Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Раздел XII. Порядок разработки, ввода в действие и
эксплуатацию системы защиты персональных данных
64. Порядок предпроектного обследования ИСПДн включает:
а) определение перечня персональных данных обрабатываемых в ИСПДн;
б) определение перечня персональных данных, подлежащих защите от несанкционированного доступа (далее - НсД);
в) определение условий расположения ИСПДн относительно границ контролируемой зоны;
г) определение конфигурации и топологии ИСПДн в целом и ее отдельных компонентов; физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;
д) определение технических средств и систем, предполагаемых к использованию в разрабатываемой ИСПДн, условия их расположения; общесистемные и прикладные программные средства, имеющиеся и предлагаемые к разработке;
е) определение режимов обработки персональных данных в ИСПДн в целом и в отдельных компонентах;
ж) определение класса ИСПДн;
з) уточнение степени участия должностных лиц в обработке персональных данных, характер их взаимодействия между собой;
и) определение (уточнение) угроз безопасности персональным данным применительно к конкретным условиям функционирования ИСПДн.
65. По результатам предпроектного обследования на основе документа с учетом установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности персональных данных, включаемые в техническое задание на разработку СЗПДн. Разработка технического задания на создание СЗПДн включает:
а) обоснование разработки СЗПДн;
б) исходные данные создаваемой (модернизируемой) ИСПДн в техническом, программном, информационном и организационном аспектах;
в) класс ИСПДн;
г) требования федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;
д) перечень предполагаемых к использованию сертифицированных средств защиты информации;
е) обоснование проведения разработок собственных средств защиты информации при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
ж) состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.
66. Проектирование и реализация СЗПДн включает:
а) разработку задания и проекта проведения работ (в том числе строительных и строительно-монтажных) по созданию (реконструкции) ИСПДн в соответствии с требованиями технического (частного технического) задания на разработку СЗПДн;
б) выполнение работ в соответствии с проектной документацией;
в) закупку обоснованной совокупности используемых в ИСПДн серийно выпускаемых технических средств обработки, передачи и хранения информации;
г) разработку мероприятий по защите информации в соответствии с предъявляемыми требованиями;
д) закупку обоснованной совокупности используемых в ИСПДн сертифицированных технических, программных и программно-технических средств защиты информации и их установка;
е) проведение сертификации по требованиям безопасности информации технических, программных и программно-технических средств защиты информации, в случае когда на рынке отсутствуют требуемые сертифицированные средства защиты информации;
ж) разработку и реализацию разрешительной системы доступа пользователей к обрабатываемой на ИСПДн информации;
з) определение структурных подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации, с их обучением по направлению обеспечения безопасности персональных данных;
и) разработку эксплуатационной документации на ИСПДн и средства защиты информации, а также организационно-распорядительной документации по защите информации;
к) выполнение других мероприятий, характерных для конкретных ИСПДн и направлений обеспечения безопасности персональных данных.
67. Ввод в действие СЗПДн включает:
а) выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;
б) опытную эксплуатацию средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн;
в) приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации;
г) организацию охраны и физической защиты помещений ИСПДн, исключающих несанкционированный доступ к техническим средствам ИСПДн, их хищение и нарушение работоспособности, хищение носителей информации;
д) оценку соответствия ИСПДн требованиям безопасности персональных данных.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.