Как защищать

Работы по созданию защищенной ИСПДн можно разделить на три основные этапа:

Первый этап. Оценка соответствия компании требованиям законодательства РФ в области защиты персональных данных и разработка плана работ по устранению выявленных недостатков.

По результатам этого этапа будут проводиться все последующие работы.
Начальный этап включает в себя создание рабочей группы и решение всех организационных вопросов, связанных с работами. Также на этом этапе проводится классификация информации и оценка существующих мер по обеспечению информационной безопасности. По итогам работ по первому этапу составляется итоговый отчет.

Второй этап. Приведение компании в соответствие с требованиями законодательства.

Разработка и утверждение уведомления в РосКомНадзор о деятельности в качестве оператора ПДн, и в ФСТЭК – заявки на получение экземпляров руководящих документов по организации системы защиты персональных данных.
Проводится изменение бизнес-процессов, утверждение документального представления информационных потоков.
Далее проводятся разработка и утверждение модели угроз, технического задания и техно-рабочего проекта. Реализация требований по защите информации и опытная эксплуатация ИСПДн. В завершение этапа разрабатываются внутренние нормативные акты.

Третий этап. Аттестация информационных систем и лицензирование компании.

На этом этапе проводится аттестация ИСПДн.
Также получение лицензии ФСТЭК на «Техническую защиту конфиденциальной информации» (обязательное требования для ИСПДн К1 и К2 и для К3 распределенного типа).

В случае если для защиты ИСПДн были применены средства шифрования (СКЗИ), то обязательным является получение лицензий ФСБ РФ.