Порядок проведения работ по защите персональных данных

I. Предпроектная стадия

• изучение документального оформления обработки информации на объекте;
• изучение технологических процессов обработки персональных данных;
• определение перечня информационных систем на объекте и сотрудников, участвующих в обработке ПДн;
• определение информационных потоков между информационными системами;
• изучение физических характеристик объекта (зданий, помещений);
• определение классификационных признаков ИСПДн;
• разработка моделей угроз безопасности ПДн (модели нарушителя при необходимости) при их обработке в ИСПДн;
• классификация ИСПДн;

II. Стадия проектирования

• разработка технического задания на построение системы защиты персональных данных (частного технического задания на систему криптографической защиты информации при необходимости);
• разработка технического проекта системы защиты персональных данных;
• приобретение, установка и настройка аппаратных и программных сертифицированных средств защиты информации (антивирусные средства, межсетевые экраны, системы обнаружения вторжений, аппаратные модули доверенной загрузки, средства защиты от несанкционированного доступа и т.д.);
• разработка и внедрение разрешительной системы доступа пользователей ИСПДн к обрабатываемой информации;
• разработка комплекса организационно-распорядительной документации;

III. Ввод в действие СЗПДн и оценка соответствия

• проведение аттестационных испытаний с оформлением протоколов аттестационных испытаний и заключения по их результатам;
• выдача аттестата соответствия объекта информатизации требованиям по безопасности информации.