническом, программном, информационном и организационном аспектах;
- сведения об актуальных угрозах безопасности ПДн и требуемом уровне защищенности ПДн при их обработке в ИСПДн;
- ссылки на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;
- перечень необходимых для реализации организационных и технических мер по обеспечению безопасности ПДн, определенный в соответствии с требованиями Приказа ФСТЭК России от 18.02.2013 № 21, путем адаптации, дополнения и уточнения базового набора мер;
- перечень предполагаемых к использованию сертифицированных средств защиты информации;
- состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн;
- требования к составу и содержанию организационно-распорядительной документации и к эксплуатационной документации на СЗПДн.
Зафиксированные в Техническом задании меры по обеспечению безопасности должны обеспечивать как требуемый уровень защищенности персональных данных, так и нейтрализацию актуальных угроз безопасности.
До внедрения средств защиты информации по желанию Заказчика могут быть проведены их макетирование и стендовые испытания с учетом исходных данных, полученных на этапе обследования, а также требований, определенных Техническим заданием на СЗПДн. В рамках макетирования проводится анализ применимости, совместимости и внедряемости СЗИ в ИСПДн организации. В результате определяется состав технических средств защиты информации, удовлетворяющий требованиям по защите ПДн, а также позволяющий реализовать мероприятия по созданию СЗПДн. Проводятся стендовые испытания СЗИ. При необходимости производится уточнение Технического задания на создание СЗПДн.
Следующий рекомендуемый шаг – разработка Технического проекта системы защиты персональных данных, который содержит детальное описание конкретных программно-технических решений для создания СЗПДн, осуществляется на основе Технического задания и результатов стендовых испытаний средств защиты информации.
Работы по разработке технического задания и технического проекта проводятся в соответствии с требованиями нормативных документов ФСТЭК России и ФСБ России с учетом особенностей ИТ-инфраструктуры информационных систем Компании и применяемых в Компании средств и мер защиты информации.