вторник, 12 июля 2016 г.

Как защитить персональные данные в организации? Техническое задание. Часть 5

Продолжаю свой ряд сообщений на тему защиты персональных данных в организации.

Итак у вас есть уже модель угроз и акт определения уровня защищённости (классификации для ГИС). И вот следующим этапом мы подходим к техническому заданию (ТЗ). Основой для написания ТЗ служит ГОСТ 34.602-89 Техническое задание на создание автоматизированной системы

Этот ГОСТ определяет структуру технического задания. Но тут один момент что необходимо произвести определённые действия. Объединить актуальные угрозы из модели угроз и меры из 21 Приказа ФСТЭК. И ещё необходимо проделать манипуляции по определению базового набора, адаптации базового набора, уточнении адаптированного базового набора, дополнение уточнённого адаптированного базового набора. А если у вас ещё присутствует НЕвозможность технической реализации отдельных выбранных мер, то необходимо реализовывать компенсирующие меры с их обоснованием. И встаёт вопрос в каком документе это всё делать? ФСТЭК это никак не обозначил ни в 21 Приказе, ни в 17-ом. Поэтому нами было принято решение об этом писать прям в техническом задании. Хотя сколько я сам видел документов других компаний, многие создают один документ и называют его Аналитическое обоснование и включает он и МУ и ТЗ и выбор средств, в общем объёмный документ получается.
Так же в ТЗ необходимо добавить требования других нормативных актов таких как Постановление Правительства №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и требования Приказа ФСБ №378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите персональных данных для каждого из уровней защищённости" 
Ну и в конце добавляются требования самого заказчика если таковые имеются.


Комментариев нет:

Отправить комментарий