Разработка технического задания на создание системы защиты информации
Техническое задание формируется для разработки систем защиты информации (СЗИ) и перечисляет критерии для разработки СЗИ, и их использованию персоналом.
Цели проектирования системы защиты персональных данных (СЗПДн):
1) Обеспечение безопасности в процессе обработки персональных данных (ПДн).
2) Соответствие регламентированным правилам обеспечения информационной безопасности при обработке персональных данных.
Этапы создания системы персональных данных
1. Обследование объекта информатизации.
Проведение обследования информационной системы персональных данных.
2. Формирование модели угроз безопасности информации.
Определение актуальных угроз безопасности информации для рассматриваемой информационной системы персональных данных.
3. Проектный этап:
1) Проектирование системы защиты персональных данных;
2) Поставка средств защиты информации;
3) Внедрение средств защиты информации;
4) Обучение пользователей;
5) Разработка нормативно-распорядительных документов.
4. Опытная и промышленная эксплуатация:
1) Разработка методики приемо-сдаточных испытаний средств защиты информации;
2) Проведение испытаний;
3) Протоколирование;
4) Ввод в эксплуатацию системы защиты
5. Аттестация или декларирование:
1) Анализ организационной структуры объекта, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения.
2) Определение правильности категорирования объекта.
3) Проверка уровня подготовки кадров.
4) Комплексные аттестационные испытания объекта в реальных условиях эксплуатации.
5) Испытание автоматизированной системы на соответствие требованиям по защите информации от несанкционированного доступа.
6) Проверка эффективности применяемых на объекте средств и систем защиты информации.
7) Оформление протокола испытаний и заключений по результатам аттестационных испытаний в соответствии с установленными требованиями.
8) Оформление «Аттестата соответствия требованиям безопасности информации» в случае положительного заключения.