Основное внимание должно быть уделено защите информации, содержащей ПДн, в отношении которой угрозы реальны и сравнительно просто реализуемы без применения сложных технических средств перехвата информации.
К информации такого рода относится:
– речевая информация, циркулирующая в защищаемом помещении;
– информация, обрабатываемая СВТ;
– информация, выводимая на экраны мониторов;
– документированная информация, содержащая ПДн;
– информация, передаваемая по каналам связи, выходящим за пределы КЗ.
В целом обеспечение безопасности ПДн при их обработке в ИСПДн достигается реализацией совокупности организационных и технических мер, причем в интересах обеспечения безопасности ПДн в обязательном порядке подлежат защите технические и программные средства, используемые при обработке ПДн, и носители информации. При организации и осуществлении защиты ПДн необходимо руководствоваться требованиями нормативных и методических документов по защите ПДн в автоматизированных системах, учитывая при этом, что ПДн отнесены к информации ограниченного доступа.
В связи с тем что ИСПДн по своим характеристикам и номенклатуре угроз безопасности ПДн близки к наиболее распространенным информационным системам, целесообразно при их защите максимально использовать традиционные подходы к технической защите информации.
8.6. Создание системы защиты информации объекта информатизации осуществляется по следующим стадиям:
– предпроектная стадия, включающая в себя предпроектное обследование объекта информатизации (ИСПДн), разработку аналитического обоснования необходимости создания системы защиты персональных данных (далее СЗПДн) и технического задания на ее создание;
– стадия проектирования (разработки проектов) и реализации ИСПДн, включающая в себя разработку СЗПДн в составе объекта информатизации (ИСПДн);
– стадия ввода в действие СЗПДн, включающая в себя опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации
(далее СрЗИ), а также оценку соответствия ИСПДн требованиям безопасности информации.
8.6.1. Предпроектная стадия обследования объекта информатизации (ИСПДн) включает в себя:
– установление необходимости обработки ПДн в ИСПДн;
– определение ПДн, подлежащих защите от НСД;
– определение условий расположения ИСПДн относительно границ КЗ;
– определение конфигурации и топологии ИСПДн в целом и ее отдельных компонентов, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;
– определение технических средств и систем, предполагаемых к использованию в разрабатываемой ИСПДн, условий их расположения, общесистемных и прикладных программных средств, имеющихся