| № | Описание процедуры | Разрабатываемые документы |
|---|---|---|
| 1 | Сбор и анализ исходных данных | Сведения об объекте |
| 2 | Определение степени участия персонала в обработке персональных данных, характера взаимодействия персонала, ответственного за обеспечение безопасности ПДн | Перечень подразделений и сотрудников, допущенных к обработке персональных данных |
| 3 | Оценка актуальности и достаточности внутренних нормативных документов, регламентирующих порядок обработки и защиты персональных данных | Отчет по результатам оценки актуальности и достаточности внутренних нормативных документов |
| 4 | Определение используемых технических средств, организационных мер и способов защиты персональных данных и оценка их соответствия требованиям нормативных документов | Отчет по результатам оценки соответствия реализованных мер защиты информации, требованиям нормативных документов |
| 5 | Моделирование потенциального нарушителя безопасности ПДн и формирование совокупности предположений о возможностях, которые могут использоваться нарушителями при создании способов, подготовке и проведении атак определение актуальных угроз безопасности ПДн и типа актуальных угроз безопасности ПДн | Модель нарушителя Модель угроз |
| 6 | Определение требуемого уровня защищенности ПДн при их обработке в ИСПДн в соответствии с составом, объемом обрабатываемых ПДн и типом актуальных угроз безопасности ПДн | Отчет по результатам итогового аудита информационной безопасности, а также выявления и исправления нарушений защиты информации. |
Разработка пакета организационно-распорядительных документов по защите персональных данных, является основной и первоочередной организационной мерой при внедрении комплексной системы защиты персональных данных. Именно документы по защите персональных данных проверяются в первую очередь контролирующими органами при проведении государственного контроля.
Аттестация системы защиты персональных данных – это комплекс организационно-технических мероприятий, который призван оценить эффективность принимаемых мер защиты и их соответствие требованиям нормативных документов РФ в области защиты ПДн.
Аттестация ГИС проводится в соответствии с программой и методиками аттестационных испытаний до начала обработки информации, подлежащей защите в ГИС. Для проведения аттестации применяются национальные стандарты, а также методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16.08.2004 г. N 1085.
Анализ и оценка соответствия требованиям законодательства является первым этапом приведения процессов обработки и защиты персональных данных (ПДн) в соответствие действующему закону № 152-ФЗ «О персональных данных».
Организация защиты объектов критической информационной инфраструктуры.
Оценка соответствия уровня защиты информации требованиям Центрального Банка РФ.